Linux on Michele Bologna

Encrypt an existing Linux installation with zero downtime (LUKS on LVM)

Fri, 20 Nov 2020 00:00:00 +0000

During the bi-yearly review of my setup, I realized I was running a Linux machine without full disk encryption. The encryption of the disk needed to be done ASAP, but I was not willing to reinstall the whole operating system to achieve that.

How a Terraform + Salt + Kubernetes GitOps infrastructure enabled a zero downtime hosting provider switch

Sat, 25 Apr 2020 00:00:00 +0000

The switch Link to heading

It has been a busy weekend: I switched the hosting provider of my whole cloud infrastructure from DigitalOcean to Hetzner. If you are reading this it means that the switch is completed and you are being served by the Hetzner cloud.

TLS-terminated Bitlbee with custom protocols

Sat, 18 Apr 2020 00:00:00 +0000

Five years ago I started a small GitHub project aimed to run Bitlbee seamlessly in a container.

Why Bitlbee?

Back in the day, I was relying heavily on IRC for my daily communications and the plethora of other protocols that were starting to get traction was too much: I wanted to have a bridge between my IRC client and the other protocols to be able to communicate only by using my IRC client without installing any resource consuming monster (enough said).

Startup order in Docker containers

Mon, 07 Oct 2019 00:00:00 +0000

Motivation Link to heading

I recently dealt with an application that is comprised of multiple services running in containers. Even though every part of this application is correctly split into each separated microservice, the independence of each service is not enforced. This lack of independence has several drawbacks, one of which is that containers must be started by following a pre-defined startup order. Otherwise, some containers might be terminated due to an application error (the application breaks when an unexpected error occurs, e.g. it is relying on another linked service that is not ready to accept the connection).

On servers timezone and tmux

Tue, 26 Mar 2019 00:00:00 +0000

A while ago I was fighting with a timezone set on a server because of the daylight saving time kicked in: during the ghost hour I had troubles with finding automated jobs. Moreover, the server was located overseas and depending on when I was checking the remote date and time, I could get a different time delta.

Automatic (or unattended) upgrades in openSUSE, CentOS and Fedora, Debian and Ubuntu

Tue, 05 Mar 2019 00:00:00 +0000

Each one of us is a system administrator: for at least your workstation (or notebook) you can decide when and how to administrate it. In the special case in which you are being elected to administer servers too, the matter becomes thorny: what is the workflow in terms of patching, time of reaction to security issues and, in general, when and how to install updates?

Send an email from a Docker container through an external MTA with ssmtp

Mon, 04 Feb 2019 00:00:00 +0000

I packaged a standard application (think of it as a standard PHP or ) into a Docker container. So far, it was working flawlessly, but then a problem arose: send an email from the Docker container (the event is triggered within the container).

Linux: using bind mount to move a subset of root subdirectories to another partion or disk

Tue, 21 Aug 2018 00:00:00 +0000

I was in the situation dealing with a Linux box with two hard disks:

/dev/sda: fast hard drive (SSD), small size (~200 GB)
/dev/sdb: very big hard drive (HDD), large size (~4 TB)

The operating system was installed on /dev/sda, so I had /dev/sdb empty. I knew I could create a mount point (e.g. /storage) and mount it to /dev/sdb, but after reading Intelligent partitioning and the recommended Debian partitioning scheme I thought about moving:

Automatically add SSH keys to SSH agent with GNOME and macOS

Thu, 07 Jun 2018 00:00:00 +0000

I am using passwordless login via SSH on every box that I administer. Of course, my private SSH key is protected with a password that must be provided when accessing the key. Modern operating systems incorporate the usage of ssh-agent to “link” the user account to the SSH key(s), in order to unlock the SSH key as soon as the user is logged in. In this way, they avoid nagging the user asking for the SSH key password every time the key needs to be used. In my case, I am running GNU/Linux with GNOME and macOS:

Accessing remote libvirt on a non-standard SSH port via virt-manager

Tue, 15 May 2018 00:00:00 +0000

Scenario: you are using a remote host as a virtualization host with libvirt and you want to manage it via ”Virtual machine manager” (virt-manager) over SSH.

But SSH is listening on a non-standard port, and virt-manager does not offer you to connect to a remote libvirt instance on a non-standard port.

Automatically update your Docker base images with watchtower

Fri, 09 Feb 2018 00:00:00 +0000

I’m an avid user of Docker containers, using base images pulled from the public registry DockedHub. As you may know, Docker containers are based on Docked base images, e.g. I run postgres containers that are based on Postgres base image.

Docker and containerd on openSUSE: reaching the limit for cgroup (and how to overcome it!)

Thu, 08 Jun 2017 00:00:00 +0000

I recently encountered a limitation during an experiment I was conducting; after some trial and error, I recognized that the limitation was due to cgroups.

But let’s start from the beginning. I open sourced docker-salt, a small pet project I had in mind in order to have a full blown setup for SaltStack: a master with an army of minions. Now for the fun part: what if I really start a hundred of minions on a server that has 16GB of RAM ready to be stressed with SaltStack?

Secure your SSH server against brute-force attacks with Fail2ban

Mon, 05 Jun 2017 00:00:00 +0000

The problem: SSH can be brute-forced Link to heading

I usually leave an SSH server on a dedicated port on every server I administer and, as you may recall, I even linked two well-written guides to properly configure and harden SSH services.

OpenSUSE Leap 42.2: this is how I work (my setup)

Sat, 18 Mar 2017 00:00:00 +0000

Motivation Link to heading

I switched my distribution of choice to OpenSUSE. There are a lot of motivations behind this choice:

I wanted an enterprise-grade quality of software in terms of stability, package choice, and supportability
Growing interest in software non-distribution specific and/or customized, e.g. Gnome
Dogfooding

After nearly one year of usage, I can say that I am mostly satisfied with the setup I built.

OpenVPN with multiple configurations (TCP/UDP) on the same host (with systemd)

Sat, 09 Jul 2016 00:00:00 +0000

As much more people are getting worried about their online privacy (including me), I started to use a server as a VPN termination (with OpenVPN) when I need to access the Internet via non-secure wired or wireless networks (e.g., hotel wireless network, airport Wi-Fi, etc.).

PSA: this website now is TLS-enabled

Sun, 01 May 2016 00:00:00 +0000

After some thinking, I decided to switch my current domain registrar and hoster: in fact, I stayed for 5 years with Netsons.org for domain registration and hosting. I had a very pleasant experience with them, I will recommend their hosting to everyone (it’s very cheap in the plethora of Italian super-expensive hosters).

Packaging software for Debian/Ubuntu: eclipse

Wed, 20 Jan 2016 00:00:00 +0000

Eclipse is my (Java, Python, Ruby, XML, <insert any other text format here) editor of choice, and it has been for many years. One thing that bothers me is that Eclipse package is outdated in Ubuntu: so, instead of using apt, I should resort to download/unpack/copy/create links to install it. These days are finished, though.

Workaround for OpenVPN PAM authentication broken on Ubuntu 15.10

Sat, 05 Dec 2015 00:00:00 +0000

After updating to Ubuntu 15.10 a box with an OpenVPN termination I am using to browse when I travel and use insecure networks, my VPN tunnel stops working. I am using, in this particular box, an OpenVPN server that relies on PAM plugin for authentication (and 2-step verification).

Getting started with cloud-init and CoreOS

Sun, 20 Sep 2015 00:00:00 +0000

Lately I’ve been experimenting with CoreOS, a Linux distribution that enforces containerization (I made some experiments with Docker and I’d say that this area is fun!). CoreOS layer of containerization was based Docker, but now that they moved to Rocket. Not only Rocket, though: CoreOS brings some curious innovations to lightweight Linux distributions like clusterization with fleet and service discovery with etcd.

Playing with Docker: tips and tricks to write effective Dockerfiles

Wed, 01 Jul 2015 00:00:00 +0000

Recently I have been playing with Docker containers, and I am sure you already know what Docker is. In this post I will describe what I have learnt while using Docker containers and preparing Dockerfiles.

Hardening services: let's review our config files

Sun, 28 Jun 2015 00:00:00 +0000

It’s hardening Sunday here: I reviewed the config files of my main daemons (nginx, openvpn, tinc, sshd) with the help of two resources that I want to share with you, fellow readers.

HP 6730b and fan at full speed after suspend (Fedora, Ubuntu, openSUSE)

Thu, 25 Jun 2015 00:00:00 +0000

It seems that with kernels 3.9 onwards there are some issues with fan speed and the 6730b model of HP notebook. I tried with Fedora 22 (my main distribution of choice), openSUSE Tumbleweed and Ubuntu 15.04.

Ubuntu rcS - variabili per modificare il comportamento degli script di boot

Mon, 01 Sep 2014 00:00:00 +0000

Quando mi trovo a dover fare il setup di un nuovo server, cambio sempre una variabile nel file /etc/default/rcS, ovvero:

FSCKFIX=yes

che significa che, in caso di problemi durante il mount dei filesystem al boot, il sistema tenta automaticamente di riparare il file-system, senza interrompere il processo di boot invocando la shell come avviene nel caso default (FCSFIX=no).

Xubuntu/XFCE: come avviare una sessione in VNC

Fri, 29 Aug 2014 00:00:00 +0000

Di recente ho dovuto avviare una sessione VNC su una macchina remota; la mia preferenza per un desktop environment “light” ma al tempo stesso completo è andata su XFCE (installato di default su Xubuntu).

Installazione e configurazione di Logwatch su Ubuntu

Wed, 08 May 2013 00:00:00 +0000

Nei server Linux che amministro ho recentemente installato un programma di monitoring dei logs: logwatch. Una questione importante ma abbastanza noiosa e per cui non si ha mai molto tempo è - appunto - quella dell’analisi dei log, una sorta di “diario” dell’attività svolta dal sistema. Spesso si ricerca nei logs solo quando insorge un problema: la proattività di logwatch, invece, ci permette di avere una sintesi di ciò che è successo e che merita la nostra attenzione direttamente via email.

sshuttle: creiamo una VPN (via transparent proxy) con SSH

Sat, 23 Feb 2013 00:00:00 +0000

In passato vi ho spiegato come creare un tunnel SSH per poter “tunnelizzare” il traffico Internet usando da tramite un server che esponeva il demone sshd. La scomodità di questa soluzione risiede nell’ultimo passo: dobbiamo impostare un tunnel SOCKS per ogni programma di cui vogliamo tunnelizzare il traffico. Ok, questo può non essere una scomodità vera e propria, tuttavia: per esempio, vogliamo tunnelizzare solo il traffico del browser [pensiamo di trovarci in una rete pubblica], mentre il traffico SSH [già cifrato] non ha bisogno di essere tunnelizzato.

zsh: perché non utilizzo bash

Sat, 08 Dec 2012 00:00:00 +0000

Su tutte le macchine Linux e OSX che amministro non uso come shell di default la bash; uso invece zsh, perché:

zsh si offre di completare anche le opzioni e i parametri dei programmi più usati;
zsh fa spelling correction dei comandi digitati, chiedendo interattivamente se volete correggere il comando;
zsh offre una customizzazione più spinta della bash (vedremo tra poco il mio prompt);
zsh condivide la history tra più sessioni attive contemporaneamente;
zsh è già installata, di default, su OSX (ed è nei repo di Ubuntu, percui basta un aptitude install zsh).

Se questi vantaggi non dovrebbero bastare, ecco il mio prompt:

Installare ed utilizzare Mosh (mobile-shell) su Ubuntu e MacOSX

Fri, 08 Jun 2012 00:00:00 +0000

Per le sessioni semi-perpetue di ssh che contraddistinguono il mio setup, utilizzo una combinazione di autossh e tmux/screen (wrappato da byobu). Ultimamente ho scoperto mobile-shell (Mosh): proveniente dal MIT, si tratta di un ssh killer perché, a differenza di ssh:

Evitare riavvii e shutdown remoti su Ubuntu con molly-guard

Sun, 27 May 2012 00:00:00 +0000

Non mi è mai capitato ma potrebbe essere molto utile ai sysadmin più distratti: molly-guard è un pacchetto presente su Ubuntu/Debian che vi permette di evitare un riavvio/shutdown di una macchina remota a cui siete collegati tramite ssh.

RescueTime: il modo migliore per visualizzare dove “spendiamo” il nostro tempo

Mon, 23 Apr 2012 00:00:00 +0000

Ricordarsi dove si “spende” la maggior parte del proprio tempo al computer è un’attività davvero difficile, soprattutto per chi con i computer ci lavora! Proprio per questo motivo ci viene in aiuto RescueTime: una volta installato vi verrà proposto di installare un programma che se ne starà in background e che monitorerà non invasivamente quello che fate al vostro computer, per produrre poi un report delle attività che svolgete al vostro computer, contabilizzando le ore che spendete in ogni applicazione; il tutto, automaticamente!

Come mandare un segnale SIGINT (Ctrl-C) ad un programma che gira nella console di Eclipse

Thu, 19 Apr 2012 00:00:00 +0000

Quando si sviluppa un programma che deve girare ininterrottamente nella console, non ci sono problemi se si lancia il programma da console e lo si termina tramite la più classica delle combinazioni: Ctrl-C. Ma come si termina lo stesso programma se lo si è lanciato da Eclipse?

proctools: (pgrep, pkill): gli strumenti per operare sui processi

Wed, 11 Apr 2012 00:00:00 +0000

Quando ci si trova davanti ad un terminale e si deve operare sui processi, si filtra l’output di ps auxw con grep (ed eventualmente con kill). Ad esempio:

michele@delta:~ % ps auxw | grep -i yes [ 6:20PM] michele 92888 8.7 0.0 2434788 372 s002 S+ 6:20PM 0:00.52 yes michele 92914 0.0 0.0 2425580 296 s005 R+ 6:20PM 0:00.00 grep -i yes

Ksplice: aggiornare il kernel di Ubuntu senza riavviare

Thu, 23 Feb 2012 00:00:00 +0000

Segnalo che con Ksplice (ora Oracle) è possibile applicare gli aggiornamenti di sicurezza (in particolare quelli del kernel) senza dover riavviare. Un’opportunità davvero interessante per tutti i server che devono mantenere un certo uptime e che, di conseguenza, non possono essere riavviati facilmente. Il servizio è disponibile a pagamento per le versioni di Ubuntu server, mentre è gratuito per le versioni desktop. Ecco come installarlo:

Munin e phpSysInfo: monitorare server remoti tramite un’interfaccia web

Mon, 30 Jan 2012 00:00:00 +0000

Monitorare dei server remoti è un’attività che richiede tempo, capacità e gli strumenti corretti. Per monitorare quotidianamente alcuni server aziendali che amministro, ho recentemente scoperto due comodi strumenti a cui si accede tramite interfaccia web (e di conseguenza molto comodi): si tratta di phpSysInfo e di munin.

Ubuntu: esportare/importare la lista dei pacchetti installati

Wed, 14 Sep 2011 00:00:00 +0000

Il punto di forza di Ubuntu, è, tra gli altri, l’utilizzo del package manager di Debian: apt-get (e più in basso nello stack applicativo, di dpkg); alcune volte realizzo un setup (in termini di pacchetti) su una particolare box Ubuntu che vorrei poter esportare su un’altra box. In altre parole, vorrei generare una lista di tutti i pacchetti installati e installarli, automaticamente, su un’altra macchina.

Ubuntu: avviare X senza uno schermo

Mon, 16 May 2011 00:00:00 +0000

Mi è capitato di dover gestire una macchina con Xubuntu (ma questa soluzione si applica a tutte le *Ubuntu) che doveva essere utilizzata da remoto (tramite TeamViewer) e senza uno schermo attaccato.

Creare un panorama "incollando" più foto tra di loro con Hugin

Tue, 10 May 2011 00:00:00 +0000

Le foto ad alta risoluzione ed incollate fra loro mi hanno sempre affascinato ed incuriosito: come possono essere prodotte con una semplice fotocamera tascabile? Ebbene, dopo varie ricerche ed aver provato diversi software, sono arrivato allo zen della composizione di foto. Innanzitutto, partiamo dal prodotto finale. Quella che vedete qui sotto è una vista panoramica di quello che si può ammirare dalla torre Eiffel, a Parigi: ho ottenuto questa vista incollando tra loro 6 fotografie, ottenute con una fotocamera digitale comune, senza un treppiede e senza apparecchiatura specialistica.

Ubuntu: l'aggiornamento a 11.04 corrompe grub. Ecco come risolvere

Sat, 30 Apr 2011 00:00:00 +0000

Il 28/04, incuriosito dalla nuova release di Ubuntu (11.04) ho subito aggiornato dalla versione 10.10 usando la funzionalità di aggiornamento integrata nel sistema.

Tuttavia, con mia grande sorpresa, l’aggiornamento corrompe la configurazione di grub, lasciando il sistema in uno stato inavviabile (in particolare, il sistema si arresta sulla schermata di grub prima del boot); e sembra che sia un problema generalizzato! Non tutto è perduto: il problema deriva da un’errata configurazione di grub prodotta dalla procedura di aggiornamento, ma possiamo recuperare il sistema senza dover reinstallare. Per risolvere il problema, procediamo nel seguente modo:

I componenti certificati per Ubuntu

Thu, 14 Apr 2011 00:00:00 +0000

Ora, anche per Ubuntu, esistono componenti hardware certificati: li trovate nel catalogo Ubuntu-certified hardware.

Prima di acquistare dei componenti per un nuovo PC, quindi, verificate sul catalogo. A quando i primi PC con lo sticker “Designed for Ubuntu”?

Linux: monitorare i consumi energetici

Tue, 29 Mar 2011 00:00:00 +0000

Dopo aver parlato dei consumi energetici di Windows 7 e di come tenerli sotto controllo, vorrei oggi illustrarvi le potenzialità di PowerTOP, un utility per Linux (e Solaris) per monitorare i consumi energetici della Linux box su cui è installato. PowerTOP, infatti, analizza i programmi in esecuzione, i drivers e altre variabili (es. il polling del CD-ROM) per identificare i problemi (programmi, opzioni del kernel e non, etc.) che causano un consumo energetico eccessivo (in particolare, un numero eccessivo di wakeups della CPU che impediscono di entrare negli sleep states della CPU).

VMWare Fusion e Ubuntu: risoluzione dello schermo fissa a 1280x720. Ecco come risolvere la situazione

Tue, 22 Mar 2011 00:00:00 +0000

Dopo aver aggiornato la macchina virtuale con Ubuntu 10.10 in VMWare Fusion, mi sono trovato impossibilitato a selezionare una risoluzione superiore a 1280x720.

Anche dopo aver reinstallato i VMWare Tools, la risoluzione disponibile era sempre bloccata a 1280x720. Dopo aver fatto qualche ricerca nei log, ho trovato alcuni messaggi che evidenziavano il problema: could not apply the stored configuration for monitors Xserver does not support size requested VESA(0): Unable to estimate virtual size VESA(0): Not using built-in mode "2048x1536" (no mode of this name) VESA(0): Not using built-in mode "1920x1440" (no mode of this name) VESA(0): No valid modes left. Trying less strict filter... VESA(0): : Using hsync range of 31.50-37.90 kHz VESA(0): : Using vrefresh range of 50.00-70.00 Hz VESA(0): Unable to estimate virtual size VESA(0): Not using built-in mode "2048x1536" (hsync out of range) VESA(0): Not using built-in mode "1920x1440" (hsync out of range) VESA(0): Virtual size is 1280x720 (pitch 1280) Il problema risiede nella configurazione e nel rilevamento della risoluzione dello schermo; il pacchetto incriminato è quindi xserver-xorg-video-vmware. Per risolvere è sufficiente aprire un terminale e digitare:

Come mantenere attiva una sessione SSH (keepalive)

Wed, 09 Jun 2010 00:00:00 +0000

Quando ci connettiamo tramite ssh ad un server remoto, nella maggior parte dei casi la connessione viene terminata dopo un periodo di inattività (idle), e siamo quindi costretti a riconnetterci al server.

Ubuntu: come convertire il file-system ext3 in ext4 [non-root fs]

Mon, 31 May 2010 00:00:00 +0000

Con l’uscita della nuova versione di Ubuntu ho deciso di convertire i file-system che (ahimé) avevo ancora in ext3 a ext4, per guadagnarne in performance ed affidabilità senza però formattare la partizione (e perdere i miei dati).

Trenitalia e Viaggiatreno: come implementare un servizio "fai da te" per avere le informazioni dello stato di un treno via SMS

Fri, 21 May 2010 00:00:00 +0000

Da quando sono diventato un pendolare (per lavoro), ho iniziato a (ri)frequentare assiduamente le stazioni ferroviarie e i treni di Trenitalia.

Dopo un paio di settimane passate sui treni, mi sono accorto di un servizio interessante: il sito Viaggiatreno: il sito contiene le informazioni sui treni (informazioni in tempo reale sullo stato di un treno come ritardo o anticipo, ora prevista di arrivo e fermate già effettuate).

Cheese: un'applicazione per fare fotografia con la webcam per Ubuntu [un clone di Photo Booth]

Tue, 12 Jan 2010 00:00:00 +0000

Se state cercando un’alternativa a Photo Booth, il popolare software di Apple per scattare fotografie tramite la webcam del proprio computer, allora dovreste considerare Cheese.

Si tratta di un programma molto semplice: una volta aperto, mostra l’immagine della webcam e vi permette di scattare una foto. Inoltre, è possibile applicare alcuni effetti “simpatici” [le foto sono degli sviluppatori di Gnome/Cheese].

Ubuntu: Apache2 con certificati self-signed e senza password all’avvio

Wed, 16 Dec 2009 00:00:00 +0000

Recentemente mi è capitato di dover installare apache [in particolare, apache2] su una macchina Ubuntu. In particolare, mi è stato chiesto di installare la versione con ssl, ovvero che implementa il protocollo cifrato https.

Come impostare ssh in modo che non richieda la password di accesso (chiavi asimmetriche per il login)

Tue, 24 Nov 2009 00:00:00 +0000

Alcuni client ssh permettono di definire “sessioni salvate” di connessioni in modo che username e password vengano salvati e non vengano richiesti ad ogni connessione verso un host. Trovo che permettere all’utente di poter salvare la password sia profondamente sbagliato dal punto di vista della security, soprattutto se l’utente ha privilegi non indifferenti sulla macchina remota [ad esempio è nei sudoers].

Ubuntu e Debian: come aggiornare automaticamente i pacchetti installati (unattended-upgrades)

Wed, 07 Oct 2009 00:00:00 +0000

Nella vita di un sistemista esiste un task piuttosto ripetitivo: ovvero quello di aggiornare i pacchetti (= gli applicativi) installati sul proprio sistema (vuoi perché le versioni recenti dello stesso software dovrebbero essere migliori, più performanti e al riparo dagli ultimi bug di security, etc.).

Come impostare il pinning (non aggiornare, ovvero mantenere la versione attuale) di un pacchetto su Ubuntu/Debian

Tue, 15 Sep 2009 00:00:00 +0000

A volte può capitare che su certe macchine Ubuntu (o Debian) alcuni pacchetti importanti non debbano essere aggiornati dal gestore di pacchetti (apt-get o aptitude). Le ragioni possono essere le più svariate: incompatibilità, volontà di tenere la versione corrente (!), aggiornamento manuale, etc.

Gentoo: creare una lista dei pacchetti e delle applicazioni installate

Sun, 06 Sep 2009 00:00:00 +0000

Per chi utilizza Gentoo Linux e vuole conoscere quali pacchetti (e quindi quali applicazioni) sono installate basta semplicemente installare gentoolkit (emerge app-portage/gentoolkit) e poi utilizzare **equery list**.

Come fare il resume di un trasferimento fatto con scp

Mon, 24 Aug 2009 00:00:00 +0000

Per quanto riguarda i trasferimenti di files tra servers UNIX, scp è la soluzione ottimale: non richiede di aprire porte (ok, oltre a quella di ssh, ma chi non lo usa oggigiorno?), è sicuro e soprattutto è veloce.