Topic: [OT-SECURITY] Bug MLDonkey

[progitto]

Buongiorno a tutti i Contribs-user.
Bazzicavo in questo forum tempo fa (ora purtroppo ho dovuto abbandonare Contribs per passare a Debian).

Se non ricordo male c'erano parecchi utenti (me compreso) che utilizzavano il MLDonkey per collegare il server alle reti P2P.
Non so se è già stato postato ma le versioni di MLdonkey fino all 3.0.0 (esclusa) sono affette da un pericoloso bug nell'interfaccia html che permette di accedere a qualsiasi file locale.

Questa è la entry nel bug tracker di MLDonkey.

Ciao!

[Stefano]

Buongiorno a tutti i Contribs-user.
Bazzicavo in questo forum tempo fa (ora purtroppo ho dovuto abbandonare Contribs per passare a Debian).

ciao e ben-risentito..

mi spiace sapere la cosa, ma ti pongo una domanda: perchè? in cosa SME non ha soddisfatto le tue necessità?
non è per farmi gli affari tuoi, beninteso, ma visto che nella ML degli sviluppatori c'è grosso fermento, potrebbe essere un buon momento per porre rimedio..

Se non ricordo male c'erano parecchi utenti (me compreso) che utilizzavano il MLDonkey per collegare il server alle reti P2P.
Non so se è già stato postato ma le versioni di MLdonkey fino all 3.0.0 (esclusa) sono affette da un pericoloso bug nell'interfaccia html che permette di accedere a qualsiasi file locale.

Questa è la entry nel bug tracker di MLDonkey.

Ciao!

grazie per la segnalazione..
non vedo comunque più il contrib listato e, se l'interfaccia è in php, su SME è operativo il vincolo sulle dir sulle quali php stesso ha visibilità e quindi è possibile che il problema non si ponga.

Grazie comunque e spero di rivederti presto da queste parti

Ciao
Stefano

[progitto]

mi spiace sapere la cosa, ma ti pongo una domanda: perchè? in cosa SME non ha soddisfatto le tue necessità?

Piccola premessa: non sono un sys-admin per lavoro e "seguo" solo un paio di amici che hanno un'azienda con un paio di server.
Come penso sia successo anche a te, a volte ci si scontra con persone che commissionano lavori per cui non hanno competenze tecniche ma, per pregiudizi nati dal nulla, pongono out-out categorici su alcuni aspetti.
Nel mio caso mi è stato detto che non avrebbero accettato alternative a Debian; ho provato ad argomentare il perchè avrei voluto usare SME-Server ma non c'è stato niente da fare.
Alla fine sono amici e ho deciso di accontentarli. 
(Da notare che hanno installato Debian su hardware certificato RH, a quel punto tanto conveniva installare quella  )

Mi fa molto piacere che sia tornato il fermento nelle attività di sviluppo della futura Contribs 8, sto aspettando che esca per poterla provare.
La facilità di installazione e manutenzione di questo OS è impagabile anche se spesso mi sono scontrato con i vari template, più per inerzia mentale che altro.
Dal mio punto di vista che, ripeto, non è quello di un amministratore vero è proprio, ho vissuto sempre con delle difficoltà l'implementazione di caratteristiche o applicazioni non presenti tra i vari contribs.
Spero che con l'aumento di dimensioni della comunità di supporto a questo OS si riesca ad aumentarne la flessibilità.

non vedo comunque più il contrib listato e, se l'interfaccia è in php, su SME è operativo il vincolo sulle dir sulle quali php stesso ha visibilità e quindi è possibile che il problema non si ponga.

Il contrib era una cosa molto vecchia non più mantenuta in maniera ufficiale ma c'era l'abitudine non proprio ottimale di installarla e aggiornare il solo binario alle ultime release.
L'interfaccia, vado a memoria e potrei sbagliare, non era in php; dovrebbe essere un'accrocchio (perchè tale è da definire) fatto in html e js.

Ciao

Umberto

[Incognito]

Ovviamente non conosco il caso specifico, ma uno sme per una azienda che deve far girare uno specifico applicativo non è proprio il massimo.

Nonostante linux sia linux, la pesante personalizzazione di sme lo rende "meno malleabile" per chi deve farci girare degli "extra".

Es. pratico: dove lavoro io obbligatoriamente serve un applicativo che ha dipendenze piuttosto vecchie, persino farlo girare su centos 5 è stato un po' un accrocchio; su debian tutto liscio.

Se ti mantieni nello standard con sme vai più che bene (file server, web, mail, eccc) se esci dal seminato vai incontro solo a problemi, soprattutto poi con gli aggiornamenti che riportano eventuali conf allo stato "originale".

Poi pregiudizi o meno non posso dirlo, ma forse una ricerca sui requisiti che servivano potrebbe rispondere.

[filippoc]

Mi fa molto piacere che sia tornato il fermento nelle attività di sviluppo della futura Contribs 8, sto aspettando che esca per poterla provare.

Il modello di sviluppo del software opensource prevede che la prossima versione potrà uscire dopo che in tanti l'avranno provata. Siamo tutti invitati a provare la beta e riportare eventuali problemi.

[filippoc]

Ovviamente non conosco il caso specifico, ma uno sme per una azienda che deve far girare uno specifico applicativo non è proprio il massimo.

Mi permetto di affermare il contrario. Aver usato sme per un solo applicativo mi ha permesso in seguito di aggiungere velocemente nuove funzionalità che i clienti soddisfatti chiedono continuamente.
Caso reale (ma ne avrei tanti di esempi): un server fax (avrei potuto farlo con centos), dopo qualche mese di servizio il cliente mi ha chiesto anche un mail server, potevo proporre un nuovo server, ma avendo sme ho semplicemente configurato il server fax sme basato su sme che aveva già tutto.

[Stefano]

Nonostante linux sia linux, la pesante personalizzazione di sme lo rende "meno malleabile" per chi deve farci girare degli "extra".

Es. pratico: dove lavoro io obbligatoriamente serve un applicativo che ha dipendenze piuttosto vecchie, persino farlo girare su centos 5 è stato un po' un accrocchio; su debian tutto liscio.

Prendo spunto dalle risposte di Filippo che mi hanno riportato l'attenzione su questo 3ad, del quale mi ero già dimenticato.

ritengo che quello che definisci "pesante personalizzazione" non sia un peso, anzi.. mi permette di installare qualsiasi applicativo sia fatto per girare su redhat (e non solo) e di interfacciarlo al resto del sistema tramite i template.. certo, se stai parlando di cambiare MTA beh...

in merito ai presunti programmi che hanno necessità di libreire "strane" o antiche o altro, al giorno dioggi, per casi del genere, si procede senza nellemo pensare alla virtualizzazione: si crea una macchina virtuale che faccia solo quello, con il S.O. che vuole, con le sue librerie.. pensa a tutta una serie di applicativi scritti per girare su NT (e si, ci sono aziende che hanno ancora NT) e che non sono portabili, per questioni varie, su altri S.O... virtualizzi e via.. e non ci pensi più.. tra l'altro puoi usare SME come host

my 2c

Stefano

[Incognito]

Mi permetto di affermare il contrario. Aver usato sme per un solo applicativo mi ha permesso in seguito di aggiungere velocemente nuove funzionalità che i clienti soddisfatti chiedono continuamente.
Caso reale (ma ne avrei tanti di esempi): un server fax (avrei potuto farlo con centos), dopo qualche mese di servizio il cliente mi ha chiesto anche un mail server, potevo proporre un nuovo server, ma avendo sme ho semplicemente configurato il server fax sme basato su sme che aveva già tutto.

Un fax server non è un applicativo specifico per una azienda, io sto parlando di applicazioni "ad hoc" o con compiti che non sono comuni a tutte le aziende.
Infatti un fax server può servire a tutte le aziende, un applicativo di protocollo no.

ritengo che quello che definisci "pesante personalizzazione" non sia un peso, anzi.. mi permette di installare qualsiasi applicativo sia fatto per girare su redhat (e non solo) e di interfacciarlo al resto del sistema tramite i template.. certo, se stai parlando di cambiare MTA beh...

E' quello che sto dicendo io, se un applicativo non è 2standard" (e con questo intendo non nei pacchetti di distribuzione ad esempio).

La virtualizzazione non è la soluzione a tutti i problemi del mondo, anzi molte volte è assolutamente inutile e controproducente; se poi conti che per un NT basta ed avanza un computer dismesso 4 anni fa e che la licenza è già pagata.....

[progitto]

Ripeto, dal mio punto di vista di non esperto ma di "power user", SME va benissimo se utilizzato per le applicazioni per cui è pensato (file server, mail server, fax server e chi più ne ha più ne metta) ma se devo iniziare ad utilizzare applicazioni o configurazioni particolari, non coperte dalle opzioni di funzionamento di SME o da contrib vari, preferisco allora utilizzare debian (o RH) e configurare manualmente quello che mi serve e solo quello.
Ci sono mille distribuzioni linux e mille problemi da risolvere in mille maniere diverse: uno sceglie quello che lo fa lavorare meglio.

Rispondendo a filippo ci tengo a puntualizzare che ho sempre contribuito allo sviluppo di SME quando lo utilizzavo (dalla versione 6 alla 7.2), sia come bug hunter che traducendo per la localizzazione italiana e i contrib di Stephen Noble (dungog).
Ora SME non si adatta alle mie necessità e non lo utilizzo più. Se in futuro avrò necessità che verranno soddisfatte in maniera veloce da SME tornerò ad utilizzarlo e, ovviamente, a contribuire.

Buon lavoro a tutti!

[Stefano]

E' quello che sto dicendo io, se un applicativo non è 2standard" (e con questo intendo non nei pacchetti di distribuzione ad esempio).

anche in questo caso, partendo dal presupposto che l'unica differenza su SME è l'approccio ai file di conf., se ne viene a capo

La virtualizzazione non è la soluzione a tutti i problemi del mondo, anzi molte volte è assolutamente inutile e controproducente; se poi conti che per un NT basta ed avanza un computer dismesso 4 anni fa e che la licenza è già pagata.....

resta il problema che una macchina vecchia:
- consuma
- utilizza componenti che magari è difficile reperire visto l'obsolescenza degli stessi.. pensa a dischi/schede di un certo tipo che nuovi non trovi più

se virtualizzo la macchina mi faccio una copia al volo ogni notte, la ripristino al volo, sono HW-indipendente.. che si parli/usi a sproposito la virtualizzazione posso concordare, ma il consolidamento di macchine critiche e/o con applicazioni critiche è assolutamente positivo.

comunque stiamo andando OT

per Progitto: dovesse capitare di dover fare qualcosa di "strano" e di poter scegliere SME, siamo qui.. il controllo che hai/avresti sulle applicazioni/configurazioni è esattamente lo stesso che hai nelle altre distribuzioni.

Grazie inoltre per il tuo contributo.

Ciao
Stefano

[Incognito]

Stiamo andando un po' OT, comunque:
Certo che se ne viene a capo, però su sme se intervieni manualmente sui file di configurazione al primo update/accesso con gli strumenti standard perdi le modifiche, alternativa è mettersi a fare i template cosa che non è rapida come fare solo l'installazione del prodotto.
E' questo il punto.

Per quanto riguarda l'hardware vecchio... non ne discutiamo, è inutile; Stiamo parlando di win NT che cosa serve oltre 512 di ram (ma è troppa) e i dischi? poi ho detto 4 anni fa per fare un esempio, ma anche quello dismesso l'anno scorso basta e avanza.

Accentrando troppi servizi su un unico server le risposte rallentano, quindi se già sme ti fa da file server, web, mail, fax, (qualcuno anche voip), gateway,  farci girare NT virtualizzato (con tutta la gestione che ha windows della rete) non è il massimo. Certo dipende anche da quanti client ci sono, ma se ne hai meno di 20/30 virtualizzare è una perdita di tempo in partenza.

Infine per quanto riguarda la sicurezza: i backup li devi fare nello stesso modo, update non ce ne sono più da anni, una volta che l'hai installato e configurato ti fai l'immagine del disco ed in caso di guai virtualizzi quella per il tempo necessario alla riparazione.

Se poi si parla di criticità non penso proprio che si utilizzi windows NT  per quello, proprio perchè più obsoleto della macchina di 4 anni fa.

mi ripeto nuovamente:SME va benissimo per tutti quei posti in cui non serve una particolare specificità.

[Stefano]

Stiamo andando un po' OT, comunque:
Certo che se ne viene a capo, però su sme se intervieni manualmente sui file di configurazione al primo update/accesso con gli strumenti standard perdi le modifiche, alternativa è mettersi a fare i template cosa che non è rapida come fare solo l'installazione del prodotto.
E' questo il punto.

in fase di setup modifichi a mano i file di conf, verifichi che poi tutto sia ok e li templatizzi.. se devi reinstallare il server hai già i twmplate per quell'applicativo e, sperabilmente, anche i valori nel db se hai voluto fare le cose per benino (tipo crearti un db ad hoc)

in questo modo una volta fatto il lavoro sei ok..

Per quanto riguarda l'hardware vecchio... non ne discutiamo, è inutile; Stiamo parlando di win NT che cosa serve oltre 512 di ram (ma è troppa) e i dischi? poi ho detto 4 anni fa per fare un esempio, ma anche quello dismesso l'anno scorso basta e avanza.

ti sfugge che NT non ha il supporto hw per macchine recenti, anzi.. al 99% non ci girerà..

Accentrando troppi servizi su un unico server le risposte rallentano, quindi se già sme ti fa da file server, web, mail, fax, (qualcuno anche voip), gateway,  farci girare NT virtualizzato (con tutta la gestione che ha windows della rete) non è il massimo. Certo dipende anche da quanti client ci sono, ma se ne hai meno di 20/30 virtualizzare è una perdita di tempo in partenza.

dipende sempre da cosa intendi fare ed investire.. in certi casi, se, ad esempio, hai acquistato HW molto sovradimensionato per farci lavorare SME ed è HW supportato da esx, allora metti su esx e virtualizzi SME e tutto quello che ti serve.. con un dual quad-core e 8 gb di ram in iufficio ci facciamo girare il server w2003 con sopra exchange, un paio di macchine w2003 di test/sviluppo ed una SME che fa da repository subversion.. la macchina (il "ferro") è li che si gratta, comunque.

Infine per quanto riguarda la sicurezza: i backup li devi fare nello stesso modo, update non ce ne sono più da anni, una volta che l'hai installato e configurato ti fai l'immagine del disco ed in caso di guai virtualizzi quella per il tempo necessario alla riparazione.

Se poi si parla di criticità non penso proprio che si utilizzi windows NT  per quello, proprio perchè più obsoleto della macchina di 4 anni fa.

non si parla di criticità come "sicurezza di non essere bucati", ma come continuità di servizio.. in certe realtà si è costretti ad usare macchine w95 o NT perchè programmi specifici (tipo quelli che comandano macchine CNC o che generano i file da dare in pasto alle stesse) girano solo li..

mi ripeto nuovamente:SME va benissimo per tutti quei posti in cui non serve una particolare specificità.

SME va benissimo in molti più casi di quanto non sembri.. certo bisogna smazzarsi un po' di più, questo è evidente.

comunque, ad esempio, io non lo utilizzerei come firewall/gateway.. in questo senso, concordo con te che in certi casi sia opportuno usare distribuzioni/programmi specifici.

Ciao
Stefano