A volte può capitare che usando i consueti strumenti si rimanga incastrati in qualche assurda condizione apparentemente senza via d’uscita, guardacaso per un sistemista questo genere di situazioni si verificano quasi esclusivamente usando OS Windows Server…

Supponiamo ad esempio che vi ritroviate nella condizione di recuperare la password di Administrator di una macchina su cui è installato Windows Server 2012, di primo acchito verrebbe da utilizzare Offline Windows Password & Registry Editor, ottimo tool che permette di cancellare (blank) la password di Administrator mediante una piccola immagine live con cui fare il boot del sistema.
Peccato che in questo modo rischiate di schiantarvi contro l’assurda default policy di questa versione che non permetta di loggarsi con password nulla (l’amministratore di sistema deve poter fare TUTTO, anche la cosa più stupida come dimenticarsi un sistema con password di superuser nulla.), ritrovandovi quindi con la password recuperata (vuota) ma inservibile per fare il login.

In questi casi non occorre fare altro che recuperare una qualsiasi ISO di installazione di Windows Server e fare il boot da essa, alla prima finestra che presenta la selezione della linga proseguite.

Alla schermata successiva cliccate sul link “Ripristaina il computer”.

Proseguite poi fino ad aprire il prompt dei comandi.

Identificate il drive di sistema (nell’esempio D:).

Spostatevi nella directory Windows\System32 e fate un backup del file Utilman.exe (copy Utilman.exe Utilman.exe.bak), fatto questo sostituite il file Utilman.exe con cmd.exe (copy cmd.exe Utilman.exe).

Digitate exit al prompt e riavviate il sistema facendo il boot regolarmente da storage, arrivate alla schemata di logon premete tasto Windows + u oppure cliccate sulla icona di usabilità (evidenziata in rosso) per aprire una finestra di prompt.

Digitate il comando “net user administrator <NUOVA PASSWORD>” per modificare la password dell’utente Administrator locale (nell’esempio “Passw0rd”), dopo di che chiudete la finestra di prompt e loggatevi con la vostra nuova password.

Prima di vantarvi con colleghi, clienti e superiori ricordatevi di ripristinare il backup del file Utilman.exe (copy c:\Windows\System32\Utilman.exe.bak c:\Windows\System32\Utilman.exe).

Ok, ora che vi siete vantati con colleghi, clienti e superiori riflettete su quanto sarebbe stato più facile bootare in single user mode per cambiare password di root su un sistema GNU/Linux. :O

Di recente il protocollo HTTPS è al centro di attenzioni di cui purtroppo fin’ora non aveva mai goduto, per questo stanno emergendo una serie di vulnerabilità che fino ad oggi sono state sottovalutate dalla gran parte degli utenti e degli addetti ai lavori.

Per adeguarsi alle nuove best practice i browser si sono evoluti inserendo configurazioni sempre più restrittive nell’accesso https ai siti.
Tutto bene, tutto bello (e ci mancherebbe), purtroppo però come sappiamo il mondo dell’IT è tutt’altro che uniforme o allineato alle ultime versioni di ogni tecnologia; specialmente in ambito lavorativo capita di trovare prodotti vetusti, interfacce web per la gestione di dispositivi hardware, piuttosto che architetture che per mille motivi non possono essere aggiornate, e quindi utilizzano il vecchio e insicuro protocollo SSL2 o SSL3.
Sia chiaro, si tratta di servizi non esposti sul web, dove quindi il rischio di attacco è estremamente basso o comunque gestito mediante opportune politiche di accesso perimetrali (anche su più livelli).

Che fare quindi per riattivare la compatibilità con il vecchio protocollo e accedere in https a questi servizi ritenuti insicuri dai browser?
Firefox ci viene incontro dando la possibilità di riattivare manualmente la considetta fallback ssl3.

Aprire il browser e digitare nella barra degli indirizzi about:config, nel caso vi comparisse un warning di sicurezza come questo confermate premendo l’apposito pulsante.

Inserite nella campo cerca la stringa security.tls.version.min e settatene il valore a zero.

Fate lo stesso per il campo security.tls.version.fallback-limit settandone il valore a zero.

A questo punto non vi resta che riavviare il browser per rendere effettiva la modifica.

Ricordate di ripristinare il valori di questi due parametri di configurazione al termine dell’attività o comunque prima di accedere a siti web.

Spesso si sente ripetere in modo un po’ banale che la condizione necessaria per un backup consistente è il test di restore, io di solito considero necessarie queste condizioni:

• il backup deve essere fatto (…)
• va effettuato un test di restore periodico
• il backup deve essere schdulato e automatico (non deve dipendere da azioni manuali)
• il backup deve inviare notifiche su eventuali anomalie occorse durante la schedulazione

Quest’ultimo aspetto ahimè è spesso ignorato, oppure ci si affida a notifiche inviate a prescindere senza distinguere l’effettivo esito del processo (troppe informazioni che inevitabilmente comportano la mancata rilevazione di un problema).

Questa la premessa, come ho già avuto modo di dire mi capita spesso di sguazzare tra vecchi ruderi informatici sparsi per i datacenter più insospettabili, di recente mi è capitato di mettere le mani su un server MS SQL (brrr…) 2000 (brrr²….) con piani di manutenzione disastrati e backup in uno stato di completo abbandono.
Come solo i vecchi sistemisti ricorderanno MS SQL 2000 richiede ufficialmente l’utilizzo di Exchange (brrrr³…) per inviare notifiche email sull’esito dei maintenance plan, un autentico furto a mano armata…

Come alternativa propongo questa semplice soluzione che non comporta alcuno stravolgimento architetturale ed è applicabile anche a versioni più recenti del database MS (che per fortuna hanno colmato questa lacuna con apposite procedure).

Prosegui con la lettura »

Durante qualche scorribanda sistemistica potrebbe capitare anche voi di trovarvi nella spiacevole condizione di non riuscire a installare un semplice package rpm su una delle distribuzioni GNU/Linux derivate da RedHat.

A me è capitato di recente mentre mi accingevo ad installare l’agente EMC² Networker su un server presso un cliente, il triste errore è il seguente:

Controllando meglio il server (fresco fresco di installazione e quindi non ancora sotto monitoraggio) mi sono accorto che il volume montato in /var risultava completamente saturo, motivo per cui il package manager non è riuscito ad aggiornare il database locale.

Anche dopo aver esteso il volume però il risultato non ha accennato a migliorare, sintomo che doveva essere successo qualcosa di spiacevole al suddetto database rpm. Vista la situazione non è rimasto altro da fare che cancellarlo…

…e ricostruirlo mediante il comando “rpm –rebuilddb”, al termine del quale l’installazione del package si concluso con esito splendido splendente.

Generalmente preferisco non usare troppe estensioni sui miei browser (principalmente Firefox e Chrome) per non ritrovarmi i browser “seduti” oppure per rendere un eventuali disinstallazione e reinstallazione snella e veloce (guardacaso mi è successo pochi giorni fa dopo l’ennesimo upgrade di Firefox).

Une estensione di Firefox a cui però non riesco proprio a rinunciare è MM3 Proxy switch, che come suggerisce il nome serve ad attivare, disattivare o cambiare impostazioni del proxy in modo pratico e veloce.
Esistono parecchie altre estensioni che fanno tutto questo, ma tra tutte quelle che ho provato questa mi è sempre sembrata la più leggera e semplice da usare, riassumendo: un click per attivare il proxy, un click per disattivare il proxy, una dropdown per selezionare i vari profili e un file di configurazione semplice da editare al volo.

Essendo una estensione di Firefox utilizza la stessa sintassi per definire le eventuali esclusioni di indirizzi, sottoreti, hostname o domini, se doveste avere dubbi trovate una veloce guida a questo link.

Come dicevo poco sopra la sintassi della configurazione è decisamente semplice, ogni profilo è delimitato da parentesi quadre, è possibile definire un proxy differente a seconda del protocollo utilizzato (http, ftp, ssl o socks) oppure per tutti i protocolli (all) e infine definire le esclusioni (noProxy).

[Proxy1
  all=10.0.0.1:8080
  noProxy=127.0.0.1, 10.0.0.0/8, 81.82.83.0/24, dominio.tld, ced.azienda.local
  clear=cache
]
[Proxy2
  http=10.0.0.2:3128
  http=10.0.0.2:3128
  ftp=10.0.0.3:80
  noProxy=127.0.0.1, 10.0.0.0/8, 81.82.83.0/24, dominio.tld, ced.azienda.local
  clear=cache 
]
[SocksSSH
   socks=127.0.0.1:777
   config:network.proxy.socks_remote_dns=true
   noProxy=127.0.0.1, 192.168.0.0/24, domain.external.local
   clear=cache
]

Ottimo software imho, l’unica miglioria possibile potrebbe essere quella di aggiungere una direttiva di configurazione che permetta di lanciare uno script al cambio di profilo, pensiamo ad esempio all’avvio di una connessione ssh che incapsuli il traffico del proxy (via http o socks, vedi ad esempio il profilo SocksSSH di esempio con proxy socks in ascolto sulla porta 777) .