Dovecot e il problema “Too many open files”

luglio 1st, 2011 glycerin

Stamane mi è capitato di dover correre ai ripari per una segnalazione di questo tipo che si notava a livello di syslog e del mail.log per un sistema con Dovecot e Postfix. La segnalazione sul syslog è di questo tipo:

dovecot: pipe() failed: Too many open files

Sulla rete vi sono diverse guide ma più che altro delle liste di discussione. Una guida che mi è parsa utile è al segneute link Dovecot and the “Too many open files” error ma nel mio caso non è stato utile in quanto sarebbe necessario almeno un riavvio di macchina. E sinceramente ha anche questo dei rischi visto che la macchina è stata praticamente abbandonata.

Un’altra pista perseguibile è quella di aumentare “system-wide” la possibilità di aprire file con la direttica sysctl seguente:

sysctl -w fs.file-max=100000


A questo link è stato esplicitato con maggior chiarezza questo passaggio ... Linux Increase The Maximum Number Of Open Files / File Descriptors (FD)

Technorati Tags: dovecot, too many open files, postfix

Posted in Debian, Linux, News, Open Source, Security | No Comments »

WordPress …. disponibile la versione 3.1.2

aprile 26th, 2011 glycerin

Dopo la 3.1.1 e, a distanza di poco tempo, è disponibile la nuova release, la 3.1.2.
A dire il vero bisogna ringraziare il plugin di update automatico, altrimenti questi aggiornamenti continui sarebbero una vera e propria barba. Anche se personalmente prediligo l’upgrade tradizionale, devo dire che in alcuni casi questo plugin è un vero e proprio toccasana.

Con questo upgrade viene chiusa la possibilità per quegli utenti con credenziali del tipo “contributor-level” di poter pubblicare post impropriamente. Quindi chiunque permette di pubblicare contenuti a diverse utenze è caldamente consigliato ad aggiornare la versione in uso.

Di seguito la release note … WordPress 3.1.2

Technorati Tags: wordpress, patch, upgrade

Posted in News, Security | No Comments »

Apache 2.2.9 in Debian Lenny e la direttiva ServerTokens

ottobre 13th, 2010 glycerin

 Powered by Max Banner Ads 

Questo appunto devo lasciarlo per altre occasioni in cui mi trovo a settare la direttiva e ritrovarmi a perdere una marea di tempo cercando di capire come mai non funzioni.
Una cosa che ho l’abitudine di fare è di rinominare i file installati in origine come nome_file.orig. In questo caso questa cautela può essere dannosa; ovvero rinominare il file security posto all’interno di /etc/apache2/conf.d in security.orig può portare a perdere una marea di tempo nel capire come mai la direttiva ServerTokens magari posta a Prod si presenti come una Full, come in origine.
In soldoni il daemon non distingue i due file di configurazione e quindi va a leggere il security.orig e non quello modificato; vanificando l’impostazione richiesta. Cosa alquanto strana e direi anche mooolto antipatica perchè se non testata potrebbe portare a delle misconfiguration del web server.
Un veloce workaround è banalmente il dover rinominare il file in un diverso modo; ad esempio orig_security o altro modo; oppure spostare il file magari in /var/backups.
Technorati Tags: Apache2, ServerTokens

Posted in Debian, Linux, News, Security | No Comments »

Anche gli sviluppatori del kernel Linux a volte sbagliano

settembre 19th, 2010 glycerin

Leggendo la nuova, che poi nuova non è, vulnerabilità riguardante il kernel Linux su “H security” non ho potuto fare a meno di pensare ciò. Se effettivamente la cosa risulta come raccontato nell’articolo in questione l’unica cosa che posso aggiungere è che sbagliare è umano. Lo so che per chi ha in ambiente di produzione una potenziale vulnerabilità di questo tipo la cosa non risulta facile da digerire ma così è ……

A quanto detto da Ben Hawkes la vulnerabilità venne scoperta e chiusa nel 2007 ma poi nel 2008, inspiegabilmente, la patch venne rimossa riaprendo la vulnerabilità che permette di guadagnare i permessi di root per mezzo di un exploit che si può tranquillamente scaricare e testare. Il problema riguarda i sistemi a 64 bit nella compatibility mode a 32 bit; in soldoni il livello di emulazione a 32 bit non discrimina se la “call” è all’interno della Syscall table o meno. Su seclists.org è stato pubblicato un veloce workaround per limitare i danni fino a quando non si potrà aggiornare il kernel vulnerabile.
Technorati Tags: linux, kernel, exploit, seclist.org

Posted in Linux, News, Security | No Comments »

Replicazione MySQL tra una LENNY e una ETCH Debian ed Error_code: 1105

maggio 17th, 2010 glycerin

Mi è capitato di dover configurare una replicazione tra un server Debian Lenny e un altro ETCH sempre Debian e dover affrontare una problematica che descrivo di sguito.
Una volta realizzata la replicazione compare, nel daemon.log, una segnalazione che implica il dover skippare l’errore lato mysql per far sì che la replicazione tra i due host continui.
In pratica nel my.cnf viene aggiunta la seguente riga:

# inserito lo slave-skip-errors per rimediare alla incompatibilita tra
la versione 5.0.51 e la 5.0.32
slave-skip-errors=1105
#

che permette alla replicazione di andare avanti.
Sul daemon.log compare di continuo la riga allegata in basso e in ogni caso l’aggiungere questo parametro può essere considerata soltanto una soluzione tampone. Anche perchè nella casistica 1105 rientrano tutti gli errori classificati come unknown (http://dev.mysql.com/doc/refman/5.0/en/error-messages-server.html#error_er_unknown_error)

In ogni caso è bene leggere le warning presenti sul sito MySQL:
http://dev.mysql.com/doc/refman/5.0/en/replication-options-slave.html#option_mysqld_slave-skip-errors

Segnalazione del daemon.log:
May 17 18:11:10 host mysqld[27024]: 100517 18:11:10 [ERROR] Slave: According to the master’s version (’5.0.32-Debian_7etch11-log’), it is probable that master suffers from this bug: http://bugs.mysql.com/bug.php?id=24432 and thus replicating the current binary log event may make the slave’s data become different from the master’s data. To take no risk, slave refuses to replicate this event and stops. We recommend that all updates be stopped on the master and slave, that the data of both be manually synchronized, that master’s binary logs be deleted, that master be upgraded to a version at least equal to ’5.0.38′. Then replication can be restarted. Error_code: 1105

Technorati Tags: mysql, Error_code: 1105, daemon, lenny, etch

Posted in Debian, Linux, mysql, News, Security | No Comments »

Too many open files

aprile 1st, 2010 glycerin

A volte capita che nel far girare uno script PHP o un applicativo si aprono troppi file o socket con una segnalazione simile a quella in oggetto.
Per rimediare bisogna andare a rivedere le limitazioni mediante ulimit.
In genere con un ulimit -a si ottiene un listato di questo tipo:

host:~# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16372
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16372
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

quello di interesse nel nostro caso sono gli open file:
open files                      (-n) 1024
che di sefault sono impostati a 1024.
Per aumentare questo valore in running ci basta lanciare il seguente comando:
host:~# ulimit  -n 2048 www-data
che limita all’utente www-data 2048 open file.

Il secondo step riguarda il file limits.conf all’interno di /etc/security/ che avrà una riga del seguente tipo:
www-data        hard    nofile          2048
L’aver aggiornato questo file dovrebbe consentire, al riavvio della macchina, di non doversi preoccupare di lanciare un nuovo ulimit per reimpostare le limitazioni.
N.B.: questi path riguardano una Debian.

P.S.: come descritto su questo link le limitazioni che vengono indicate nel file limits.conf possono

P.S.: come descritto su questo link (How to: Prevent a fork bomb by limiting user process) le limitazioni che vengono indicate nel file limits.conf possono essere utili per limitare il fork bombTechnorati Tags: too many open files, ulimit, PHP, fork bomb

Posted in Debian, Linux, News, Security | 1 Comment »

Too many open files

aprile 1st, 2010 glycerin

A volte capita che nel far girare uno script PHP o un applicativo si aprono troppi file o socket con una segnalazione simile a quella in oggetto.
Per rimediare bisogna andare a rivedere le limitazioni mediante ulimit.
In genere con un ulimit -a si ottiene un listato di questo tipo:

host:~# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16372
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16372
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

quello di interesse nel nostro caso sono gli open file:
open files                      (-n) 1024
che di sefault sono impostati a 1024.
Per aumentare questo valore in running ci basta lanciare il seguente comando:
host:~# ulimit  -n 2048 www-data
che limita all’utente www-data 2048 open file.

Il secondo step riguarda il file limits.conf all’interno di /etc/security/ che avrà una riga del seguente tipo:
www-data        hard    nofile          2048
L’aver aggiornato questo file dovrebbe consentire, al riavvio della macchina, di non doversi preoccupare di lanciare un nuovo ulimit per reimpostare le limitazioni.
N.B.: questi path riguardano una Debian.

Technorati Tags: too many open files, ulimit, PHP

Posted in Debian, Linux, News, Security | No Comments »

Tsung un utile tool per il testing di applicazioni

marzo 29th, 2010 glycerin

Tsung (conosciuto come IDX-Tsunami) è un utile strumento per il load testing di applicazioni IP based client/server quali ad esempio i server HTTP, WebDAV, SOAP, PostgreSQL, MySQL, LDAP e Jabber/XMPP. Tsung è sviluppato in Erlang un linguaggio open-source sviluppato da Ericsson per la realizzazione di applicazioni robuste e fault-tolerant. Può essere distribuito su diversi client e così simulare centinaia di migliaia di utenti virtuali concorrenti fra loro.
Anche questo è uno strumento da tenere in considerazione se si vuole rilasciare una propria applicazione, oltre che sicura, anche affidabile.

Technorati Tags: Tsung, Erlang, MySQL, HTTP, PostgreSQL, Jabber

Posted in Linux, mysql, News, Security | No Comments »

Skipfish un “web security scanner” rilasciato da Google

marzo 28th, 2010 glycerin

Google ha rilasciato un security scanner open source che consente agli sviluppatori di web application di testare la loro applicazione alla ricerca di “buchi di sicurezza”. L’applicazione chiamata Skipfish ha un funzionamento simile a NMAP o Nessus ma con prestazioni più veloci. Con una euristica completamente automatica può individuare codice vulnerabile ad attacchi cross-site scripting (XSS), SQL e XML injection. Il tool alla fine del ciclo di test è in aiuto dello sviluppatore con un report che facilita la sua interpretazione, la sua scrittura completamente in codice C consente di processare circa 2000 HTTP request per secondo permettendo così di stressare il server remoto. Google raggiunge alte performance per mezzo di un modello di I/O seriale che processa le response in modo asincrono e, si dice, che consente una maggiore scalabilità rispetto agli approcci multi-threaded con processamento di richieste sincrone. Inoltre Google afferma di usare questo tool per testare le proprie applicazioni. In ogni caso questi controlli di security sono lontani dal soddisfare molti dei criteri del Consorzio Web Application Security WASC i Web Application Security Scanner Evaluation Criteria.
Skipfish che è ancora in Beta è stato rilasciato sotto la versione 2 dell’Apache License.

Link Utili: Google rilascia skipfish, per la sicurezza degli applicativi web

Technorati Tags: nessus, nmap, skipfish, WASC

Posted in Debian, Linux, News, Security | 1 Comment »

Disponibile (IN)SECURE Magazine … la 24

febbraio 3rd, 2010 glycerin

Finalmente è disponibile la nuova versione di INSECURE Magazine la 24.
L’elenco degli articoli è il seguente:

• Writing a secure SOAP client with PHP: Field report from a real-world project
• How virtualized browsing shields against web-based attacks
• Review: 1Password 3
• Preparing a strategy for application vulnerability detection
• Threats 2.0: A glimpse into the near future
• Preventing malicious documents from compromising Windows machines
• Balancing productivity and security in a mixed environment
• AES and 3DES comparison analysis
• OSSEC: An introduction to open source log and event management
• Book review – Hacking: The Next Generation
• Q&A: Sandra Toms LaPedis on RSA Conference 2010
• Secure and differentiated access in enterprise wireless networks
• Achieving continuous PCI compliance with IT GRC

Articolo sicuramente da approfondire è quello inerente il SOAP client. Da leggere ……….

Technorati Tags: INSECURE Magazine, SOAP

Posted in News, Security | No Comments »