Nuovo membro nel Debian Security Team

14 novembre 2009 — Giuseppe

    Anche se in ritardo,  voglio ringraziare tutte le persone coinvolte nel mio NM e che mi hanno permesso di entrare nel Sec Team, ed in particolare:

    Enrico Zini, un grazie speciale! Sponsor, advocate, ma soprattutto persona davvero squisita. È stato lui che nell’ottobre  2008, in vacanza,  davanti ad una buona pizza del Cortile Alessi mi disse, “Ma NM quando?” :) Grazie!

    Steffen Joeris e Mortiz Muehlenhoff, miei punti di riferimento del Security Team ;)

    Felipe Augusto van de Wiel, mio AM!

    Christoph Berg, ha approvato lui il mio NM!

    Max Cetra, fidato tester per updates di sicurezza!

    Spero di non aver dimenticato troppe persone :)

    VN:F [1.8.4_1055]
    Rating: 9.7/10 (3 votes cast)
    VN:F [1.8.4_1055]
    Rating: +1 (from 1 vote)

    Popularity: 2% [?]

    Posted in Debian. 1 commento »

    Sto pensando di chiedere la rimozione di atmailopen da Debian

    22 maggio 2009 — Giuseppe

    Dal dicembre del 2008, sono il mantainer Debian di atmailopen, una gradevole webmail in PHP e Ajax .

    Quando lo accettarono in Debian fui molto contento, ma in realtà non dovevo:

    Il 19/04/2009 mi sono accorto di un Secunia advisory riguardante @Mail (SA34704) , e lo stesso giorno contattai upstream chiedendo se atmailopen fosse affetto dalla stessa vulnerabilità. Ad oggi, 2009-05-22 , non ho ricevuto nessuna risposta…

    Mentre cercavo info riguardanti SA34704, ho scoperto che atmailopen usa la stessa versione vulnerabile di html2text di roundcube, CVE-2008-5619 .

    Il 26/04/2009 mando una nuova email ad upstream e lo informo di questo problema, ma come al solito nulla… Ad oggi, 2009-05-22, nessuna risposta …

    È dunque evidente che upstream non cura per nulla l’aspetto security per la versione open source di atmail.

    È altrettanto chiaro che questo non è accettabile per un software in Debian, al più presto ne chiederò la rimozione

    P.S. Se non state usando il il pacchetto Debian, vi consiglio vivamente di usare la seguente patch, o meglio usare un’altra webmail…

    Aggiornamento: atmailopen è stato rimosso da Debian

    VN:F [1.8.4_1055]
    Rating: 0.0/10 (0 votes cast)
    VN:F [1.8.4_1055]
    Rating: 0 (from 0 votes)

    Popularity: 2% [?]

    Posted in Debian, Linux. Tags: , . 1 commento »

    Add Debian maintainer Giuseppe Iuculano

    17 novembre 2008 — Giuseppe

      debian-maintainers (1.48) unstable; urgency=medium

         * keycheck: grep the first '^gpg: key' from jetring-apply's output.
     Closes: #505775
   * Update Jon Dowland's public key. Closes: #476804
   * Update Daniel Leidert's public key. Closes: #498805
   * Add Debian maintainer Giuseppe Iuculano. Closes: #502088
   * Add Debian maintainer Thorsten Glaser. Closes: #503726
   * Add Debian maintainer Franck Joncourt. Closes: #505232

      – Anibal Monsalve Salazar <anibal@debian.org>  Sat, 15 Nov 2008 18:44:42 +1100

      :D

      Tante grazie ad Enrico per l’ “avvocatura” ;)

      VN:F [1.8.4_1055]
      Rating: 6.0/10 (1 vote cast)
      VN:F [1.8.4_1055]
      Rating: 0 (from 0 votes)

      Popularity: 2% [?]

      Posted in Debian. Tags: , . Nessun commento »

      Smbind – Tool in php per la gestione di un DNS

      15 giugno 2008 — Giuseppe

        Smbind è un tool in PHP che permette di amministrare un DNS (bind).

        Tramite l’interfaccia web è possibile creare, modificare, gestire le zone. Ecco alcuni screenshots:

        Zona

        Opzioni

        Creare zona

        In attesa di uno Sponsor per chi usa debian o ubuntu ecco come installarlo:

        (debian) Aggiungete al vostro sources.list:

        deb     http://debian.iuculano.it/apt  etch main contrib non-free
deb-src http://debian.iuculano.it/apt  etch main contrib non-free

        Mentre per Ubuntu:

        deb http://ppa.launchpad.net/giuseppe-iuculano/ubuntu hardy main
        deb-src http://ppa.launchpad.net/giuseppe-iuculano/ubuntu hardy main

        Poi da terminale:

        apt-get update && apt-get install smbind

        Una volta terminata l’installazione:

        usermod -G bind www-data

        /etc/init.d/apache2 restart

        echo ‘include “/etc/smbind/smbind.conf”;’ >> /etc/bind/named.conf.local

        /etc/init.d/bind9 restart

        Adesso potete aprire il browser ed andare su http://localhost/smbind/ .

        Login e password di defualt sono entrambe ‘admin’, ma naturalmente dovete cambiare la password immediatamente :-)

        VN:F [1.8.4_1055]
        Rating: 6.0/10 (1 vote cast)
        VN:F [1.8.4_1055]
        Rating: 0 (from 0 votes)

        Popularity: 3% [?]

        Posted in Debian, Linux, Ubuntu. Tags: , , , , , . 1 commento »

        Perchè non usare SPF

        10 aprile 2008 — Giuseppe

          In questi giorni nel forum di Hostingtalk ho avuto una accesa discussione sul disastroso rapporto costo/benefici di SPF (Sender Policy Framework)

          Dove sta l’equivoco? Molti sono convinti che per attivare SPF basti solo inserire un record nel DNS. In realtà questo serve solo a chi poi userà effettivamente SPF per confrontare l’indirizzo ip del mittente con quelli consentiti.

          SPF è nato nel 2003 e non è mai decollato a causa dei troppi problemi di implementazione (che si traducono in falsi positivi), ad oggi l’unica entità rilevante che spinge SPF è Microsoft (con Hotmail)

          I principali 4 punti deboli di SPF sono:

          1. Il forwarding *NON* funziona, viene bloccato.
          2. Ci sono hoster che per ragioni varie *NON* offrono smtp per invio.
          3. Iniziano ad esserci provider (in Italia Tele2 e H3G) che bloccano la porta 25 in uscita, consentendo l’invio delle email *SOLO* tramite proprio smtp.
          4. Gli utenti medi, non sono educati per usare un smtp diverso per ogni account

          Detto questo, se sei un grosso ESP che ha seri problemi di spam (vedi hotmail), te ne freghi di tutto e lo usi (per la serie: il cane ha le pulci? Diamogli fuoco e risolviamo il problema). Se invece sei un sistemista di un piccolo/medio provider, isp, o simile, analizzi la situazione e capisci che SPF è assolutamente da scartare.

          Online si trovano parecchie persone che, probabilmente per la approssimativa conoscenza tecnica di SPF, fanno una promozione quasi ideologica di SPF, presentandolo quasi come il Salvatore dello spam, e attribuendo la poca diffusione allo scarso impegno dei provider nel combattere lo spam. In realtà la poca diffusione di SPF è dovuta semplicemente al fatto che non funziona.

          Microsoft fa bene ad usarlo? Mah… da un certo punto di vista forse sì (di sicuro non è una questione ideologica), hanno grossi problemi di spam, e tutto sommato l’enorme  quantità di falsi positivi che SPF genera può andare bene.

          VN:F [1.8.4_1055]
          Rating: 0.0/10 (0 votes cast)
          VN:F [1.8.4_1055]
          Rating: 0 (from 0 votes)

          Popularity: 2% [?]

          Posted in Internet, Linux. Tags: . Nessun commento »

          Ubuntu Gutsy CK Kernel

          11 novembre 2007 — Giuseppe

            (English version below)

            Ubuntu Gutsy è arrivata, e anche per questa release rilascio un kernel patchato con le CK patch.

            Con Kolivas purtroppo ha deciso (giustamente) di abbandonare lo sviluppo, ragion per cui questo sarà l’ultimo rilascio anche per me. Dalla prossima release ci dovremmo accontentare del nuovo CFS di Ingo Molnar

            Vi ricordo come al solito:

            Cosa sono le CK patch?

            Cito l’ autore:

            These are patches designed to improve system responsiveness with specific emphasis on the desktop, but suitable to any workload.”

             

             

            Ricapitolando, installando questo kernel avrete:

            1) Compilazione ottimizzata per 686 o core2
            2) Ck patch http://members.optusnet.com.au/ckolivas/kernel/

            Come installarlo?
            wget http://ubuntu.iuculano.it/AE3BE9AA.gpg -O- | sudo apt-key add -

            aggiungete al vostro sources.list:
            deb http://ubuntu.iuculano.it gutsy all
            deb-src http://ubuntu.iuculano.it gutsy all

            Per 686 (Pentium4):
            sudo apt-get update && sudo apt-get install linux-686-ck linux-headers-686-ck

            Per core2:
            sudo apt-get update && sudo apt-get install linux-core2-ck linux-headers-core2-ck

            Diamo un nuce -10 al server X:
            sudo dpkg-reconfigure -plow x11-common

            Alla richiesta ” Valore di nice per il server X. ” digitiamo -10

            Feedback molto graditi :)

            English version

            These are patches designed to improve system responsiveness with specific emphasis on the desktop, but suitable to any workload.

            Installing this kernel you have:

            1. 686 (Pentium4) or Core2 optimization
            2. Ck patch http://members.optusnet.com.au/ckolivas/kernel/

            Add the gpg key:

             

            Code:

            wget http://ubuntu.iuculano.it/AE3BE9AA.gpg -O- | sudo apt-key add -

            Add the sources.list entries in a separate file:

             

            Code:

            echo "deb http://ubuntu.iuculano.it gutsy all" >/etc/apt/sources.list.d/ck-kernel.list

             

            Code:

            sudo apt-get update

            For 686 (Pentium4):

             

            Code:

            sudo apt-get update && sudo apt-get install linux-686-ck linux-headers-686-ck

            For core2:

             

            Code:

            sudo apt-get update && sudo apt-get install linux-core2-ck linux-headers-core2-ck

            Feedback are welcome

            VN:F [1.8.4_1055]
            Rating: 0.0/10 (0 votes cast)
            VN:F [1.8.4_1055]
            Rating: 0 (from 0 votes)

            Popularity: 2% [?]

            Posted in Linux, Ubuntu. Tags: , , , , , , . 17 commenti »

            Thunderbird 2 per Ubuntu Feisty

            14 maggio 2007 — Giuseppe

              Purtroppo ubuntu feisty non ha thunderbird2 (è stato rilasciato successivamente).

              Mi sono quindi deciso a backportarlo da gutsy

              Potete installarlo inserendo nel vostro sources.list:
              deb http://ubuntu.iuculano.it feisty thunderbird
              deb-src http://ubuntu.iuculano.it feisty thunderbird

              Se poi volete pure provare la versione di sviluppo di amsn (davvero carina):

              deb http://ubuntu.iuculano.it feisty amsn
              deb-src http://ubuntu.iuculano.it feisty amsn

              Come al solito i feedback sono graditi :)

              VN:F [1.8.4_1055]
              Rating: 0.0/10 (0 votes cast)
              VN:F [1.8.4_1055]
              Rating: 0 (from 0 votes)

              Popularity: 1% [?]

              Posted in Linux, Ubuntu. 8 commenti »

              Ubuntu Feisty CK Kernel

              22 aprile 2007 — Giuseppe

                Nelle mie workstation non può mancare un kernel patchato con le CK patch.

                Cosa sono le CK patch?

                Cito l’ autore:

                These are patches designed to improve system responsiveness with specific emphasis on the desktop, but suitable to any workload.”

                A pochi giorni dal rilascio di Ubuntu Feisty , ecco il kernel patchato con CK e ottimizzato per 686 (i386) e core2 (i386)

                Ricapitolando, installando questo kernel avrete:

                1) Compilazione ottimizzata per 686 o core2
                2) Ck patch http://members.optusnet.com.au/ckolivas/kernel/

                Come installarlo?
                wget http://ubuntu.iuculano.it/AE3BE9AA.gpg -O- | sudo apt-key add -

                aggiungete al vostro sources.list:
                deb http://ubuntu.iuculano.it feisty all
                deb-src http://ubuntu.iuculano.it feisty all

                Per 686 (Pentium4):
                sudo apt-get update && sudo apt-get install linux-686-ck linux-headers-686-ck

                Per core2:
                sudo apt-get update && sudo apt-get install linux-core2-ck linux-headers-core2-ck

                Diamo un nuce -10 al server X:
                sudo dpkg-reconfigure -plow x11-common

                Alla richiesta ” Valore di nice per il server X. ” digitiamo -10

                Feedback molto graditi :)

                VN:F [1.8.4_1055]
                Rating: 0.0/10 (0 votes cast)
                VN:F [1.8.4_1055]
                Rating: 0 (from 0 votes)

                Popularity: 2% [?]

                Posted in Linux, Ubuntu. 25 commenti »

                Flash 9 finalmente anche per Linux

                20 ottobre 2006 — Giuseppe

                  Ho provato la beta di Flash 9 per linux, era ora!!

                  Potete trovare il tutto qui

                  VN:F [1.8.4_1055]
                  Rating: 0.0/10 (0 votes cast)
                  VN:F [1.8.4_1055]
                  Rating: 0 (from 0 votes)

                  Popularity: 1% [?]

                  Posted in Linux. Nessun commento »

                  A professional mail server with qmail and vpopmail

                  8 luglio 2006 — Giuseppe

                    Qmail is a good solution for an email server, but I think the current official qmail-src package is outdated and not good for using on a modern mail server. That is why I created an unofficial qmail-src package with some suitable patches:

                    SMTP-AUTH for Debian Sarge 3.1 (Fixed)
                    qmail-dnsbl patch (added logging)
                    qmail-queue-custom-error.patch (for simscan)
                    qmail-smtp-log-patch
                    chkuser 2.0


                    qmail-dnsbl patch lets the client authenticate (using any method implemented), and then decides to perform the DNSBL check looking at the authentication status before the DATA SMTP command is performed.
                    If the check fails, the server closes the SMTP conversation before receiving the mail, avoiding any resource wasting.

                    chkuser 2.0 The original qmail-smtpd accepts by default all messages, checking later for the existence of the recipients. So, if the message is delivered to a non-existing recipient, a lot of additional system work and network traffic is generated, with several expensive bouncing if the sender is a fake.

                    chkuser has been developed with the goal to improve the acceptance SMTP phase of qmail-smtpd.
                    qmail-smtpd patched with chkuser may check the existence of e-mail recipients immediately in the SMTP acceptance phase of a message and rejects instantly all the messages sent to unexisting users, thus avoiding additional traffic, workload and messages bounced more times.

                    These goals are achieved by enquiring the existing vpopmail archives (each format is supported: cdb, MySQL, LDAP, etc.) by using standard vpopmail calls, or using customized chkuser routines.

                    chkuser 2.0 has detailed logging of accepted and refused recipients and senders, thus allowing a deeper analysis of “who’s sending to whom”. This can facilitate any further enhancements of anti-SPAM features.

                    N.B. Current qmail version works only with my vpopmail-mysql package!

                    You can get more details here: http://debian.iuculano.it


                    So, let’s go, in less than ten minutes we can have a full performant mail server!

                    Just open your terminal and add my deb repository in your sources.list:

                    debian:~# vi /etc/apt/sources.list

                    Add these lines:

                    deb     http://debian.iuculano.it/apt  sarge main contrib non-free
deb-src http://debian.iuculano.it/apt  sarge main contrib non-free

                    and:

                    debian:~# apt-get update

                    My vpopmail package uses mysql backend, so we need mysql-server:

                    apt-get install mysql-server

                    It is strongly recommended to set a password for the mysql root user
                    (which is NOT the same as the “normal” root user) with the command:

                    mysqladmin -u root password 'enter-your-good-new-password-here'

                    debian:~# mysqladmin -u root -p create vpopmail
debian:~# mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10 to server version: 4.0.24_Debian-10sarge2-log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> GRANT ALL PRIVILEGES ON `vpopmail` . * TO 'vpopmail'@'localhost' \
IDENTIFIED BY 'some_pass' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.01 sec)

mysql> quit
Bye
debian:~#

                    Good, now we can install qmail, vpopmail, spamassasin

                    debian:~# apt-get install qmail-src spamassassin vpopmail-mysql spamc razor
pyzor ucspi-tcp-src libmailtools-perl libmail-spf-query-perl libsys-hostname-long-perl

                    Now we build ucspi-tcp

                    debian:~# build-ucspi-tcp

                    And finally, we build qmail!

                    debian:~# build-qmail

                    Don’t worry if you get an error message when installing the .deb package; we need to remove exim4!

                    debian:~# dpkg --force-depends --purge exim4 exim4-base exim4-config exim4-daemon-light

                    Now:

                    debian:~# dpkg -i /tmp/qmail/qmai*.deb

                    Very well, now if you want SMTP AUTH and chkuser, you should edit /etc/init.d/qmail

                    If you want chkuser you should change CHKUSER_START to DOMAIN or ALWAYS

                    If you want chkuser you should replace:

                    -u `id -u qmaild` -g `id -g nobody` -x /etc/tcp.smtp.cdb 0 smtp \

                    with:

                    -u vpopmail -g vckpw -x /etc/tcp.smtp.cdb 0 smtp \

                    Setting your mail name:

                    vi /etc/qmail/me

                    And add your mail name, for example mail.domain.org

                    Setting mysql username and password for vpopmail

                    debian:~# vi /etc/vpopmail/vpopmail.mysql

                    and restart qmail and popmail POP3

                    debian:~# /etc/init.d/qmail restart && /etc/init.d/vpopmail-mysql restart
Stopping mail-transfer agent: qmail.
Starting mail-transfer agent: qmail.
Restarting vpopmail pop3 server: vpopmail.
debian:~#

                    Very well, we ‘re almost done!!

                    Some check-ups:

                    debian:~# apt-get install recode
[...]
debian:~# vadddomain test.bogus
Please enter password for postmaster:
enter password again:
debian:~# ls -la /var/lib/vpopmail/domains/
totale 3
drwx------  3 vpopmail vchkpw 1024 2006-07-07 16:34 .
drwxr-xr-x  6 root     root   1024 2006-07-07 16:09 ..
drwx------  3 vpopmail vchkpw 1024 2006-07-07 16:34 test.bogus
debian:~# echo -en "postmaster@test.bogus" | recode data..base64
cG9zdG1hc3RlckB0ZXN0LmJvZ3Vz
debian:~# echo -en "test" | recode data..base64
dGVzdA==
debian:~# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 mail.domain.com ESMTP
quit
221 mail.domain.com
Connection closed by foreign host.
debian:~# less /var/log/syslog
debian:~# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 mail.domain.com ESMTP
HELO TEST
250 mail.domain.com
EHLO
250-mail.domain.com
250-AUTH LOGIN CRAM-MD5 PLAIN
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-PIPELINING
250 8BITMIME
AUTH LOGIN
334 VXNlcm5hbWU6
cG9zdG1hc3RlckB0ZXN0LmJvZ3Vz
334 UGFzc3dvcmQ6
dGVzdA==
235 ok, postmaster@test.bogus, go ahead (#2.0.0)
mail from: test@nonexact.from
511 sorry, can't find a valid MX for sender domain (#5.1.1 - chkuser)
mail from: test@test.com
250 ok
RCPT TO: notexist@test.bogus
511 sorry, no mailbox here by that name (#5.1.1 - chkuser)
RCPT TO: postmaster@test.bogus
250 ok
quit
221 mail.domain.com
Connection closed by foreign host.
debian:~#

                    Good! Everything seems to work finely!

                    Now, the last thing you have to do is:

                    debian:~# apt-get install qmailadmin autorespond ezmlm-src clamav clamav-daemon clamav-freshclam

                    Install simscan (http://www.inter7.com/simscan/simscan-1.2.tar.gz) and edit init.d/qmail !

                    Simscan ./configure example:

                    ./configure --enable-user=clamav --enable-clamav=y --enable-custom-smtp-reject=y --enable-attach=y
 --enable-spam=y --enable-spam-hits=14 --enable-spamc-user=y --enable-received=y
--enable-clamavdb-path=/var/lib/clamav --enable-spam-auth-user=n
--enable-quarantinedir=/var/qmail/quarantine --enable-dropmsg=y
                    VN:F [1.8.4_1055]
                    Rating: 7.0/10 (1 vote cast)
                    VN:F [1.8.4_1055]
                    Rating: 0 (from 0 votes)

                    Popularity: 3% [?]

                    Posted in Debian, Linux. Tags: , , , , , , , , , . 3 commenti »
                    « Older posts