Menu Chiudi

nuovi certificati SSL by Let’s Encrypt

LoneStar 2 Commenti
letture

httpsTra ieri ed oggi ho cambiato il certificato SSL utilizzato sui siti web di lonestar.it e unixportal.net, e per i servizi di posta SMTP/IMAP di mail.lonestar.it.

Fino ad oggi avevo utilizzato un certificato di tipo wildcard, regolarmente acquistato su StartSSL. Si trattava di un servizio tutto sommato economico per procurarsi un certificato wildcard valido 2 anni. La comodità consiste nel fatto che il certificato era valido per *.lonestar.it, e quindi in qualunque servizio del network.

Ma la Certification Authority di StartSSL è stata deprecata dai maggiori browser a causa di alcune violazioni commesse dopo l’acquisizione da parte di una azienda cinese.

Come conseguenza, a partire dalle versioni recenti di Firefox e Chrome, i certificati emessi da questa authority non vengono più accettati come validi (colore verde accanto alla barra dell’url), ma vengono invece indicati come non riconosciuti (colore rosso accanto alla barra dell’url).

Allora ho deciso di iniziare a utilizzare il servizio gratuito di Let’s Encrypt, che molto successo ha guadagnato in tempi recenti per via della nuova filosofia di rilascio gratuito di certificati a chiunque, per tempi brevi (90 giorni al massimo), in modo da incoraggiare l’adozione dei protocolli https e tls da parte di tutti.

La breve durata dei certificati impone il passaggio a un meccanismo automatico di rinnovo e sostituzione, rispetto alla consuetudine precedente di ottenere un certificato valido per alcuni anni e quindi procedere a installarlo manualmente nei vari server coinvolti.

Let’s Encrypt offre un client ufficiale basato su python per eseguire queste operazioni automatiche sulle distribuzioni più diffuse e per i servizi più comuni. Ma siccome io utilizzo Slackware come distribuzione e s/qmail come servizio di posta, ho preferito utilizzare lo script Dehydrated, che si basa su bash e curl.

Quindi ho messo a punto alcuni script che richiedono i certificati, non più wildcard ma nominativi per ciascun servizio, e li installano dove necessario.

Sembra funzionare tutto 🙂

Attivazione SMTP-VRFY

LoneStar 0 Commenti
letture

smtp-logoIn questi giorni ho attivato la funzionalità di SMTP-VRFY nel servizio MTA del LoneStar Network, in modo da consentire la creazione/rimozione di caselle postali tramite Vmail e il riconoscimento automatico delle stesse da parte del filtro antispam ASSP
posto a protezione del servizio stesso.

Fino ad adesso era richiesto un intervento manuale che consisteva nell’editare una lista testuale contenente l’elenco degli indirizzi delle mailbox accettabili in ingresso.

Con questa modifica, qualunque casella viene creata attraverso l’interfaccia web di gestione verrà dinamicamente riconosciuta come legittima.

Migrazione a s/qmail

LoneStar 0 Commenti
letture

s/qmail phoenix logoCome già discusso in passato, il mail system del LoneStar Network è basato su qmail. Nonostante le molte critiche dovute all’ormai pluridecennale stato di abbandono di questo software e alle ampie preferenze di molti nei confronti di Postfix, qmail non ha mai dato il minimo problema e con l’integrazione della patch Spamcontrol di Erwin Hoffmann si è sempre dimostrato una validissima scelta, per lo meno per le mie esigenze.

Per un certo numero di anni si è atteso che l’autore originario di qmail tenesse fede alla promessa di rilasciare una versione 2.0, ma la cosa non è mai avvenuta. Anche il branch netqmail, che per un certo periodo aveva preso una certa popolarità, è entrato in stato di abbandono da molto tempo.

Invece Erwin Hoffmann ha continuato a portare avanti la sua patch Spamcontrol negli anni, aggiungendo funzionalità e correggendo problemi, cosa che alla fine l’ha fatta diventare di fatto una sorta di qmail 1.5 più che una semplice patch con funzionalità anti-spam.

E da qualche tempo Hoffmann ha fatto il salto di qualità. Ha smesso di sviluppare una patch da applicare al codice originario di qmail 1.03, ed ha iniziato a rilasciare un codice di qmail integralmente rivisto e esteso, di cui i precedenti contenuti della patch Spamcontrol sono diventati parte integrante e sono state aggiunte nuove ulteriori funzionalità come il supporto IPv6 nativo e la compilabilità in ambienti x86_64. Ha chiamato questo qmail “risorto” con il nome di s/qmail.

S/qmail è partito con una versione 3.0 ed è adesso arrivato alla release 3.1.9. Si tratta di un drop-in replacement che si può installare come aggiornamento di un qmail originario mantenendone la configurazione e i percorsi di installazione, nonchè tutte le estensioni e i software esterni normalmente usati (es: Dovecot, ezmlm, VMailMgr, Vpopmail, ecc.).

Mi sono quindi finalmente deciso a effettuare il passaggio dal mio precedente qmail 1.03 + Spamcontrol 2.7.33 al nuovo s/qmail 3.1.9 e da qualche giorno l’MTA del LoneStar Network sta già girando con questa nuova versione. Non ci sono stati problemi di alcun tipo nella migrazione e penso che non dovrebbero comparirne più avanti.

Mota

LoneStar 0 Commenti
letture

Slackware 14.2 è tra noi!

LoneStar 0 Commenti
letture

slackwareCon gaudio e somma gioia annunciamo il rilascio di Slackware Linux 14.2 nella data del 2 luglio 2016!

Sono trascorsi circa 2 anni e mezzo dalla precedente release, e circa 5 mesi dall’inizio delle Release Candidate, quindi ormai i tempi erano ampiamente maturi.

Patrick Volkerding, come di consueto, ha dato il lieto annuncio, sia tramite un post sul sito ufficiale che attraverso i suoi profili di social network.

L’attesa di questa versione è stata circondata da una particolare atmosfera, più intensa di quella solita, per via sia dei lunghi tempi che sono trascorsi che dei particolari cambiamenti che sono stati forzati nella tradizione dell’architettura delle distribuzioni Linux in questi ultimi 2 anni.

Era ormai noto da tempo agli appassionati che Slackware ha trovato il modo di resistere all’introduzione di systemd attraverso l’impiego di [wiki base=”Gentoo EN”]eudev[/wiki] e ConsoleKit2 – e una certa collaborazione da parte del team di KDE, seppur spesso controvoglia -, ma non c’era ancora una release ufficiale basata su queste soluzioni su cui il “grande pubblico” potesse mettere le mani. Noi utilizzatori della versione -current avevamo già tutto in mano da parecchi mesi.

Veniamo ai dettagli tecnici della release.

  • Il kernel in dotazione è la release 4.4.14. La versione 4.4.x è una Long Term Support release, il che garantisce patch e bugfix per almeno i prossimi 2 anni. Inoltre è presente il kernel 4.6 per chi desidera testare qualcosa di più avanzato.
  • La release di Glibc è la 2.23, ovvero l’ultima disponibile come stabile alla data odierna.
  • Il server grafico X11 è alla versione 1.18.3 (X11R7.7)
  • I compilatori inclusi sono il classico GCC alla versione 5.3, e LLVM/Clang 3.8.0
  • La gestione del networking può avvenire tramite NetworkManager, ma è anche possibile continuare ad utilizzare i tradizionali script rc oppure wicd
  • La gestione delle periferiche avviene, come precedentemente detto, tramite eudev 3.1.5, che estrae il proprio codice da systemd dopo che l’originario udev è stato inglobato in esso dal consorzio FreeDesktop.org.
  • Gli strumenti di sviluppo e linguaggi di programmazione inclusi comprendono Perl 5.22.2, Python 2.7.11, Ruby 2.2.5, Subversion 1.9.4, git-2.9.0, mercurial-3.8.2 e altri.
  • KDE è aggiornato alla versione 4.14.21 (ovvero 4.14.3 con kdelibs-4.14.21), mentre XFCE è alla versione 4.12.1. E’ possibile installare KDE/Plasma 5 dal repository di Eric Hameleers e MATE 1.14 dal repository di Willy Sudiarto.

Un paragrafo a parte merita la novità costituita dall’introduzione di Pulseaudio come framework di accesso alle schede audio. La cosa ha lasciato stupita ed in gran parte infastidita la gran parte degli utenti più affezionati, in quanto costituisce una piccola capitolazione. La Slackware si è tenuta lontana per molti anni da questo software che, a fronte dell’introduzione di feature avanzate nella gestione dell’audio in rete, ha introdotto anche latenze e impurità nella riproduzione musicale che disturbano gli audiofili. La scelta è motivata dalla necessità di continuare a dotare il sistema operativo di una piattaforma audio bluetooth completa, e l’architettura bluetooth BlueZ 5 richiede come requisito obbligatorio la presenza di Pulseaudio. Ma per quelli come me che vogliono continuare a tenersi alla larga da Pulseaudio il più possibile, esiste un documento – a cui ho in larga parte contribuito in prima persona – che mostra come configurare il sistema per continuare ad utilizzare l’audio standard ALSA come primario.

La Slackware continua ad uscire sia in versione 32-bit che 64-bit, ed oltre alla versione ARM introdotta con la 14.1 è adesso presente anche un Live CD. Slackware Live Edition è gestita da Eric Hameleers e basata sulla distribuzione -current. Al contrario di altre distribuzioni “live” basate su Slackware già esistenti (Slax, Porteus), la Slackware Live è del tutto identica alla distribuzione originaria.

ISO e torrent della versione 14.2 sono già scaricabili online, ed è possibile ordinare i CD/DVD ufficiali per contribuire al finanziamento del progetto.

Happy Slackin’ !! 😉

CC BY-NC-SA 4.0 .