In arrivo in primavera il clone della distribuzione Linux Enterprise col cappello rosso. La risposta dopo l’annuncio che a breve cessera’ il supporto di CentOS 8 (previsto inizialmente per il 2029 e anticipato al 2021 !) L’annuncio di Jordan Pisaniello racconta quali sono gli sviluppi a poche settimane dall’avvio. Le attese della comunita’ sono molte visto che la distribuzione e’ per molte aziende il sistema operativo alla base del proprio business.
Il gruppo di sviluppo dichiara che la trasparenza con la comunità e per coloro che si affideranno a Rocky Linux è fondamentale. Presto sara resa pubblica la Timeline del che seguira’ i seguenti passi:
realizzazione dei sistemi e delle infrastrutture
creazione delle infrastrutture per il build automatico dei pacchetti
il repository dei pacchetti sarà reso pubblico per i test
disponibilità dell’installatore per i test
stimato il tempo necessario per i test della comunità
In settembre si discuteva. Una idea sul futuro di CentOS: penso non sia roseo.
Senza tediarti gli eventi passati sono questi (la storia si ripete).
Redhat (la compagnia) fa business con la sua distribuzione libera e gratuita chiamata appunto “RedHat”, e’ il 1995 circa
per fare piu’ contratti di assistenza e profitto la distribuzione RedHat viene trasformata in Red Hat Enterprise Linux “RHEL”(circa 2003) non piu’ libera (solo i sorgenti, come impone la GPL sono disponibili), per accontentare la comunita’ e far sperimentazioni viene lanciata Fedora. Peccato che negli ambienti di produzione non si vuole sperimentazione ma STABILITA’.
Nasce CentOS come ricompilazione dei sorgenti di RHEL (circa 2004),
CentOS 6 e 7 si diffondono moltissimo nelle sale server,
2018 tutti i dipendenti di CentOS assunti da RedHat !
2018, viene rilasciata RHEL 8, la ricompilazione di RHEL 8 in CentOS 8 ritarda quasi 1 anno
2018 nasce CentOS Stream: una versione non ricompilata dai sorgenti RHEL ma di sviluppo e test di RHEL (non adatta alla produzione… ci risiamo…)
2019 RedHat viene acquisita da IBM… Mi sembra sia chiaro che i giganti dell’informatica (Google, Amazon, IBM, Oracle, …) ormai abbiano capito i modi per aggirare o superare gli ostacoli imposti dalle licenze del software libero e stanno producendo enormi profitti da cio’. Cosa ne sara’ di CentOS ??? Difficile dirlo ma e’ presente in una grossa fetta degli ambienti server e difficilmente non stimola l’appetito di soldi del mondo informatico.
Oggi 12 Dicembre 2020, la notizia che CentOS 8 e suoi futuri sviluppi termineranno. Sostituiti con una distribuzione di sviluppo e NON di produzione. La notizia riporta chiaramente: “CentOS Linux 8, as a rebuild of RHEL 8, will end at the end of 2021.”
Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali. Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.
VEDI sito web OpenVPN Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810 Vedi sito web MITRE Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database). A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis) Vedi sito web Slackware
I ricercatori di Netflix hanno scoperto alcune nuove vulnerabilità denial-of-service (DoS) nei kernel Linux e FreeBSD, inclusa una grave vulnerabilità (CVSS: 8.2) chiamata SACK Panic che potrebbe consentire agli attori malintenzionati di bloccare da remoto i server ed interrompere le comunicazioni, secondo un advisory pubblicato nel repository Github: “Le vulnerabilità riguardano in particolare le capacità MSS (Maximum Segment Size) e SACK (Selective Acknowledgement) TCP. Il più serio, soprannominato “SACK Panic“, consente un blocco del kernel attivato da remoto sui kernel Linux”.
I ricercatori di Netflix hanno aggiunto che ci sono patch per la maggior parte di queste vulnerabilità e strategie di mitigazione aggiuntive da considerare se la patch non è possibile.
“I problemi sono stati assegnati codici CVE: CVE-2019-11477 è considerato un livello di gravità importante, mentre CVE-2019-11478 e CVE-2019-11479 sono considerati di gravità moderata”, ha dichiarato un advisory di Red Hat.
Questi difetti possono avere un impatto su qualsiasi organizzazione che esegue grandi flotte di computer Linux di produzione e, se lasciati privi di patch, consentono agli aggressori remoti di assumere il controllo e bloccare le macchine. Una volta che la maggior parte di delle infrastrutture avra’ ricevuto la patch appropriata, molte organizzazioni dovranno affrontare la lunga coda del ciclo di aggiornamento. Alla fine di questa coda ci sono i dispositivi che non ricevono aggiornamenti automatici e che potrebbero non ricevere alcun aggiornamento – la IOT (Internet of things) e i dispositivi non gestiti che in molti casi sono costruiti su Linux (router, firewall, VPN, etc.). Questa vulnerabilità risale a molto tempo indietro (dal momento che Linux v2.6.29, che è stato rilasciato 10 anni fa), quindi la quantità di dispositivi legacy che usano il codice vulnerabile sarà molto significativa in questo caso, e questi tipi di dispositivi probabilmente non riceveranno aggiornamenti e rimarranno vulnerabili.
RIFERIMENTI
SACK Panic (CVE-2019-11477)
SACK Slowness or Excess Resource Usage (CVE-2019-11478)
SACK Slowness the RACK TCP Stack (CVE-2019-5599)
Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)
Segue un caso reale di Denial Of Service Distribuito di web server linux risolto da SicurezzaRete.
Scenario: Contatto di azienda che eroga contenuti multimediali a pagamento. Richiesta assistenza per server bloccato poiche’ sotto attacco di tipo Denial Of Service da 10 giorni.
Richiesta ricevuta da SicurezzaRete: “Da alcuni giorni il nostro server subisce degli attacchi ddos. Nonostante il sito sia protetto da cloudflare e dal firewall CSF questo hacker riesce a tenerlo giù per ore, fino a che il provider N….cheap blocca l’ip per troppi accessi… Abbiamo assolutamente necessità che in giornata il sito sia messo in sicurezza…”
Tipo: messa in sicurezza e ripristino servizio.
Priorita’: urgente
Danni stimati: 35.000-45.000 Euro di mancato fatturato in 10 giorni.
Giorno 0 Analisi: Il problema e’ causato da un attacco Denial of service distribuito (DDOS) presumibilmente generato con strumenti tipo memcrashed (sfruttano circa 80.000 host compromessi per generare un effetto moltiplicatore di traffico UDP) usati per saturare la banda disponibile per l’host.
Alla ripetuta sollecitazione al provider (N…cheap) la risposta e’ deludente e mostra la loro impossibilita’ tecnica di bloccare il Denial of service: “We are afraid that the DDoS attack is still in place (UDP pkts/s > 8000; 622.60Mb/s). This time on on 198.x.y.z again. The next network block will expire within half an hour. Reboot won’t help here. We are deeply sorry.“
Giorno 1 Azione 1: apertura canale sul server bloccato Azione 2: attivazione nuovo server presso un provider con dispositivi adeguati di protezione anti-DDOS Azione 3: messa in sicurezza totale dei servizi sul nuovo server. Configurazione DNS corretta. Azione 4: migrazione verso nuovo server di tutta la piattaforma. Ottimizzazione server. Azione 5: configurazione per accessibilita’ della macchina solo da front-end (Cloudflare). Azione 6: ripristino del servizio, avvenuto entro 36 ore dalla prima chiamata.
Nuovo attacco di tipo diverso verso Cloudflare. Rallentamento del server. Azione 7: creazione script per interazione attraverso API Cloudflare per protezione dinamica della macchina. Servizi completamente operativi ed efficienti. IlDenial of service del web server linux non e’ piu’ efficace.
Conclusioni: a) si consiglia di affidarsi a provider di buon livello in particolare se si tratta di business on-line dove i disservizi possono generare danni economici significativi. b) affidarsi a sistemisti esperti (SicurezzaRete) per la soluzione di problemi tecnici di rete e/o sistemistici complessi.
Nei giorni scorsi Intel ha reso noto la scoperta di un nuovo vettore del tipo “esecuzione speculativa side-channel”, denominato L1TF / Foreshadow e basato sullo stesso concetto dei difetti Spectre e Meltdown scoperti ad inizio 2018.
Cos’è L1TF? Chiamato “L1 Terminal Fault” (L1TF) – o “Foreshadow” – questa vulnerabilità riguarda le CPU con tecnologia SMT (nota anche come “hyper-threading” per i processori Intel). Può consentire l’esecuzione di codice dannoso su un thread per accedere ai dati dalla cache L1 di un altro thread all’interno dello stesso core.
La vulnerabilità Foreshadow è difficile da sfruttare e solo una dimostrazione sviluppata in condizioni di laboratorio ha convalidato la sua esistenza. Sebbene non ci siano prove che suggeriscano che questa vulnerabilità sia stata ancora usata, sono stati creati tre identificatori CVE con qualifica di livello “alto”:
L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High
Il manutentore di Linux Greg Kroah-Hartman ha rilasciato nuovi aggiornamenti sui canali del kernel di Linux 4.18, 4.17, 4.14, 4.9 e 4.4 per risolvere la vulnerabilità di L1 Terminal Fault “L1TF” / Foreshadow tipo Meltdown che colpisce i processori Intel.
Le versioni del kernel Linux 4.4.148, 4.9.120, 4.14.63, 4.17.15 e 4.18.1 sono le prime a presentare le patch con la mitigazione a L1TF / Foreshadow.
Qui gli script per testare la vulnerabilita’ delle proprie macchine:
Studi recenti hanno dimostrato che esiste una chiara relazione tra la velocità di caricamento delle pagine di un sito e la loro capacità di condurre a contatti o produrre profitto nell’ambito ecommerce. In un tempo in cui la maggior parte di siti web e’ costruita con il diffuso CMS WordPress e Woocommerce, spesso si assiste a tempi di caricamento di una singola pagina di oltre 8 secondi.
Gli studi eseguiti (kissmetrics) mostrano che il 47% dei consumatori si aspetta che una pagina web venga caricata in 2 secondi o meno. Il 40% delle persone abbandona un sito web che impiega più di 3 secondi per caricarsi. Un ritardo di 1 secondo nella risposta della pagina può comportare una riduzione del 7% delle conversioni. Se un sito di e-commerce guadagna € 1.000 al giorno, un ritardo di un secondo a pagina pagina potrebbe potenzialmente costare € 25.000 di vendite perse ogni anno. Alcune delle possibili soluzioni per l’ottimizzazione dei siti web sono: la riduzione delle immagini e degli script, sistemi di caching lato client e server, la compressione, l’uso di protocolli evoluti come http/2 e l’ottimizzazione del server. Questa puo’ essere operata agendo su moltissimi parametri come l’ottimizzazione del database (che spesso e’ un elemento critico di tutto il sistema), La scelta del tipo di web server (apache o nginx) e la sua configurazione con i corretti parametri per il carico di utilizzo previsto e per fronteggiare eventuali picchi di uso. Impostante anche il linguaggio di scripting utilizzato (PHP, Ruby, Python, etc.) ed ovviamente la scelta del sistema operativo e la sua configurazione ottimale. Spesso, infatti, i parametri iniziali con cui vengono forniti i server (reali o virtuali) dagli hosting provider possono essere migliorati con incrementi di prestazioni ingenti. Se questi parametri sono ben impostati, come descritto in precedenza, i miglioramenti di prestazioni ottenuti con l’ottimizzazione del server e l’ottimizzazione del sito web wordpress o woocommerce si traduce in maggiori profitti economici.
Il 4 gennaio scorso sono state scoperte (da gruppi indipendenti) e rivelate 3 gravi vulnerabilità informatiche legate ai microprocessori moderni. Le vulnerabilita’ affliggono Personal Computer, server, dispositivi mobili (tablet e telefoni) e servizi Cloud. I bug chiamati Spectre, in due varianti, e Meltdown, possono essere usate per sferrare un attacco (side-channel) e sottrarre informazioni dai sistemi informatici su cui sono presenti. Tra queste password, file, documenti, immagini. Il bug puo’ essere sfruttato sia su sistemi Windows, Linux e su Mac OSX.
L’allarme lanciato e’ grave e i grandi vendor e provider (Google, Amazon, Microsoft, etc.) sono tutti in fermento per individuare ed applicare soluzioni. In particolare la fonte autorevole Graz University of Technology, che e’ tra gli scopritori del problema, indica alcune allarmanti domande e risposte (FAQ), tra queste:
Sono interessato dalla vulnerabilità? Sicuramente, sì.
Cosa può essere trapelato? Se il tuo sistema è interessato, il nostro exploit proof-of-concept può leggere il contenuto della memoria del tuo computer. Questo può includere password e dati sensibili memorizzati nel sistema.
Alle aziende che gestiscono server e intendono mettere in sicurezza i loro sistemi informatici consigliamo di affidarsi ad esperti si sicurezza informatica (vedi SicurezzaRete).
Dal 15 gennaio 2018 il via ai Voucher per la digitalizzazione delle Pmi
Sono un contributo per le micro, piccole e medie imprese erogato tramite concessione di un “voucher” di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico. La disciplina attuativa della misura è stata adottata con il decreto interministeriale 23 settembre 2014. Il voucher è utilizzabile per l’acquisto di software, hardware e/o servizi specialistici che consentano di: – migliorare l’efficienza aziendale; – modernizzare l’organizzazione del lavoro, mediante l’utilizzo di strumenti tecnologici e forme di flessibilità del lavoro, tra cui il telelavoro; – sviluppare soluzioni di e-commerce; – fruire della connettività a banda larga e ultralarga o del collegamento alla rete internet mediante la tecnologia satellitare; – realizzare interventi di formazione qualificata del personale nel campo ICT.
Anche gli interventi di assistenza e consulenza sistemistica rientrano nel campo delle azioni previste dal finanziamento.
Gli acquisti devono essere effettuati successivamente alla pubblicazione sul sito web del Ministero del provvedimento cumulativo di prenotazione del Voucher adottato su base regionale.
Linux per aziende e’ sinonimo di linux server, e qui, il sistema operativo del pinguino, e’ ormai da tempo una consolidata realta’. Si adatta bene a praticamente qualsiasi situazione: dal grande sistema con migliaia di macchine dedicate al calcolo parallelo (HPC) al piccolo server virtuale che opera come webserver per fornire una esposizione della propria azienda o uno shop on-line dei propri prodotti. Ma quali sono le distribuzioni più usate? In aprile 2017 ecco le preferite da utenti e amministratori di sistemi. Ai primi posti troviamo Ubuntu, Debian, CentOS (fonte w3techs, dati basati sui webserver).
I motivi? Quasi certamente la solidità, la sicurezza e la rapidita’ di rilascio degli aggiornamenti, la grande disponibilità di pacchetti precompilati, il lungo tempo di supporto e i costi contenuti (o nulli).
Anche i nostri clienti a cui forniamo supporto alla gestione dei server rispecchiano queste statistiche e i criteri di scelta gia’ indicati sopra. Se vuoi maggiori dettagli sulle distribuzioni linux usate come in ambito server visita questa pagina: distribuzioni linux per aziende.