gabcicala » Security

Dovecot e il problema “Too many open files”

glycerin — Fri, 01 Jul 2011 10:56:52 +0000

Stamane mi è capitato di dover correre ai ripari per una segnalazione di questo tipo che si notava a livello di syslog e del mail.log per un sistema con Dovecot e Postfix. La segnalazione sul syslog è di questo tipo:


dovecot: pipe() failed: Too many open files

Sulla rete vi sono diverse guide ma più che altro delle liste di discussione. Una guida che mi è parsa utile è al segneute link Dovecot and the “Too many open files” error ma nel mio caso non è stato utile in quanto sarebbe necessario almeno un riavvio di macchina. E sinceramente ha anche questo dei rischi visto che la macchina è stata praticamente abbandonata.

Un’altra pista perseguibile è quella di aumentare “system-wide” la possibilità di aprire file con la direttica sysctl seguente:

sysctl -w fs.file-max=100000


A questo link è stato esplicitato con maggior chiarezza questo passaggio ... Linux Increase The Maximum Number Of Open Files / File Descriptors (FD)

Technorati Tags: dovecot, too many open files, postfix

WordPress …. disponibile la versione 3.1.2

glycerin — Tue, 26 Apr 2011 22:11:27 +0000

Dopo la 3.1.1 e, a distanza di poco tempo, è disponibile la nuova release, la 3.1.2.
A dire il vero bisogna ringraziare il plugin di update automatico, altrimenti questi aggiornamenti continui sarebbero una vera e propria barba. Anche se personalmente prediligo l’upgrade tradizionale, devo dire che in alcuni casi questo plugin è un vero e proprio toccasana.

Con questo upgrade viene chiusa la possibilità per quegli utenti con credenziali del tipo “contributor-level” di poter pubblicare post impropriamente. Quindi chiunque permette di pubblicare contenuti a diverse utenze è caldamente consigliato ad aggiornare la versione in uso.

Di seguito la release note … WordPress 3.1.2

Technorati Tags: wordpress, patch, upgrade

Apache 2.2.9 in Debian Lenny e la direttiva ServerTokens

glycerin — Wed, 13 Oct 2010 16:44:53 +0000

Questo appunto devo lasciarlo per altre occasioni in cui mi trovo a settare la direttiva e ritrovarmi a perdere una marea di tempo cercando di capire come mai non funzioni.
Una cosa che ho l’abitudine di fare è di rinominare i file installati in origine come nome_file.orig. In questo caso questa cautela può essere dannosa; ovvero rinominare il file security posto all’interno di /etc/apache2/conf.d in security.orig può portare a perdere una marea di tempo nel capire come mai la direttiva ServerTokens magari posta a Prod si presenti come una Full, come in origine.
In soldoni il daemon non distingue i due file di configurazione e quindi va a leggere il security.orig e non quello modificato; vanificando l’impostazione richiesta. Cosa alquanto strana e direi anche mooolto antipatica perchè se non testata potrebbe portare a delle misconfiguration del web server.
Un veloce workaround è banalmente il dover rinominare il file in un diverso modo; ad esempio orig_security o altro modo; oppure spostare il file magari in /var/backups.
Technorati Tags: Apache2, ServerTokens

Anche gli sviluppatori del kernel Linux a volte sbagliano

glycerin — Sat, 18 Sep 2010 23:00:52 +0000

Leggendo la nuova, che poi nuova non è, vulnerabilità riguardante il kernel Linux su “H security” non ho potuto fare a meno di pensare ciò. Se effettivamente la cosa risulta come raccontato nell’articolo in questione l’unica cosa che posso aggiungere è che sbagliare è umano. Lo so che per chi ha in ambiente di produzione una potenziale vulnerabilità di questo tipo la cosa non risulta facile da digerire ma così è ……

A quanto detto da Ben Hawkes la vulnerabilità venne scoperta e chiusa nel 2007 ma poi nel 2008, inspiegabilmente, la patch venne rimossa riaprendo la vulnerabilità che permette di guadagnare i permessi di root per mezzo di un exploit che si può tranquillamente scaricare e testare. Il problema riguarda i sistemi a 64 bit nella compatibility mode a 32 bit; in soldoni il livello di emulazione a 32 bit non discrimina se la “call” è all’interno della Syscall table o meno. Su seclists.org è stato pubblicato un veloce workaround per limitare i danni fino a quando non si potrà aggiornare il kernel vulnerabile.
Technorati Tags: linux, kernel, exploit, seclist.org

Replicazione MySQL tra una LENNY e una ETCH Debian ed Error_code: 1105

glycerin — Mon, 17 May 2010 16:18:00 +0000

Mi è capitato di dover configurare una replicazione tra un server Debian Lenny e un altro ETCH sempre Debian e dover affrontare una problematica che descrivo di sguito.
Una volta realizzata la replicazione compare, nel daemon.log, una segnalazione che implica il dover skippare l’errore lato mysql per far sì che la replicazione tra i due host continui.
In pratica nel my.cnf viene aggiunta la seguente riga:

# inserito lo slave-skip-errors per rimediare alla incompatibilita tra
la versione 5.0.51 e la 5.0.32
slave-skip-errors=1105
#

che permette alla replicazione di andare avanti.
Sul daemon.log compare di continuo la riga allegata in basso e in ogni caso l’aggiungere questo parametro può essere considerata soltanto una soluzione tampone. Anche perchè nella casistica 1105 rientrano tutti gli errori classificati come unknown (http://dev.mysql.com/doc/refman/5.0/en/error-messages-server.html#error_er_unknown_error)

In ogni caso è bene leggere le warning presenti sul sito MySQL:
http://dev.mysql.com/doc/refman/5.0/en/replication-options-slave.html#option_mysqld_slave-skip-errors

Segnalazione del daemon.log:
May 17 18:11:10 host mysqld[27024]: 100517 18:11:10 [ERROR] Slave: According to the master’s version (’5.0.32-Debian_7etch11-log’), it is probable that master suffers from this bug: http://bugs.mysql.com/bug.php?id=24432 and thus replicating the current binary log event may make the slave’s data become different from the master’s data. To take no risk, slave refuses to replicate this event and stops. We recommend that all updates be stopped on the master and slave, that the data of both be manually synchronized, that master’s binary logs be deleted, that master be upgraded to a version at least equal to ’5.0.38′. Then replication can be restarted. Error_code: 1105

Technorati Tags: mysql, Error_code: 1105, daemon, lenny, etch

Too many open files

glycerin — Thu, 01 Apr 2010 16:24:17 +0000

A volte capita che nel far girare uno script PHP o un applicativo si aprono troppi file o socket con una segnalazione simile a quella in oggetto.
Per rimediare bisogna andare a rivedere le limitazioni mediante ulimit.
In genere con un ulimit -a si ottiene un listato di questo tipo:

host:~# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16372
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16372
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

quello di interesse nel nostro caso sono gli open file:
open files (-n) 1024
che di sefault sono impostati a 1024.
Per aumentare questo valore in running ci basta lanciare il seguente comando:
host:~# ulimit -n 2048 www-data
che limita all’utente www-data 2048 open file.

Il secondo step riguarda il file limits.conf all’interno di /etc/security/ che avrà una riga del seguente tipo:
www-data hard nofile 2048
L’aver aggiornato questo file dovrebbe consentire, al riavvio della macchina, di non doversi preoccupare di lanciare un nuovo ulimit per reimpostare le limitazioni.
N.B.: questi path riguardano una Debian.

P.S.: come descritto su questo link le limitazioni che vengono indicate nel file limits.conf possono

P.S.: come descritto su questo link (How to: Prevent a fork bomb by limiting user process) le limitazioni che vengono indicate nel file limits.conf possono essere utili per limitare il fork bombTechnorati Tags: too many open files, ulimit, PHP, fork bomb

Too many open files

glycerin — Thu, 01 Apr 2010 16:16:03 +0000

Technorati Tags: too many open files, ulimit, PHP

Tsung un utile tool per il testing di applicazioni

glycerin — Mon, 29 Mar 2010 22:52:03 +0000

Tsung (conosciuto come IDX-Tsunami) è un utile strumento per il load testing di applicazioni IP based client/server quali ad esempio i server HTTP, WebDAV, SOAP, PostgreSQL, MySQL, LDAP e Jabber/XMPP. Tsung è sviluppato in Erlang un linguaggio open-source sviluppato da Ericsson per la realizzazione di applicazioni robuste e fault-tolerant. Può essere distribuito su diversi client e così simulare centinaia di migliaia di utenti virtuali concorrenti fra loro.
Anche questo è uno strumento da tenere in considerazione se si vuole rilasciare una propria applicazione, oltre che sicura, anche affidabile.

Technorati Tags: Tsung, Erlang, MySQL, HTTP, PostgreSQL, Jabber

Skipfish un “web security scanner” rilasciato da Google

glycerin — Sun, 28 Mar 2010 15:33:24 +0000

Google ha rilasciato un security scanner open source che consente agli sviluppatori di web application di testare la loro applicazione alla ricerca di “buchi di sicurezza”. L’applicazione chiamata Skipfish ha un funzionamento simile a NMAP o Nessus ma con prestazioni più veloci. Con una euristica completamente automatica può individuare codice vulnerabile ad attacchi cross-site scripting (XSS), SQL e XML injection. Il tool alla fine del ciclo di test è in aiuto dello sviluppatore con un report che facilita la sua interpretazione, la sua scrittura completamente in codice C consente di processare circa 2000 HTTP request per secondo permettendo così di stressare il server remoto. Google raggiunge alte performance per mezzo di un modello di I/O seriale che processa le response in modo asincrono e, si dice, che consente una maggiore scalabilità rispetto agli approcci multi-threaded con processamento di richieste sincrone. Inoltre Google afferma di usare questo tool per testare le proprie applicazioni. In ogni caso questi controlli di security sono lontani dal soddisfare molti dei criteri del Consorzio Web Application Security WASC i Web Application Security Scanner Evaluation Criteria.
Skipfish che è ancora in Beta è stato rilasciato sotto la versione 2 dell’Apache License.

Link Utili: Google rilascia skipfish, per la sicurezza degli applicativi web

Technorati Tags: nessus, nmap, skipfish, WASC

Disponibile (IN)SECURE Magazine … la 24

glycerin — Wed, 03 Feb 2010 10:14:12 +0000

Finalmente è disponibile la nuova versione di INSECURE Magazine la 24.
L’elenco degli articoli è il seguente:

Writing a secure SOAP client with PHP: Field report from a real-world project
How virtualized browsing shields against web-based attacks
Review: 1Password 3
Preparing a strategy for application vulnerability detection
Threats 2.0: A glimpse into the near future
Preventing malicious documents from compromising Windows machines
Balancing productivity and security in a mixed environment
AES and 3DES comparison analysis
OSSEC: An introduction to open source log and event management
Book review – Hacking: The Next Generation
Q&A: Sandra Toms LaPedis on RSA Conference 2010
Secure and differentiated access in enterprise wireless networks
Achieving continuous PCI compliance with IT GRC

Articolo sicuramente da approfondire è quello inerente il SOAP client. Da leggere ……….

Technorati Tags: INSECURE Magazine, SOAP