Replicazione MySQL tra una LENNY e una ETCH Debian ed Error_code: 1105

Maggio 17th, 2010 glycerin

 Powered by Max Banner Ads 

Mi è capitato di dover configurare una replicazione tra un server Debian Lenny e un altro ETCH sempre Debian e dover affrontare una problematica che descrivo di sguito.
Una volta realizzata la replicazione compare, nel daemon.log, una segnalazione che implica il dover skippare l’errore lato mysql per far sì che la replicazione tra i due host continui.
In pratica nel my.cnf viene aggiunta la seguente riga:

# inserito lo slave-skip-errors per rimediare alla incompatibilita tra
la versione 5.0.51 e la 5.0.32
slave-skip-errors=1105
#

che permette alla replicazione di andare avanti.
Sul daemon.log compare di continuo la riga allegata in basso e in ogni caso l’aggiungere questo parametro può essere considerata soltanto una soluzione tampone. Anche perchè nella casistica 1105 rientrano tutti gli errori classificati come unknown (http://dev.mysql.com/doc/refman/5.0/en/error-messages-server.html#error_er_unknown_error)

In ogni caso è bene leggere le warning presenti sul sito MySQL:
http://dev.mysql.com/doc/refman/5.0/en/replication-options-slave.html#option_mysqld_slave-skip-errors

Segnalazione del daemon.log:
May 17 18:11:10 host mysqld[27024]: 100517 18:11:10 [ERROR] Slave: According to the master’s version (‘5.0.32-Debian_7etch11-log’), it is probable that master suffers from this bug: http://bugs.mysql.com/bug.php?id=24432 and thus replicating the current binary log event may make the slave’s data become different from the master’s data. To take no risk, slave refuses to replicate this event and stops. We recommend that all updates be stopped on the master and slave, that the data of both be manually synchronized, that master’s binary logs be deleted, that master be upgraded to a version at least equal to ‘5.0.38′. Then replication can be restarted. Error_code: 1105

Technorati Tags: mysql, Error_code: 1105, daemon, lenny, etch

Posted in Debian, Linux, News, Security, mysql | No Comments »

Too many open files

Aprile 1st, 2010 glycerin

A volte capita che nel far girare uno script PHP o un applicativo si aprono troppi file o socket con una segnalazione simile a quella in oggetto.
Per rimediare bisogna andare a rivedere le limitazioni mediante ulimit.
In genere con un ulimit -a si ottiene un listato di questo tipo:

host:~# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16372
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16372
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

quello di interesse nel nostro caso sono gli open file:
open files                      (-n) 1024
che di sefault sono impostati a 1024.
Per aumentare questo valore in running ci basta lanciare il seguente comando:
host:~# ulimit  -n 2048 www-data
che limita all’utente www-data 2048 open file.

Il secondo step riguarda il file limits.conf all’interno di /etc/security/ che avrà una riga del seguente tipo:
www-data        hard    nofile          2048
L’aver aggiornato questo file dovrebbe consentire, al riavvio della macchina, di non doversi preoccupare di lanciare un nuovo ulimit per reimpostare le limitazioni.
N.B.: questi path riguardano una Debian.

P.S.: come descritto su questo link le limitazioni che vengono indicate nel file limits.conf possono

P.S.: come descritto su questo link (How to: Prevent a fork bomb by limiting user process) le limitazioni che vengono indicate nel file limits.conf possono essere utili per limitare il fork bombTechnorati Tags: too many open files, ulimit, PHP, fork bomb

Posted in Debian, Linux, News, Security | No Comments »

Too many open files

Aprile 1st, 2010 glycerin

 Powered by Max Banner Ads 

A volte capita che nel far girare uno script PHP o un applicativo si aprono troppi file o socket con una segnalazione simile a quella in oggetto.
Per rimediare bisogna andare a rivedere le limitazioni mediante ulimit.
In genere con un ulimit -a si ottiene un listato di questo tipo:

host:~# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16372
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16372
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

quello di interesse nel nostro caso sono gli open file:
open files                      (-n) 1024
che di sefault sono impostati a 1024.
Per aumentare questo valore in running ci basta lanciare il seguente comando:
host:~# ulimit  -n 2048 www-data
che limita all’utente www-data 2048 open file.

Il secondo step riguarda il file limits.conf all’interno di /etc/security/ che avrà una riga del seguente tipo:
www-data        hard    nofile          2048
L’aver aggiornato questo file dovrebbe consentire, al riavvio della macchina, di non doversi preoccupare di lanciare un nuovo ulimit per reimpostare le limitazioni.
N.B.: questi path riguardano una Debian.

Technorati Tags: too many open files, ulimit, PHP

Posted in Debian, Linux, News, Security | No Comments »

Tsung un utile tool per il testing di applicazioni

Marzo 29th, 2010 glycerin

Tsung (conosciuto come IDX-Tsunami) è un utile strumento per il load testing di applicazioni IP based client/server quali ad esempio i server HTTP, WebDAV, SOAP, PostgreSQL, MySQL, LDAP e Jabber/XMPP. Tsung è sviluppato in Erlang un linguaggio open-source sviluppato da Ericsson per la realizzazione di applicazioni robuste e fault-tolerant. Può essere distribuito su diversi client e così simulare centinaia di migliaia di utenti virtuali concorrenti fra loro.
Anche questo è uno strumento da tenere in considerazione se si vuole rilasciare una propria applicazione, oltre che sicura, anche affidabile.

Technorati Tags: Tsung, Erlang, MySQL, HTTP, PostgreSQL, Jabber

Posted in Linux, News, Security, mysql | No Comments »

Skipfish un “web security scanner” rilasciato da Google

Marzo 28th, 2010 glycerin

Google ha rilasciato un security scanner open source che consente agli sviluppatori di web application di testare la loro applicazione alla ricerca di “buchi di sicurezza”. L’applicazione chiamata Skipfish ha un funzionamento simile a NMAP o Nessus ma con prestazioni più veloci. Con una euristica completamente automatica può individuare codice vulnerabile ad attacchi cross-site scripting (XSS), SQL e XML injection. Il tool alla fine del ciclo di test è in aiuto dello sviluppatore con un report che facilita la sua interpretazione, la sua scrittura completamente in codice C consente di processare circa 2000 HTTP request per secondo permettendo così di stressare il server remoto. Google raggiunge alte performance per mezzo di un modello di I/O seriale che processa le response in modo asincrono e, si dice, che consente una maggiore scalabilità rispetto agli approcci multi-threaded con processamento di richieste sincrone. Inoltre Google afferma di usare questo tool per testare le proprie applicazioni. In ogni caso questi controlli di security sono lontani dal soddisfare molti dei criteri del Consorzio Web Application Security WASC i Web Application Security Scanner Evaluation Criteria.
Skipfish che è ancora in Beta è stato rilasciato sotto la versione 2 dell’Apache License.

Link Utili: Google rilascia skipfish, per la sicurezza degli applicativi web

Technorati Tags: nessus, nmap, skipfish, WASC

Posted in Debian, Linux, News, Security | 1 Comment »

Disponibile (IN)SECURE Magazine … la 24

Febbraio 3rd, 2010 glycerin

Finalmente è disponibile la nuova versione di INSECURE Magazine la 24.
L’elenco degli articoli è il seguente:

• Writing a secure SOAP client with PHP: Field report from a real-world project
• How virtualized browsing shields against web-based attacks
• Review: 1Password 3
• Preparing a strategy for application vulnerability detection
• Threats 2.0: A glimpse into the near future
• Preventing malicious documents from compromising Windows machines
• Balancing productivity and security in a mixed environment
• AES and 3DES comparison analysis
• OSSEC: An introduction to open source log and event management
• Book review – Hacking: The Next Generation
• Q&A: Sandra Toms LaPedis on RSA Conference 2010
• Secure and differentiated access in enterprise wireless networks
• Achieving continuous PCI compliance with IT GRC

Articolo sicuramente da approfondire è quello inerente il SOAP client. Da leggere ……….

Technorati Tags: INSECURE Magazine, SOAP

Posted in News, Security | No Comments »

Gmail e SSL

Gennaio 14th, 2010 glycerin

Google ha deciso di modificare le proprie policy di accesso alla mail da loro gestita decidendo di accogliere le raccomandazioni di alcuni prestigiose personalità e ricercatori in materia di security quali ad esempio Bruce Schneier.
In pratica non solo verrà gestita in SSL la semplice login di accesso alla webmail ma anche tutta la sessione di gestione. I consigli che sono pervenuti nella sede di Google riguardano la possibilità di entrare in possesso dei contenuti delle mail che senza un certificato SSL viaggerebbero nella rete in chiaro, cosa facilitata se si utilizza una connessione Wi-Fi. In questo modo la connessione verrà cifrata per tutta la durata della sessione.

Se un utente volesse decidere di non usare i certificati potrebbe disattivare quest’opzione direttamente tramite i settings del proprio account:

Una volta salvata la modifica è possibile forzare la URL a non usare la https ma semplicemente l’http.

Technorati Tags: gmail, Bruce Schneier, SSL

Posted in News, Security | 2 Comments »

BackTrack 4 Final Release

Gennaio 12th, 2010 glycerin

Disponibile la versione 4 di Backtrack al link http://www.backtrack-linux.org/downloads/.
Quest’ultima presenta un nuovo kernel un pià ampio reposiroty di tool insieme a dei tool custom da scoprire. Insieme ovviamente a dei fixes necessari per quelli già operativi. Questa versione ha ricevuto un più largo supporto dalla community …. fatto non da trascurare direi …

Posted in Linux, News, Security | No Comments »

Il support per MySQL 5.0 terminerà entro la fine dell’anno

Dicembre 11th, 2009 glycerin

Stando alla notizia pubblicata su “The H Open Source” la versione 5.0 del noto DB server non sarà più sotto sviluppo e non sarà fornito alcun aggiornamento dei binari a partire dal 31 Dicembre 2009. A partire dal 1 Gennaio 2010 la 5.0 sarà posta nello stato “Extended Support“, ovvero soltanto gravi bug e vulnerabilità che ne possano compromettere la sicurezza verranno sistemati per quei clienti che hanno un rapporto contrattuale di maintenance, fino alla fine del 2011.
Sun consiglia di passare alla versione 5.1 senza con ciò dimenticare che il supporto verso questa release terminerà nella metà di Dicembre del prossimo anno.

Posted in Debian, Linux, News, Security, mysql | 2 Comments »

Cracking della password di admin di WordPress attraverso attacchi del tipo bruteforce

Novembre 30th, 2009 glycerin

Stando a quanto riportato da The Register, fonte l’istituto Sans.org sono stati ritrovati alcuni script in PHP su di una VPS (Virtual Private Server) con lo scopo di tentare un attacco del tipo Bruteforce verso le utenze di administrator di siti realizzati con Wordpress. L’attacco è di tipo distribuito verso più siti e il risultato del cracking viene memorizzato su di un DB MySQL permettendo all’attaccante di lanciare varie istanze dello script, e ovviamente avere le info in modo immediato su come entrare in un particolare sito con l’utenza di admin.
Come workaround per ovviare a questo problema direi che oltre che cambiare più frequentemente la password di admin, vi siano anche da adottare politiche di limitazione sui tentativi di inserimento password ad esempio utilizzando Fail2Ban o via ipt_recent di IPTABLES e, se possibile, utilizzare delle politiche di filtraggio su IP per la pagina di accesso alla login di administrator.

Posted in Linux, News, Security | 3 Comments »