[TIP] Controllare il PC ovunque durante le vacanze

[Alberto Santini]

Beh... non so a voi, ma a me e' sorta questa necessita', dovendo stare quasi un mese lontano dal PC.
Unica arma a mia disposizione: un portatile con OpenSuSE 10.2 per restare in contatto con l'amato computer che, invece, stara' qui a casa!

Quello che mi serve e' non soltanto un server VNC, ma anche un metodo per poterlo avviare automaticamente ed un altro per sapere sempre che IP ha questa macchina, anche nel caso se ne andasse la corrente e tornasse dopo un po' (il mio pc in questi casi si avvia automagicamente).

Passo 1
Il bootloader
Sembrera' banale, ma se ci scordiamo di dire al nostro BootLoader di caricare Gentoo all'avvio, tutto il resto del lavoro e' inutile.
Quindi, la prima cosa che ho fatto e' stato modificare /etc/lilo.conf in questo modo:

Code: Select all

compact
lba32
boot = /dev/sda
map = /boot/map
delay = 10
default = Gentoo

image = /boot/kernel
        root = /dev/sda2
        label = Gentoo
        append = "video=vesafb:mtrr,ywrap,1280x1024-32@75 quiet splash=silent,theme:livecd-2006.1 console=tty1"
        read-only

other = /dev/sda1
        label = Minix3.1

Come si nota non mostro alcun prompt, ma carico direttamente Gentoo, dopo una breve attesa di un secondo (delay = 10) in cui compare la classica scritta "Boot: "

Passo 2
Gli script sh+perl e .netrc
Per ritrovare il mio indirizzo IP pubblico (sono dentro una LAN nattata) ho usato un metodo forse poco ortodosso, ma sicuramente efficace per una situazione d'emergeza come questa (parto fra 4 ore!!): prendere il mio indirizzo IP da http://www.whatismyip.com/
Questo IP viene successivamente estrapolato dalla pagina ed uploaddato in un file su un server ftp. Inoltre, viene memorizzata su un file (una sorta di log) l'orario di esecuzione dello script:

/root/getip.sh

Code: Select all

#!/bin/bash

WEB_PAGE_PATH="/tmp/biribi.html"
PERL_SCRIPT_PATH="/root/getip.pl"
IP_FILE_PATH="/etc/public_ip"
LOG_FILE_PATH="/mnt/data/pub/getip.log"
HOME_PATH="/root"
MYIP_URL="http://www.whatismyip.com/"
FTP_HOST="ftp.mio-server.com"

wget -O ${WEB_PAGE_PATH} ${MYIP_URL}
cat ${WEB_PAGE_PATH} | ${PERL_SCRIPT_PATH} > ${IP_FILE_PATH}
HOME="${HOME_PATH}" ftp ${FTP_HOST}
rm ${WEB_PAGE_PATH}
date >> ${LOG_FILE_PATH}

La pagina viene scaricata, messa in /tmp/biribi.html, data in pasto ad uno script Perl che scrive l'ip in /etc/public_ip. Questo file viene uploaddato (ora vedremo come) su un server ftp in maniera automatica; successivamente elimino il file temporaneo con la pagina scaricata e segno l'orario di esecuzione.

Innanzitutto vediamo cosa fa lo script Perl:
/root/getip.pl

Code: Select all

#!/usr/bin/perl

while(<STDIN>) {
        if($_ =~ /\ -\ (.*)<\/TITLE>/) {
                $a .= $1 . "\n";
        }
}

print $a;

Niente di troppo difficile, no? Semplicemente prende dallo STDIN la pagina web, ricava l'IP prendendolo nel <TITLE> e lo stampa.

Per effettuare l'upload del file in automatico ho usato il file
/root/.netrc

Code: Select all

machine ftp.mio-server.com
login mio-username
password mia-password
macdef init
put /etc/public_ip path/sul/server
close
quit

Questo file viene letto da ftp(1). La sintassi e' abbastanza autoesplicativa. Ricordo soltanto che:
- con "macdef init" definisco la macro che deve venire eseguita appena dopo la connessione
- bisogna lasciare una linea vuota alla fine del file affinche' ftp capisca che la macro e' finita
- .netrc deve avere permessi rwx------ (700)
Faccio notare che bisogna usare la variabile d'ambiente HOME="/root" nel lanciare ftp per rendergli chiaro da dove deve leggere .netrc

Passo 3
Gli script di init
Per concludere lanciamo gli script ed il server VNC all'avvio del sistema e killiamo (il server) alla chiusura;

/etc/conf.d/local.start

Code: Select all

/root/getip.sh >/dev/null 2&>/dev/null

su -c "vncserver :1 -geometry 1024x768 -depth 8 -name NomeDesktopRemoto >/dev/null 2>/dev/null" - NomeUtente

Una lista dei programmi da eseguire all'avvio del server si trova in $HOME/.vnc/xstartup che altro non e' che lo script (ricordatevi qunidi che dev'essere eseguibile ed iniziare con una magin line del tipo "#!/bin/sh") eseguito da tightvnc allo startup:
/home/NomeUtente/.vnc/xstartup

Code: Select all

/usr/kde/3.5/bin/startkde &

Infine, al termine del servizio local, chiudiamo il server:
/etc/conf.d/local.stop

Code: Select all

su -c "vncserver -kill :1 >/dev/null 2>/dev/null" - NomeUtente

Spero che possa essere utile a molti!

Ciao!

[Kernel78]

Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?

Ammetto di non aver nemmeno guardato la sezione relativa a lilo nella guida ufficiale per l'installazione ma la parte relativa a grub già fa si che linux parta da solo ...

Ovviamente ho abilitato nel bios l'auto accensione quando torna la corrente dopo un blackout (tanto l'ups si preoccupa di non far spegnere malamente il tutto) esattamente come hai fatto tu, altrimenti sarebbe tutto vano.

Quindi riepilogando io ho risolto:
punto 1:ho seguito la guida relativa a grub e all'avvio parte linux
punto 2:mi sono registrato su www.noip.com e ho installato net-dns/noip-updater, l'ho configurato in un attimo e l'ho messo nel runlevel di default
punto 3:io uso solo ssh quindi configurazione ad hoc del servizio

Mi pare che hai trovato un modo per complicarti la vita più che per semplificarla

[cloc3]

Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?

Non son d'accordo. La soluzione proposta è alternativa, perchè, utilizzando dyndns uno si attribuisce un nome di dominio, mentre con il fai da te si ottiene un completo anonimato.
Di conseguenza, l'esercizio è utile, anche se qualcuno può preferire soluzioni alternative.

Piuttosto, osserverei che il server locale lo può trovare da sè, il proprio ip, senza chiederlo a chicchessia (tipo whatismyip). Per esempio:

Code: Select all

cloc3@s939 ~ $ /sbin/ifconfig |grep P-t-P
          inet addr:87.15.236.120  P-t-P:192.168.100.1  Mask:255.255.255.255

punto 1:ho seguito la guida relativa a grub e all'avvio parte linux
...
punto 3:io uso solo ssh quindi configurazione ad hoc del servizio

quoto.
Tra l'altro, prima di usare vnc via remoto ci penserei tre volte e studierei a lungo l'aspetto sicurezza. Se non sbaglio, vnc è compresso ma non è criptato, come ssh, e dunque lo utilizzerei solo per una rete locale.

[flocchini]

Piuttosto, osserverei che il server locale lo può trovare da sè, il proprio ip, senza chiederlo a chicchessia (tipo whatismyip). Per esempio:

Code: Select all

cloc3@s939 ~ $ /sbin/ifconfig |grep P-t-P
          inet addr:87.15.236.120  P-t-P:192.168.100.1  Mask:255.255.255.255

e' in una lan... gli serve il suo ip pubblico

[cloc3]

e' in una lan... gli serve il suo ip pubblico

per restare in contatto con l'amato computer che, invece, stara' qui a casa!

bu. magari (se lo vuole) ci dirà di persona come stanno le cose da lui.

[Onip]

bu. magari (se lo vuole) ci dirà di persona come stanno le cose da lui.

Per ritrovare il mio indirizzo IP pubblico (sono dentro una LAN nattata)

eh eh eh

Più che altro io porrei l'attenzione sul mese di vacanza, beato lui....

Byez

[Kernel78]

Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?

Non son d'accordo. La soluzione proposta è alternativa, perchè, utilizzando dyndns uno si attribuisce un nome di dominio, mentre con il fai da te si ottiene un completo anonimato.

A parte il fatto che se tu non dici a nessuno che hai impostato la tua macchina per rispondere al nome pincopallinoilgrandeconquistatore78.no-ip.org voglio proprio vedere come fanno a indovinarlo ... la probabilità di venir bersagliati su un ip pubblico invece sono maggiori di diversi ordini di grandezza, basta pensare ai vari bot che scannano ip su ip alla traccia di password semplici o di vulnerabilità conosciute.
A conti fatti quindi il "completo anonimato" dell'ip pubblico ti espone sempre e cmq ad attacchi di tutti i tipi mentre l'uso di un nome non aumenta nemmeno di 1 gli attacchi che ricevi (sempre che ti tieni il nome per te) e ti semplifica la vita in quanto a te basta ricordarti sempre e solo un nome e poi sarà il pc a tenerlo aggiornato.

[Cazzantonio]

In realtà ci sono IMHO tutta una serie di casi in cui poter cambiare ip semplicemente resettando il router è comodo...

[Kernel78]

In realtà ci sono IMHO tutta una serie di casi in cui poter cambiare ip semplicemente resettando il router è comodo...

Nessuno ti vieta di resettare il router e cambiare ip (ovviamente se sei tra i fortunati con ip dinamico ).
Resta il fatto che associare dinamicamente un nome (che solo tu conosci) all'indirizzo ip pubblico è una grande comodità ...

Se volessi condividere con noi tutta (o in parte) la serie di casi ai quali pensi potresti aiutare anche noi a valutarli, altrimenti ottieni solo di incrementare il tuo contatore di messaggi senza apportare nulla di significativo alla discussione.

[GiRa]

Io NON metterei il VNC in ascolto su porta pubblica. Metti in ascolto solo SSH e vai di tunnel.

[Alberto Santini]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni, maligni attaccanti oscuri tredicenni che da dietro il loro montarozzo di hamburgher e lattine di coca cola tramano per ottenere il controllo del mio pc! Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)... dal momento che dispongo di un server FTP on-line H24 e di un nome di dominio, ho preferito fare l'upload del mio indirizzo su quel server...

BUONE VACANZE a tutti!

[cloc3]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ...

se scrivi un howto ne devi tener conto, perché la trasmissione in chiaro di una intera sessione è un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge.

[Kernel78]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni, maligni attaccanti oscuri tredicenni che da dietro il loro montarozzo di hamburgher e lattine di coca cola tramano per ottenere il controllo del mio pc!

Nemmeno io ho queste paranoie ma ogni giorno vedo i log della mia macchina riempirsi di tentativi (infruttuosi) di accedere tramite coppie di username/password a ssh, sui server dell'ufficio vedo i log di diversi tentativi di accesso sfruttando vulnerabilità note e su un server che non mi hanno lasciato aggiornare è stata sfruttata una vulnerabilità di postgres per trasformare quel server in un sparaspam ...

Al mondo ci saranno una dozzina di adolescenti che provano a entrare in sistemi a caso ma ci sono milioni di script che scansionano internet alla ricerca di macchine da poter infettare e sfruttare ...
Questo è un pericolo concreto e usare vnc su internet non è il modo migliore per evitarlo.

Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)...

ammazza che jella ...
uso noip da diversi anni e non ho mai avuto nessun problema, in una manciata di minuti al massimo il mio nome era sempre raggiungibile ...
Si può sapere che servizio usavi ? o hai avuto lo stesso problema con più servizi ?

[GiRa]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni...

Non è questione di essere paranoici ma di essere realisti.
Ci sono in giro un sacco di ignoranti che hanno script che scansionanno e fan tentativi di intrusione. È un fatto.

Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)... dal momento che dispongo di un server FTP on-line H24 e di un nome di dominio, ho preferito fare l'upload del mio indirizzo su quel server...

Beh la questione dei DNS dinamici dipende dalla configurazione del client che usi....

[power83]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ...

se scrivi un howto ne devi tener conto, perché la trasmissione in chiaro di una intera sessione è un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge.

scusa e come farebbero a recuperare informazioni da tale connessione?

[cloc3]

scusa e come farebbero a recuperare informazioni da tale connessione?

Non sono esperto nel settore, ma immagino che non sia assolutamente difficile, per un cracker, intercettare un pacchetto diretto ad una macchina terza.
Se questo pacchetto contiene dati in chiaro, dovrebbe essere facile (per chi lo sa fare), riprodurlo per sostituire la propria macchina con quella dell'utente remoto, prendendo il controllo totale della sessione.

Se sto dicendo cose di fantascienza, ditemelo pure, che ci faccio una risata. Rimane il fatto che, su internet, aprire una sessione remota è un'operazione da fare con gli strumenti generalmente consigliati in letteratura, cioè ssh.

Per rafforzare il concetto, si legga la wikipedia inglese di realVnc.

[Kernel78]

Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ...

se scrivi un howto ne devi tener conto, perch� la trasmissione in chiaro di una intera sessione � un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge.

scusa e come farebbero a recuperare informazioni da tale connessione?

A meno che tu non abbia una connessione diretta tra la tua macchina e ogni server che vai a visitare tutte le inrmazioni passano attraverso molti altri server, se uno di questi venisse bucato e ci si installasse uno sniffer tutto il traffico in chiaro che passasse da li sarebbe tranquillamente alla portata di malintenzionati.