Ho attivato il sito di gnumerica su vuoto e funziona. Funziona anche il redirect di spazio. Il sito del bsf è attivo, va cipiato il db (lo farò a breve) ciao
------------------------------------------------- This mail sent through IMP: http://horde.org/imp/
On Tue, Aug 30, 2005 at 12:48:01AM +0200, Alessandro Marca wrote:
Ho attivato il sito di gnumerica su vuoto e funziona.
bravo ale, per fortuna che ci sei tu.
Funziona anche il redirect di spazio.
wow. ci stai dando dentro. complimenti.
Il sito del bsf è attivo, va cipiato il db (lo farò a breve)
ocio ai largeobjects che ci sono dentro.
ma quando torni in uni?
p.s. non mi laureo neanche a settembre.
a ottobre si.
On Wed, Aug 31, 2005 at 04:26:42PM +0200, pivi wrote:
On Wed, Aug 31, 2005 at 04:18:21PM +0200, marco ghidinelli wrote:
a ottobre si.
ci saranno le donnine nude e vogliose?
come sempre alle mie feste.
l'ultima pero' e' del 1994...
ciao!
On Wed, Aug 31, 2005 at 04:42:53PM +0200, pivi wrote:
On Wed, Aug 31, 2005 at 04:35:55PM +0200, marco ghidinelli wrote:
l'ultima pero' e' del 1994...
beh, all'epoca ero cosi giovane che solo nude anche non vogliose mi sarebbero bastate, potevi invitarmi
quanti anni avevi? 12?
:)
Sono tornato oggi. Ho ripristinato anche il db del bsf e convertito il sito in modo che possta funzionare con il nuovo set di funzioni per postgres di php >= 4.2 (per lo più conversione di nomi di funzione). Adesso il sito visualizza la pagina di manutenzione perchè non riescre a creare la connessione al db. Ho provato da linea di comando psql come utente postgres e mi lascia accedere, e dai log non ottengo nessuna info. Neanche phppgadmin funzione (ho creato un altro utente perchè non conosco la password dell'utente postgres). Idee? Ciao.
Scrive marco ghidinelli marcogh@linux.it:
On Tue, Aug 30, 2005 at 12:48:01AM +0200, Alessandro Marca wrote:
Ho attivato il sito di gnumerica su vuoto e funziona.
bravo ale, per fortuna che ci sei tu.
Funziona anche il redirect di spazio.
wow. ci stai dando dentro. complimenti.
Il sito del bsf è attivo, va cipiato il db (lo farò a breve)
ocio ai largeobjects che ci sono dentro.
ma quando torni in uni?
p.s. non mi laureo neanche a settembre.
a ottobre si.
-- BOFH excuse #301:
appears to be a Slow/Narrow SCSI-0 Interface problem _______________________________________________ Cialtroni mailing list
------------------------------------------------- This mail sent through IMP: http://horde.org/imp/
On Thu, Sep 01, 2005 at 02:30:20PM +0200, Alessandro Marca wrote:
Sono tornato oggi. Ho ripristinato anche il db del bsf e convertito il sito in modo che possta funzionare con il nuovo set di funzioni per postgres di php >= 4.2 (per lo più conversione di nomi di funzione). Adesso il sito visualizza la pagina di manutenzione perchè non riescre a creare la connessione al db. Ho provato da linea di comando psql come utente postgres e mi lascia accedere, e dai log non ottengo nessuna info. Neanche phppgadmin funzione (ho creato un altro utente perchè non conosco la password dell'utente postgres). Idee?
forse non riesce a connettersi alla porta 5432?
Alessandro Marca wrote:
Sono tornato oggi. Ho ripristinato anche il db del bsf e convertito il sito in modo che possta funzionare con il nuovo set di funzioni per postgres di php >= 4.2 (per lo più conversione di nomi di funzione). Adesso il sito visualizza la pagina di manutenzione perchè non riescre a creare la connessione al db. Ho provato da linea di comando psql come utente postgres e mi lascia accedere, e dai log non ottengo nessuna info. Neanche phppgadmin funzione (ho creato un altro utente perchè non conosco la password dell'utente postgres).
Idee?
da /usr/share/phppgadmin/conf/config.inc.php
// If extra login security is true, then logins via phpPgAdmin with no // password or certain usernames (pgsql, postgres, root, administrator) // will be denied. Only set this false once you have read the FAQ and // understand how to change PostgreSQL's pg_hba.conf to enable // passworded local connections. $conf['extra_login_security'] = true;
ciao bi0
Ciao.
Scrive marco ghidinelli marcogh@linux.it:
On Tue, Aug 30, 2005 at 12:48:01AM +0200, Alessandro Marca wrote:
Ho attivato il sito di gnumerica su vuoto e funziona.
bravo ale, per fortuna che ci sei tu.
Funziona anche il redirect di spazio.
wow. ci stai dando dentro. complimenti.
Il sito del bsf è attivo, va cipiato il db (lo farò a breve)
ocio ai largeobjects che ci sono dentro.
ma quando torni in uni?
p.s. non mi laureo neanche a settembre.
a ottobre si.
-- BOFH excuse #301:
appears to be a Slow/Narrow SCSI-0 Interface problem _______________________________________________ Cialtroni mailing list
This mail sent through IMP: http://horde.org/imp/
Cialtroni mailing list
On Thu, Sep 01, 2005 at 02:30:20PM +0200, Alessandro Marca wrote:
Sono tornato oggi. Ho ripristinato anche il db del bsf e convertito il sito in modo che possta funzionare con il nuovo set di funzioni per postgres di php >= 4.2 (per lo più conversione di nomi di funzione). Adesso il sito visualizza la pagina di manutenzione perchè non riescre a creare la connessione al db. Ho provato da linea di comando psql come utente postgres e mi lascia accedere, e dai log non ottengo nessuna info. Neanche phppgadmin funzione (ho creato un altro utente perchè non conosco la password dell'utente postgres). Idee? Ciao.
ma perche' phppgadmin? non ci serve, dai... non cominciamo a mettere su porcate.. ;)
al max si fa un tunnel ssh e si usa qualche client da remoto, ma non un coso sempre attivo con n problemi di sicurezza.
(qualcuno voleva installare phpldapadmin settimane fa. la settimana scorsa e' uscito un bug di sicurezza che permette a chiunque di accedere al database ldap senza password).
ciao!
ma perche' phppgadmin? non ci serve, dai... non cominciamo a mettere su porcate.. ;)
al max si fa un tunnel ssh e si usa qualche client da remoto, ma non un coso sempre attivo con n problemi di sicurezza.
Non ho parole.....
(qualcuno voleva installare phpldapadmin settimane fa. la settimana scorsa e' uscito un bug di sicurezza che permette a chiunque di accedere al database ldap senza password).
Quel qualcuno voleva ovviamente mettere phpldapadmin protetto con htaccess
La sicurezza non e' usare software ma installarlo con logica.
Ciao Rick
On Thu, Sep 01, 2005 at 04:03:06PM +0200, Riccardo Bini wrote:
(qualcuno voleva installare phpldapadmin settimane fa. la settimana scorsa e' uscito un bug di sicurezza che permette a chiunque di accedere al database ldap senza password).
Quel qualcuno voleva ovviamente mettere phpldapadmin protetto con htaccess
io non avevo fatto nomi. :)
La sicurezza non e' usare software ma installarlo con logica.
sisi, mr nopassword... ;)
Alle 16:07, giovedì 1 settembre 2005, marco ghidinelli ha scritto:
On Thu, Sep 01, 2005 at 04:03:06PM +0200, Riccardo Bini wrote:
(qualcuno voleva installare phpldapadmin settimane fa. la settimana scorsa e' uscito un bug di sicurezza che permette a chiunque di accedere al database ldap senza password).
Quel qualcuno voleva ovviamente mettere phpldapadmin protetto con htaccess
io non avevo fatto nomi. :)
Neanche io
La sicurezza non e' usare software ma installarlo con logica.
sisi, mr nopassword... ;)
Ripeto, la mia soluzione (intendo nopassword in ssh) e' piu' sicura della tua.
Rick
On Thu, Sep 01, 2005 at 04:13:33PM +0200, Riccardo Bini wrote:
La sicurezza non e' usare software ma installarlo con logica.
sisi, mr nopassword... ;)
Ripeto, la mia soluzione (intendo nopassword in ssh) e' piu' sicura della tua.
si, certo.
ma per favore, dai..
con il tuo sistema il tuo utente e' root. quindi non serve nemmeno mettere un utente.
quindi non serve nemmeno proteggersi da bug in programmi utente, perche' tanto poi chiunque abbia l'accesso diventa anche root.
insomma a me sembra una bella cagata, scusa la franchezza.
Alle 16:28, giovedì 1 settembre 2005, marco ghidinelli ha scritto:
On Thu, Sep 01, 2005 at 04:13:33PM +0200, Riccardo Bini wrote:
La sicurezza non e' usare software ma installarlo con logica.
sisi, mr nopassword... ;)
Ripeto, la mia soluzione (intendo nopassword in ssh) e' piu' sicura della tua.
si, certo.
ma per favore, dai..
con il tuo sistema il tuo utente e' root. quindi non serve nemmeno mettere un utente.
quindi non serve nemmeno proteggersi da bug in programmi utente, perche' tanto poi chiunque abbia l'accesso diventa anche root.
insomma a me sembra una bella cagata, scusa la franchezza.
A me sembra che tu dica un sacco di cagate, mi sembra un selirio il tuo ragionamento e non mi sembra per niente franco. Spiegamo come il mio utente e' root e il tuo no. Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo. La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica. Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
Rick
Al di la del battibecco tra marco rick, sto usando phppgadmin solo per testare la funzionalità di php con postgres, perchè non trovo il problema e non ero sicuro della traduzione che ho fatto del sito del bsf (in realtà sì, perchè ho seguito le indicazione del manuale, ma per provare...). In ogni caso phppgadmin l'ho trovato già installato.
Comunque, ho risolto il problema: facevo tutto giusto compresa la modifica al file pg_hda.conf; peccato fosse quello sbagliato: quelli utlizzati da postgres sono in /var/lib/postgres/data e non in /etc/postgres. Non so per quale motivo vi siano due versioni non in link (forse una era nel tar di laundry? non so, mi sembrano di default entrambe le versioni), comunque le linko: /etc/postgres/*->/var/lib/postgres/data/*
ciao
(tolgo phppgadmin)
------------------------------------------------- This mail sent through IMP: http://horde.org/imp/
On Thu, Sep 01, 2005 at 05:09:08PM +0200, Alessandro Marca wrote:
seguito le indicazione del manuale, ma per provare...). In ogni caso phppgadmin l'ho trovato già installato.
mmmmm....
Comunque, ho risolto il problema: facevo tutto giusto compresa la modifica al file pg_hda.conf; peccato fosse quello sbagliato: quelli utlizzati da postgres sono in /var/lib/postgres/data e non in /etc/postgres.
ahia. non e' bello cio'. non e' che abbiamo canato a fare il tarrone?
On Mon, Sep 05, 2005 at 03:29:18PM +0200, Alessandro Marca wrote:
argh! il post in html!!!!
argh!
vergognati!!!!
riposta, please..
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html> <head> <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type"> <title></title> </head> <body bgcolor="#ffffff" text="#000000"> bsf funzionante; ho fatto questo script brutale per le modifice necessarie da php 4.1 a 4.2 e superiori:<br> <br> #!/usr/bin/perl<br> <br> foreach $path (@ARGV) {<br> process($path);<br> }<br> <br> sub process {<br> my $path = shift(@_);<br> if ( -d $path) {<br> opendir($dir, $path) || die "can't opendir $some_dir: $!";<br> my @files = grep { /^[^.]/ } readdir($dir);<br> foreach $file (@files){<br> process("$path/$file");<br> }<br> closedir $dir;<br> } elsif ( -T $path) {<br> print "$path ... ";<br> substitute($path, 'fh00');<br> print "done.";<br> }<br>
spetta.
ci sono altre variabili d'ambiente piu' utili, ad esempio la _REQUEST che contiene tutte le richieste _POST _GET _COOKIE che possono arrivare dal lato utente.
ciao!
E' indifferente prelevare i dati da _REQUEST _POST _GET l'importante è cge va aggiunta una righa del tipo $nomevar = $_VARAMBIENTE['nomevar']; in tutte le pagine che prevedono il passaggio di una variabile dalla url.
marco ghidinelli ha scritto:
spetta.
ci sono altre variabili d'ambiente piu' utili, ad esempio la _REQUEST che contiene tutte le richieste _POST _GET _COOKIE che possono arrivare dal lato utente.
ciao!
On Thu, Sep 01, 2005 at 04:41:05PM +0200, Riccardo Bini wrote:
A me sembra che tu dica un sacco di cagate,
dimostramelo. ;)
mi sembra un selirio il tuo ragionamento
di solito mi capita ma non mi sembra in questo caso.
e non mi sembra per niente franco.
perche'?
Spiegamo come il mio utente e' root e il tuo no.
utente + nopassword -> root sempre e comunque senza alcuna limitazione.
marcogh + richiesta password -> root __solo__ se c'e' la password.
Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo.
perche' nel tuo c'e' nopassword e nel mio no?
La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica.
in linea di principio penso che sia molto piu' improbabile che scoprano una password che c'e' solo nella mia mente. forse un keylogger, ma comunque piu' complicato sicuramente che rubare il tuo portatile, copiare tutto il disco, e restituirtelo.
ma in entrambi i casi il livello di sicurezza di accesso mi sembra sufficente, sia con chiave rsa/dsa sia con password.
pero' la differenza e' che se entrano come utente marcogh sono comuque l'utente marcogh e __NON__ l'utente root.
nel tuo caso invece sono gia' root.
quindi nel mio caso devono cercare un metodo di 'privilege escalation' che permetta di diventare root, e nel tuo no: __SONO_GIA'__ root.
questa e' la differenza.
Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
principio del minimo privilegio: se qualcosa non e' strettamente necessaria non la si mette.
il caso di phpldapadmin e' proprio il caso perfetto per spiegare il funzionamento di questo metodo.
se poi vuoi usare comunque phpldapadmin lo metti su un'altra macchina e ci crei un tunnel ssh da una porta locale alla porta ldap di laundry visibile solo dall'interno, e usi il tunnel.
ciao!
Spiegamo come il mio utente e' root e il tuo no.
utente + nopassword -> root sempre e comunque senza alcuna limitazione.
marcogh + richiesta password -> root __solo__ se c'e' la password.
Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo.
perche' nel tuo c'e' nopassword e nel mio no?
Perche' sei malato 8-)
La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica.
in linea di principio penso che sia molto piu' improbabile che scoprano una password che c'e' solo nella mia mente. forse un keylogger, ma comunque piu' complicato sicuramente che rubare il tuo portatile, copiare tutto il disco, e restituirtelo.
A parte il fatto che e' piu' probabile che riescano a rubare la pasword di marcogh che il mio portatile, copiarne il contenuto e restituirmelo (mi sembra un film holliwoodiano su fantomatici hackers!). Ma detto questo, anche se mi rubano il mio portatile, copiano tutto, come possono accedere a lanudry?? Francamente non lo capisco. Spiegamelo tu per favore.
ma in entrambi i casi il livello di sicurezza di accesso mi sembra sufficente, sia con chiave rsa/dsa sia con password.
pero' la differenza e' che se entrano come utente marcogh sono comuque l'utente marcogh e __NON__ l'utente root.
Peccato che se riescono ad entrare come uutente marcogh usando la tua password possono tranquillamente riusare quella password per sudo.....
nel tuo caso invece sono gia' root.
Spiegami come riescano ad entrare come utente rick... il problema e' che tu non riesci a spiegare questa cosa (anche perche' penso non sia possibile in alcun modo) e dici una sacco di cose, vere, ma che non possono esistere se prima non dimostri quanto richiesto sopra.
quindi nel mio caso devono cercare un metodo di 'privilege escalation' che permetta di diventare root, e nel tuo no: __SONO_GIA'__ root.
questa e' la differenza.
Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
principio del minimo privilegio: se qualcosa non e' strettamente necessaria non la si mette.
il caso di phpldapadmin e' proprio il caso perfetto per spiegare il funzionamento di questo metodo.
Definiamo cosa non e' stettamente necessario....
se poi vuoi usare comunque phpldapadmin lo metti su un'altra macchina e ci crei un tunnel ssh da una porta locale alla porta ldap di laundry visibile solo dall'interno, e usi il tunnel.
E il tunnell e' sicuro???????????????????????????????????????????????? Dopo tutto quello che hai detto non puoi assolutamente dirmi che stunnell e' sicuro....
Ciao Rick
On Thu, Sep 01, 2005 at 05:35:49PM +0200, Riccardo Bini wrote:
Spiegamo come il mio utente e' root e il tuo no.
utente + nopassword -> root sempre e comunque senza alcuna limitazione.
marcogh + richiesta password -> root __solo__ se c'e' la password.
Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo.
perche' nel tuo c'e' nopassword e nel mio no?
Perche' sei malato 8-)
La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica.
in linea di principio penso che sia molto piu' improbabile che scoprano una password che c'e' solo nella mia mente. forse un keylogger, ma comunque piu' complicato sicuramente che rubare il tuo portatile, copiare tutto il disco, e restituirtelo.
A parte il fatto che e' piu' probabile che riescano a rubare la pasword di marcogh
mi entrano nel cervello? mmm... dovrebbero avere delle apparecchiature che funzionano nel vuoto.. ;)
che il mio portatile, copiarne il contenuto e restituirmelo (mi sembra un film holliwoodiano su fantomatici hackers!). Ma detto questo, anche se mi rubano il mio portatile, copiano tutto, come possono accedere a lanudry?? Francamente non lo capisco. Spiegamelo tu per favore.
leggi le due righe sotto..
ma in entrambi i casi il livello di sicurezza di accesso mi sembra sufficente, sia con chiave rsa/dsa sia con password.
..
pero' la differenza e' che se entrano come utente marcogh sono comuque l'utente marcogh e __NON__ l'utente root.
Peccato che se riescono ad entrare come uutente marcogh usando la tua password possono tranquillamente riusare quella password per sudo.....
io di solito la password non la uso per entrare, uso la chiave rsa.
e ti ripeto che un bruteforce della password da remoto e' impossibile da praticare: e' praticamente impossibile anche da locale, figurati da remoto.
nel tuo caso invece sono gia' root.
Spiegami come riescano ad entrare come utente rick...
un prob di sicurezza su qualcosa, che sia il setuid di apache o qualche problema di sicurezza di postfix o qualcosa di strano del genere, magari andando a sovrascrivere per il tuo utente il file .bashrc da una vulnerabilita' di postgresql (realmente successo anni fa).
oppure ti han fregato la chiave rsa per qualche ragione.
certo, scenari non molto comuni. ma comunque quello che dico e':
"una cavolo di password sicuramente e' meglio che nessuna password".
il problema e' che tu non riesci a spiegare questa cosa
te l'ho spiegata. :)
(anche perche' penso non sia possibile in alcun modo) e dici una sacco di cose, vere, ma che non possono esistere se prima non dimostri quanto richiesto sopra.
la questione e' che di principio non mi piace la cosa del 'nopassword'. e non mi piace appunto perche' non richiede da parte degli attaccanti un privilege escalation. poi prob e' impossibile comunque che entrino, ma in ogni caso vai a togliere un livello di sicurezza.
e, ripeto, non ti costa tanto tenere una password su quella macchina.
principio del minimo privilegio: se qualcosa non e' strettamente necessaria non la si mette.
il caso di phpldapadmin e' proprio il caso perfetto per spiegare il funzionamento di questo metodo.
Definiamo cosa non e' stettamente necessario....
quello che non e' strettamente necessario.
phppgadmin non lo e'. come non lo e' phpldapadmin. come non lo e' evolution. come non lo e' openoffice. come non lo e' less. :)
se poi vuoi usare comunque phpldapadmin lo metti su un'altra macchina e ci crei un tunnel ssh da una porta locale alla porta ldap di laundry visibile solo dall'interno, e usi il tunnel.
E il tunnell e' sicuro???????????????????????????????????????????????? Dopo tutto quello che hai detto non puoi assolutamente dirmi che stunnell e' sicuro....
stunnel != ssh tunnel
ssh tunnel lo tiri su e lo tiri giu' quando hai finito di usarlo.
ciao!
Riccardo Bini wrote:
Alle 16:28, giovedì 1 settembre 2005, marco ghidinelli ha scritto:
On Thu, Sep 01, 2005 at 04:13:33PM +0200, Riccardo Bini wrote:
La sicurezza non e' usare software ma installarlo con logica.
sisi, mr nopassword... ;)
Ripeto, la mia soluzione (intendo nopassword in ssh) e' piu' sicura della tua.
si, certo.
ma per favore, dai..
con il tuo sistema il tuo utente e' root. quindi non serve nemmeno mettere un utente.
quindi non serve nemmeno proteggersi da bug in programmi utente, perche' tanto poi chiunque abbia l'accesso diventa anche root.
insomma a me sembra una bella cagata, scusa la franchezza.
A me sembra che tu dica un sacco di cagate, mi sembra un selirio il tuo ragionamento e non mi sembra per niente franco. Spiegamo come il mio utente e' root e il tuo no. Spiegami anche come uno possa avere accesso al mio utente. Veramente non capisco questa tua differenziazione tra il mio utente in sudo ed il tuo. La possibilita' che qualcuno riesca ad avere accesso al mio utente con ssh e' sicuramente piu' bassa rispetto al tuo tipo di autentica. Questo e' oggettivo e non contestabile, fino a prova contraria. Ripeto, a me sembra una cagata non installare software perche' puo' compromettere la sicurezza... a 'sto punto meglio spegnere tutto che siamo sicuri al 100%
Rick
Cialtroni mailing list
io la vedo cosi' se uno diventa fabio non puo' eseguire sudo sh senza conoscere la pwd se uno diventa rick lo fa e basta cosi' anziche proteggere *solo* root devo aver cura anche di rick ma forse dico anche io cagate ciao
-
Alessandro Marca -
fabio -
marco ghidinelli -
pivi@pivistrello.it -
Riccardo Bini