Old:Debian on a Toshiba Satellite M30X-113: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
m
→‎Touchpad: aggiunta alternativa
(tolta gran parte della sezione video. linkata la guida driver Ati)
m (→‎Touchpad: aggiunta alternativa)
Riga 1: Riga 1:
{{stub}}
==Caratteristiche==
==Introduzione==
L'utilizzazione di una autorità di certificazione locale (''self signed CA'') trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati.


Uno scenario tipico è quello in cui si voglia realizzare un sistema di autenticazione web basato su certificati: per autenticarsi i client devono presentare il certificato richiesto.
* Intel Pentium M 1.6 GHz
* 2x256 MB DDR-SDRAM
* 40 GB Matshita hd
* ATI Mobility Radeon 9600 M10 (RV350)
* Audio Intel AC'97
* Matshita DVD-RAM UJ-820s
* Realtek Ethernet Controller
* LCD 15.4"
* ENE PCMCIA Controller
* Intel Pro/Wireless 2200BG
* Alps Touchpad


Illustrerò come generare una CA locale, come usarla per creare certificati
<pre># lspci
lato server e lato client, infine mostrer� come revocare un certificato.
0000:00:00.0 Host bridge: Intel Corporation 82852/82855 GM/GME/PM/GMV Processor to I/O Controller (rev 02)
0000:00:00.1 System peripheral: Intel Corporation 82852/82855 GM/GME/PM/GMV Processor to I/O Controller (rev 02)
0000:00:00.3 System peripheral: Intel Corporation 82852/82855 GM/GME/PM/GMV Processor to I/O Controller (rev 02)
0000:00:01.0 PCI bridge: Intel Corporation 82852/82855 GM/GME/PM/GMV Processor to AGP Controller (rev 02)
0000:00:1d.0 USB Controller: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) USB UHCI Controller #1 (rev 03)
0000:00:1d.1 USB Controller: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) USB UHCI Controller #2 (rev 03)
0000:00:1d.2 USB Controller: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) USB UHCI Controller #3 (rev 03)
0000:00:1d.7 USB Controller: Intel Corporation 82801DB/DBM (ICH4/ICH4-M) USB2 EHCI Controller (rev 03)
0000:00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev 83)
0000:00:1f.0 ISA bridge: Intel Corporation 82801DBM (ICH4-M) LPC Interface Bridge (rev 03)
0000:00:1f.1 IDE interface: Intel Corporation 82801DBM (ICH4-M) IDE Controller (rev 03)
0000:00:1f.3 SMBus: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) SMBus Controller (rev 03)
0000:00:1f.5 Multimedia audio controller: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) AC'97 Audio Controller (rev 03)
0000:00:1f.6 Modem: Intel Corporation 82801DB/DBL/DBM (ICH4/ICH4-L/ICH4-M) AC'97 Modem Controller (rev 03)
0000:01:00.0 VGA compatible controller: ATI Technologies Inc RV350 [Mobility Radeon 9600 M10]
0000:02:00.0 FireWire (IEEE 1394): VIA Technologies, Inc. IEEE 1394 Host Controller (rev 80)
0000:02:01.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
0000:02:02.0 Network controller: Intel Corporation PRO/Wireless 2200BG (rev 05)
0000:02:04.0 CardBus bridge: ENE Technology Inc CB-710/2/4 Cardbus Controller
0000:02:04.1 FLASH memory: ENE Technology Inc ENE PCI Memory Stick Card Reader Controller
0000:02:04.2 0805: ENE Technology Inc ENE PCI Secure Digital Card Reader Controller
0000:02:04.3 FLASH memory: ENE Technology Inc: Unknown device 0520</pre>


==Installazione e Configurazione di Openssl==
==La mia installazione di Debian Sarge (3.1r0a)==
Per installare la libreria SSL e gli applicativi necessari alla creazione di chiavi e certificati dare il comando:
<pre>apt-get install openssl</pre>


Per minimizzare la quantit� di informazioni richieste durante la creazione di chiavi e certificati, pu&ograve;
===Backup e partizionamento===
essere utile modificare il file '''/etc/ssl/openssl.cnf''' per esempio alla seguente sezione:
 
<pre>
Ho fatto un backup di tutti i documenti, file, musica, video, etc...
[ req_distinguished_name ]
 
Poi una deframmentazione, meglio se da DOS, in modo da avere il sistema operativo su una parte precisa del disco (all'inizio).
 
Io ho voluto mantenere il sistema op. della microsoft, quindi ho creato le partizioni (almeno 2) da Windows. Si possono creare, credo, anche con l'installer di Debian, ma è un po' complicato. Non fate come il sottoscritto, procuratevi un programma open source per partizionare. : )
 
Io ne ho create 2:
 
*Primaria da 14 GB per / [destinazione dell'intero sistema operativo]
*Logica da 1 GB per lo swap ["memoria virtuale"]
La partizione di swap non è obbligatoria, ma consigliata.


countryName            = Country Name (2 letter code)
===Installazione (prima parte)===
countryName_default    = IT
...
stateOrProvinceName            = State or Province Name (full name)
stateOrProvinceName_default    = Italy
...


0.organizationName              = Organization Name (eg, company)
Facendo partire l'installazione della Sarge su questo modello Toshiba si ha un blocco sul rilevamento dei controller PCMCIA, in particolare su:
0.organizationName_default      = Azienda SpA
<pre>Rilevamento dell'hardware in corso alla ricerca di lettori CD-ROM --> Avvio dei servizi "PC-CARD" in corso</pre>
...
Ma non ho disperato, al boot mi è bastato scrivere, per far partire l'installer correttamente:
<pre>hw-detect/start_pcmcia=false</pre>
Siccome, io credo, non viene riconosciuto correttamente nemmeno l'adattatore grafico, ho dovuto aggiungere:
<pre>vga=771</pre>
se no mi sarei trovato davanti ad una schermata nera. Il comando completo diventa quindi:
<pre>linux26 acpi=yes vga=771 hw-detect/start_pcmcia=false</pre>
Prima del processo di partizionamento dell'installer, viene chiesto di formattare tutto l'hd o di modificare la tabella delle partizioni manualmente: io, per tenermi Windows, ho scelto la seconda opzione.
Quindi appare il menù di partizionamento con visualizzate le tre partizioni:
<pre>- (numero partizione) (tipo) (dimensione) (file system) (uso)
-
-
</pre>
</pre>
Quella dell'altro SO non va toccata, deve essere impostata su "non usare la partizione".
Quella principale (per /) va configurata così:
<pre>usato come (cioè il file system): reiserFS
mount point: /
opzioni: default
etichetta: /
flag "avviabile": attivato
</pre>
Quella di swap così:
<pre>usato come: area di swap</pre>
Ho proseguito con il partizionamento guidato e il resto dell'installazione.


==Generazione di una CA locale==
PRIMA di confermare il partizionamento, ho VERIFICATO nel riepilogo che le partizioni di altri OS non vengano modificate.
Per mezzo di questa autorit&agrave; di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client.
Ho scelto di installare il boot loader GRUB nel master boot record.


===Creazione della chiave (root CA)===
===Installazione (seconda parte)===
Prima del certificato &egrave; necessario creare una chiave. Il seguente comando genera nella directory '''/etc/openssl/private''' la chiave privata '''ca.key''' di 1024 bit criptata con algoritmo ''triple DES'':
 
<pre># openssl genrsa -des3 -out private/ca.key 1024
Finita la prima parte dell'installazione, il sistema si è riavviato, così che mi sono trovato davanti al menù di GRUB (scelta del sistema operativo). Ho selezionato, con la tastiera:
Enter pass phrase for private/ca.key:
<pre>Debian GNU/LINUX, kernel 2.6.8-2-686    (o simile)</pre>
Verifying - Enter pass phrase for private/ca.key:
e ho premuto "e" per editarlo, quindi ho selezionato:
<pre>kernel /boot/vwlinuz-2.6.8-2-686 root=/dev/hda2 ro acpi=yes vga=771    (o simile)</pre>
e premuto di nuovo "e" , ho aggiunto in fondo alla riga, senza virgolette: "1" (credo si possa aggiungere anche "single"), poi INVIO e poi "b". Il sistema comincia la seconda parte di installazione; ad un certo punto ci si trova al prompt di manutenzione, digitate (senza #):
<pre>
# cd /etc/rc2.d/
# rm *pcmcia*
# init2
</pre>
Ho così rimosso i riferimenti ai controller PCMCIA. L'installazione parte come previsto. Se non avessi eseguito quest'ultima operazione, si sarebbe verficato un blocco del sistema a:
<pre>
Starting PCMCIA services: cardmgr[2808]: watching 1 socket
cs: IO port probe 0x0100-0x04ff: clean
cs: IO port probe 0x0800-0x08ff: _ |
</pre>
</pre>


La chiave sar&agrave; generata dopo aver immesso la ''pass phrase''.
===Configurazione desktop===
 
Io ho scelto "ambiente desktop".
Verrà in seguito chiesto di scegliere i driver per la scheda video, cioè "ati".
 
Se è andato tutto bene, si deve, con i diritti di amministratore, modificare il file:
<tt>/etc/X11/XF86Config-4</tt><br/>
oppure: <tt>/etc/X11/xorg.conf</tt>    oppure    <tt>/etc/X11/Xfree86.conf</tt>
 
la sezione "Screen" va modificata così, se non lo è già:
 
<pre>
Subsection "Display"
    Deph          24
    Modes        "1280x800" "1024x768" "800x600" "640x480"
</pre>
Se si mette "1152x768" al posto di "1280x800" si avrà un effetto tipo antialias veramente fastidioso, soprattutto per i carratteri piccoli; infatti questa risoluzione non è specifica a questo video.


{{ warningbox | vista l'importanza della chiave privata a livello sicurezza, dare gli opportuni permessi alla directory '''/etc/openssl/private''' e a '''ca.key'''. }}
Nota: Nel Toshiba M30X-159, per vedere bene le risoluzioni da 1024x768 in su.. ho dovuto modificare nella sezione "Monitor" la sincronizzazione orizzontale e verticale nel seguente modo :
<pre>
Section "Monitor"
Identifier "LPL:0000"
HorizSync 30-61
VertRefresh 56-75
Option "DPMS"
EndSection
</pre>
Se come driver non avete scelto ati, dovete cambiarlo nello stesso file, scrivendo "ati" al posto di quello che ci trovate, nella riga "Driver" nella sezione "Device".
'''Riavviate.'''


===Generazione del certificato (root CA)===
===LAN===
Prima di procedere assicurarsi che '''/etc/ssl/index.txt''' sia vuoto e che '''/etc/ssl/serial''' contenga il valore 01.


Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]], per generare un certificato root CA '''ca.crt''' con validit&agrave; di un anno:
Sono riuscito a configurare anche la connessione a internet tramite router.
<pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365
Enter pass phrase for private/ca.key:</pre>


Il certificato appena creato sar&agrave; utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito.
La procedura è ben descritta in [[Condividere la connessione a internet]].


Affinch&eacute; i browser possano riconoscere come valida la ''root CA'' appena creata, gli utenti finali dovranno installare il certificato '''ca.crt''' nei loro browser. Riferirsi alla sezione [[#Certificato lato client | Certificazione lato client]] per ottenere maggiorni informazioni.
===WIRELESS===


Aggiungendo l'opzione '''-batch''' al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file '''/etc/ssl/openssl.cnf'''. Utile quando il comando &egrave; utilizzato in uno script.
====Debian Way====


==Certificato lato server==
[[Intel PRO/Wireless 2200BG]]
Questo &egrave; il certificato che il server utilizza per cifrare i dati scambiati con i vari client. Un tipico esempio � un server ''https''.


====Creazione della chiave (server)====
''(by ckale)''
Il modo in cui creare la chiave e le osservazioni da fare sono le stesse viste nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]]:
<pre># openssl genrsa -des3 -out private/server.key 1024
Enter pass phrase for private/server.key:
Verifying - Enter pass phrase for private/server.key:</pre>


&Egrave; molto probabile che la chiave generata sia poi utilizzata insieme al relativo certificato nella configurazione di ''apache''; in tal caso ''apache'' attender&agrave; ad ogni avvio che venga inserita la ''pass phrase'' relativa alla chiave utilizzata. Vista la scomodit&agrave; di tale soluzione, si pu&ograve; togliere la ''pass phrase'' dalla chiave:
Per evitare, in parte, di fare il passaggio 1 e 2  (vedi sotto), installate attraverso apt-get il "[[Pagina di manuale di module-assistant|module-assistant]]". Questo vi consentirà di recuperare, pachettizzare ed installare il modulo per il ipw2200. Una volta installato, con <tt>apt-get install module-assistant</tt> modifichiamo anche il source.list di apt che si trova <tt>/etc/apt/source.list</tt> aggiungendo "non-free" e "contrib" sia per il repo "deb" che deb-src come in esempio :
<pre># openssl rsa -in private/server.key -out private/server.key.unsecure
Enter pass phrase for private/server.key:
writing RSA key</pre>


{{ Warningbox | la chiave priva di ''pass phrase'' non &egrave; protetta, quindi assicurarsi che abbia i permessi opportuni.}}
deb http://debian.fastweb.it/debian/ stable main non-free contrib
deb-src http://debian.fastweb.it/debian/ stable main non-free contrib


===Generazione di una Certificate Signing Request (CSR)===
Un volta fatto ciò aggiorniamo apt-get update e lanciamo module-assistant.
Con la chiave creata nella sezione [[#Creazione della chiave (server)|Creazione della chiave (server)]] generiamo una richiesta di firma per il certificato lato server che stiamo creando:
Ricordiamoci pero' di copiare i file firmware nella cartella <tt>/usr/lib/hotplug/firmware/</tt> (con il [[Udev e Debian|nuovo udev]] il percorso è <tt>/lib/firmware</tt>).
<pre>litio:# openssl req -config /etc/ssl/openssl.cnf -new -key private/server.key -out server.csr
Enter pass phrase for private/server.key:</pre>


Impartito il comando, &egrave; richiesta in input una serie di informazioni tra cui la pi&ugrave; importante &egrave; quella relativa all'opzione ''commonName'' in cui va specificato l'''FQDN'' del server che utilizzer&agrave; il certificato, al fine di evitare problemi di "fiducia" coi client.
A questo punto proviamo a caricare il modulo con modprobe ipw2200


===Firma della CSR===
Una volta caricato il modulo procediamo con l'installazione delle utility wireless, apt-get install wireless-utility. Con il comando iwconfig possiamo vedere le interfacce di rete wifi.  
Quando disponiamo di una ''CSR'' &egrave; necessario spedirla alla ''CA'' scelta affinch&eacute; la firmi, tuttavia se abbiamo provveduto, come spiegato nella sezione [[#Generazione di una CA locale|Generazione di una CA locale]], alla creazione di una nostra ''CA'' , possiamo firmare noi la ''CSR'' ottenuta alla sezione [[#Generazione di una Certificate Signing Request (CSR)|Generazione di una Certificate Signing Request]]:
<pre>
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \
> -cert ca.crt -in server.csr -out certs/server.crt
Enter pass phrase for private/ca.key:</pre>


Il risultato del precedente comando &egrave; il file '''/etc/ssl/certs/server.crt''', l'aggiornamento di '''/etc/ssl/index.txt''' e di '''/etc/ssl/serial'''. A questo punto il file '''server.csr''' non &egrave; pi&ugrave; necessario.
{{Warningbox|Se non funziona controllate il log del modprobe e verificate che il modulo cerchi il driver corretto, mi è capitato che lui cercasse un file con un nome diverso, naturalmente mi è bastato rinominare i firmware ;)}}
Il risultato dell'operazione &egrave; il certificato per mezzo del quale il server https cifrer&agrave; i dati scambiati con i client.


==Configurazione Web Server==
====Old Style====
Prendo in considerazione solo la configurazione relativa ad ''apache'' , in particolare ad ''apache-ssl''. Utilizzando ''apache'' con ''mod-ssl'' si dovrebbero ottenere risultati analoghi.
''(by jockerfox)''


===Direttive apache-ssl===
1) Dal sito Sourceforge.net
Importanti sono le seguenti direttive:
scaricate i seguenti pacchetti :
; SSLCACertificatePath: indica la directory dove sono contenuti certificati e ''CRL'' (''Certificate Revocation List'')
Esempio: <tt>SSLCACertificatePath /etc/ssl</tt>
; SSLCertificateFile: indica il certificato lato server per mezzo del quale i dati vengono cifrati. Secondo quanto riportato in questa guida esso corrisponde al file /etc/ssl/certs/server.crt.
Esempio: <tt>SSLCertificateFile server.crt</tt>
; SSLCertificateKeyFile: indica la chiave privata del certificato lato server. Secondo quanto qui riportato essa corrisponde al file '''/etc/ssl/private/server.key'''. Per maggiori informazioni vedere l'osservazione sulle chiavi private fatta nella sezione [[#Certificato lato server|Certificato lato server]].
Esempio: <tt>SSLCertificateKeyFile server.key</tt>
; SSLVerifyClient: definisce la certificazione di cui i client necessitano per autenticarsi.
Esempio: <tt>SSLVerifyClient 2  #The client must present a valid certificate.</tt>
; SSLVerifyDepth: nel nostro caso va impostata a 1 in quanto ci fidiamo solo di certificati firmati dalla nostra CA locale.
Esempio: <tt>SSLVerifyDepth 1</tt>
;SSLUseCRL: i certificati client sono controllati basandosi sull'appropriata ''CRL''. La ''CRL'' deve essere in formato ''PEM''. &Egrave; necessario un link simbolico alla ''CRL'' posto all'interno del percorso indicato dalla direttiva '''SSLCACerificatePath'''. Non prende argomenti. Il percorso della ''CRL'' e' specificato da '''SSLCACertificatePath.''' I link simbolici alle ''CRL'' hanno la forma <tt><hash>.r<number>, dove <hash></tt> &egrave; l'hash del file contenente la ''CRL''. La sezione [[#Apache e CRL | Apache e CRL]] spiega come creare link simbolici di tale tipo.
Esempio: <tt>SSLUseCRL</tt>
; SSLOnRevocationSetEnv: se il client presenta un certificato revocato, la sessione SSL &egrave; stabilita e la variabile indicata &egrave; impostata. L'idea &egrave; di gestire con uno script questo tipo d'errore. Per la descrizione delle altre direttive del tipo ''SSLOn*SetEnv'' riferisi alla documentazione di ''apache''.
Esempio: <tt>SSLOnRevocationSetEnv SSL_REVOKED</tt>


===Apache e CRL===
http://ipw2200.sourceforge.net/#downloads il driver "ipw2200-1.0.4.tgz"
Questa sezione tratta della configurazione di ''apache-ssl'' per l'uso di ''CRL''. Riferirsi a [[#Revoca di un certificato | Revoca di un certificato]] e in particolare a [[#Creazione e aggiornamento di una CRL | Creazione e aggiornamento di una CRL]].
http://ipw2200.sourceforge.net/firmware.php il firmware "v1.0.4-current firmware"


Affinch&eacute; ''apache-ssl'' sia informato sulla validit&agrave; dei certificati, &egrave; necessario l'utilizzo delle direttive '''SSLCACertificatePath''' e '''SSLUseCRL'''. La prima indica il percorso in cui cercare la ''CRL'', la seconda istruisce il demone a fare uso della ''CRL''.
Con Synaptic scaricare i seguenti pacchetti:
:1: kernel-headers-2.6.8-2-686 (in automatico scaricherà anche kernel-headers-2.6.8-2 e kernel-kbuild-2.6-3)
:2: net-tools


La ''CRL'' deve essere puntata da un link simbolico della forma <tt><hash>.r<number></tt> presente all'interno del percorso indicato dalla direttiva '''SSLCACertificatePath''' (p.e. '''/etc/ssl'''):
2) Fatto cio':
<pre>
:* scompattare "ipw2200-1.0.4.tgz" in una directory qualsiasi e da SU (#) fate un "make", poi "make install"
# cd /etc/ssl
:* scompattare in una diversa directory "v1.0.4-current firmware" e copiare tutto in /usr/lib/hotplug/firmware/
# hash=`openssl crl -hash -in crl/crl.pem -noout`
# ln -sf crl/crl.pem $hash.r0
# ls -l $hash.r0


lrwxr-xr-x  1  root  root  11 2004-09-24 10:41 bb6e3a6b.r0 -> crl/crl.pem
'''P.S.''': non occorre copiare i file tipo "LICENZE" e varie... che non servono a nulla.
</pre>


===CA, certificati e CRL per virtual host===
3) aprite una Konsole e da SU scrivete "nano /etc/network/interfaces" e aggiungete prima di eth0:
Tutte le direttive elencate nella sezione [[#Direttive apache-ssl|Direttive apache-ssl]] possono essere utilizzate nei contesti ''server config'' e ''virtual host''.


La prima conseguenza &egrave; che si possono specificare ''CA'', ''CRL'' e certificati distinti per ogni singolo host virtuale.
La seconda conseguenza &egrave; che si pu&ograve; creare confusione tra le direttive nei contesti ''server config'' e ''virtual host''. Si consideri una configurazione del tipo seguente:
<pre>
<pre>
[...]
auto eth1
SSLOnRevocationSetEnv SSL_REVOKED
iface eth1 inet dhcp
[...]
<VirtualHost x.y.z.w:443>
SSLCACertificateFile /etc/ssl/virtual1/ca.crt
SSLCertificateFile /etc/ssl/virtual1/certs/server.crt
SSLCertificateKeyFile /etc/ssl/virtual1/private/server.key
SSLCACertificatePath /etc/ssl/virtual1
SSLUseCRL
[...]
</VirtualHost>
</pre>
</pre>
Quando revocato un certificato client relativo al virtual host <tt>x.y.z.w</tt>, il risultato potrebbe non corrispondere a quanto voluto. Se si visitasse l'URL <tt>https://x.y.z.w</tt> con il browser in cui installato il certificato revocato , si noterebbe che l'accesso non verrebbe impedito. Questo accade perch&eacute; '''SSLOnRevocationSetEnv SSL_REVOKED''' non nega l'accesso ai certificati revocati, ma imposta la variabile '''SSL_REVOKED''' a "YES" e la direttiva posta nel contesto ''server config'' ha valore anche per gli host virtuali.
La soluzione quella di commentare la direttiva nel contesto ''server config'' e attivarla, se serve, per ogni singolo host virtuale.


==Certificato lato client==
4) reboot ... e funziona !!
I passi da seguire per la creazione dei certificati lato client sono essenzialmente analoghi a quelli illustrati nella sezione [[#Certificato lato server | Certificato lato server]].
 
{{Warningbox|Ricordate di mettere il router senza chiave WEP (o varie cifrature) per essere sicuru che tutto funzioni come da dovere... dopo di che' abilitate allora la Key WEP nel router (vedi sotto per Debian)}}
 
====Il WEP====
 
No problem !
 
A.S.: Il KWiFIManager e' utile, ma non per configurare la chiave WEP!!!


===Creazione chiave (client)===
;Importante: In primis, abilitate la chiave WEP nel router (esempio io la ho abilitata in 128 bit)
Prima di tutto generiamo la chiave. La ''pass phrase'' utilizzata servir&agrave; all'utente finale per autenticarsi nelle zone protette del server web.
e '''scrivetevi il codice esadecimale''' in un foglio senza sbagliare !!
<pre>
# Da Konsole digitate : network-admin (lo trovate anche nel menu' K) e vi chiedera' la password di amministratore.. inseritela !
# openssl genrsa -des3 -out private/client1.key 1024
# Una volta "entrati dentro", cliccate sull'icona del Wireless, e poi cliccate sull'icona "modifica" (e' un'icona con una chiave inglese) e inserite la chiave WEP in esadecimale (ex:ABF0D3...); non occorre aggiungere "0x" avanti alla chiave, (0xABFoD3...NO!!) digitatela direttamente in esadecimale (ABF0D3...SI!)
Enter pass phrase for private/client1.key:
# selezionate la casellina "questo dispositivo e' configurato"
# le altre opzioni se volete... tipo ESSID Dopo premete OK (due volte) e reboot !!!
 
Sperando di non essermi dimenticato qualcosa... ciao!
 
Fine .
(by jockerfox)
 
===VIDEO===
 
====Utilizzare i driver Ati di default====
 
I driver Ati di default sono parzialmente accelerati. Dalla mia esperienza è possibile usarli tranquillamente (io ci modellavo con Blender con qualche problema, ad esempio durante le selezioni dei poligoni o vertici nella vista 3D). E' sufficiente avere le librerie mesa (<tt>libglu1-mesa libgl1-mesa-glx libgl1-mesa-dri</tt>) e modificare il file <tt>/etc/X11/xorg.conf</tt> o <tt>/etc/X11/XF86config-4</tt>. Riporto solo le sezioni da aggiungere o modificare:
<pre>Section "Module"
        Load    "dri"
        Load    "extmod"
        SubSection  "extmod"
          Option  "omit xfree86-dga"
        EndSubSection
        Load    "glx"
        Load    "GLcore"
EndSection
 
Section "Device"
        Identifier      "ATI Technologies, Inc. RV350 [Mobility Radeon 9600 M10]"
        Driver          "ati"
        BusID          "PCI:1:0:0"
EndSection
 
Section "DRI"
        Mode    0666
EndSection</pre>
'''Ma se si vuole sfruttare al pieno il processore grafico...'''<br/>
La guida è qui: [[Installazione driver proprietari Ati]].
 
Per fare qualcosa (ad esempio impostare i monitor) anche in modalità grafica, usando il limitatissimo e stupido pannello di controllo Ati, dobbiamo fare qualche capriola.
Creiamo un collegamento simbolco della libreria <tt>libfglrx_pp.so.1.0</tt> in <tt>/usr/lib/</tt>.
Da root:
<pre># ln -s /usr/lib/fglrx/libfglrx_pp.so.1.0 /usr/lib/</pre>
Dobbiamo avere i permessi di root per lavorare su <tt>/etc/X11/xorg.conf</tt> ma il Pannello di Controllo Ati non parte se abbiamo i privilegi. Quindi creiamo un copia del file, ad esempio, in <tt>/home/utente/cartella_temp/</tt>.
Quindi, senza i privilegi di root:
<pre>$ cp /etc/X11/xorg.conf /home/utente/cartella_temp/
$ cd /home/utente/cartella_temp/
$ fireglcontrolpanel</pre>
Settiamo le magre opzioni riguardo ai monitor, applichiamo e diamo Ok. Copiamo il file al suo posto, da root:
<pre># cp /home/utente/cartella_temp/xorg.conf /etc/X11/</pre>
'''Riavviamo X.'''
Tutto dovrebbe essere a posto. Fihiuu...
 
====xorg.conf (XF86Config-4)====
 
Questo e' il mio xorg.conf:
<pre># /etc/X11/xorg.conf (xorg X Window System server configuration file)
#
# This file was generated by dexconf, the Debian X Configuration tool, using
# values from the debconf database.
#
# Edit this file with caution, and see the /etc/X11/xorg.conf manual page.
# (Type "man /etc/X11/xorg.conf" at the shell prompt.)
#
# This file is automatically updated on xserver-xorg package upgrades *only*
# if it has not been modified since the last upgrade of the xserver-xorg
# package.
#
# If you have edited this file but would like it to be automatically updated
# again, run the following command:
#  sudo dpkg-reconfigure -phigh xserver-xorg
 
Section "ServerLayout"
Identifier    "Default Layout"
Screen      0  "aticonfig-Screen[0]" 0 0
InputDevice    "Keyboard"
InputDevice    "Mouse"
InputDevice    "Touchpad"
EndSection
 
Section "Files"
# path to defoma fonts
FontPath    "/usr/share/fonts/X11/misc"
FontPath    "/usr/share/fonts/X11/100dpi/:unscaled"
FontPath    "/usr/share/fonts/X11/75dpi/:unscaled"
FontPath    "/usr/share/fonts/X11/Type1"
FontPath    "/usr/share/fonts/X11/100dpi"
FontPath    "/usr/share/fonts/X11/75dpi"
FontPath    "/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType"
EndSection
 
Section "Module"
Load  "synaptics"
Load  "bitmap"
Load  "ddc"
Load  "dri"
Load  "extmod"
Load  "freetype"
Load  "glx"
Load  "int10"
Load  "type1"
Load  "vbe"
#      Load  "GLcore"
EndSection
 
Section "InputDevice"
Identifier  "Keyboard"
Driver      "kbd"
Option     "CoreKeyboard"
Option     "XkbRules" "xorg"
Option     "XkbModel" "pc105"
Option     "XkbLayout" "it"
EndSection
 
Section "InputDevice"
Identifier  "Mouse"
Driver      "mouse"
Option     "CorePointer"
Option     "Device" "/dev/input/mice"
Option     "Protocol" "ExplorerPS/2"
Option     "Emulate3Buttons" "true"
EndSection
 
Section "InputDevice"
Identifier  "Touchpad"
Driver      "synaptics"
Option     "Device" "/dev/psaux"
Option     "Protocol" "auto-dev"
Option     "LeftEdge" "1700"
Option     "RightEdge" "5300"
Option     "TopEdge" "1700"
Option     "BottomEdge" "4200"
Option     "FingerLow" "25"
Option     "FingerHigh" "30"
Option     "MaxTapTime" "180"
Option     "MaxTapMove" "220"
Option     "VertScrollDelta" "100"
Option     "MinSpeed" "0.10"
Option     "MaxSpeed" "0.30"
Option     "AccelFactor" "0.0150"
Option     "SHMConfig" "on"
        Option      "AlwaysCore" "true"
EndSection
 
### Alternative Touchpad Configuration ###
#
#  Section "InputDevice"
#    Identifier  "Touchpad"
#    Driver      "mouse"
#    Option      "Device" "/dev/input/mice"
#    Option      "Name" "AlpsPS/2 ALPS GlidePoint"
#    Option      "Protocol" "explorerps/2"
#    Option      "Vendor" "Sysp"
#    Option   "LeftEdge" "1700"
#    Option   "RightEdge" "5300"
#    Option      "TopEdge" "1700"
#    Option   "BottomEdge" "4200"
#    Option   "FingerLow" "25"
#    Option   "FingerHigh" "30"
#    Option   "MaxTapTime" "180"
#    Option   "MaxTapMove" "220"
#    Option   "VertScrollDelta" "100"
#    Option   "MinSpeed" "0.10"
#    Option   "MaxSpeed" "0.30"
#    Option   "AccelFactor" "0.0150"
#    Option   "SHMConfig" "on"
#  EndSection
#
###
 
Section "Monitor"
Identifier  "aticonfig-Monitor[0]"
HorizSync    30.0 - 70.0
VertRefresh  50.0 - 100.0
Option     "VendorName" "ATI Proprietary Driver"
Option     "ModelName" "Generic Autodetecting Monitor"
Option     "DPMS" "true"
EndSection
 
Section "Monitor"
Identifier  "aticonfig-Monitor[1]"
Option     "DPMS" "true"
EndSection
 
Section "Device"
Identifier  "aticonfig-Device[0]"
Driver      "fglrx"
Option     "VideoOverlay" "on"
Option     "OpenGLOverlay" "off"
Option     "DesktopSetup" "horizontal,reverse"
BusID      "PCI:1:0:0"
EndSection
 
Section "Screen"
Identifier "aticonfig-Screen[0]"
Device    "aticonfig-Device[0]"
Monitor    "aticonfig-Monitor[0]"
DefaultDepth    24
SubSection "Display"
Viewport  0 0
Depth    24
Modes    "1280x800" "1280x1024" "1024x768" "800x600" "640x480"
EndSubSection
EndSection
 
Section "DRI"
Mode        0666
EndSection
 
### End Of File ###
</pre>
</pre>


===Generazione di una CSR per il client===
===AUDIO===
<pre>
 
# openssl req -config /etc/ssl/openssl.cnf -new -key private/client1.key -out client1.csr
Bisogna installare i paccheti ALSA:
Enter pass phrase for private/client1.key:
<pre># apt-get install alsa-base alsa-utils</pre>
</pre>
Poi fare un bel:
<pre># alsaconf</pre>
seguire le istruzioni e poi:
<pre># alsamixer</pre>
per settare i volumi.
 
===Touchpad===
 
Questo portatile ha un touchpad Alps, ma funziona anche con i driver Synaptics (a patto di rinunciare al tapping e allo scrolling, se non sbaglio).
 
Per usare i driver Synaptics, la guida è qui: [[Synaptics touchpad]].
 
Se invece non volete usare i suddetti driver, quindi far funzionare il tapping e lo scrolling più felicemente, date un'occhiata al file riportato sopra: commentate la sezione che abilita il Synaptics Touchpad e decommentate la configurazione alternativa. Probabilmente i valori sono da aggiustare. Salvate e riavviate X.
 
'''Nota:''' Se utilizzate ksynaptics come tool di configurazione del touchpad, abilitate l'opzione ''ALPS touch pad''.
 
===PCMCIA===
 
Su internet ho trovato che l'adattatore PCMCIA, su questo modello, è riconosciuto con il modulo <tt>yenta_socket</tt>.
 
===Gestione energetica===
 
Per quanto riguarda il risparmio energetico, il centro di controllo di KDE dice che:
''Il computer ha l'installazione ACPI parziale, bisogna abilitare "AC adaptor" e "Control method battery". Quindi ricompilare il kernel.''
 
Date un'occhiata qui: [[Cpufreqd: Cpuscaling per Intel Pentium M]]
 
Io, per risolvere, ho attivato i seguenti moduli:
<pre>acpi-cpufreq
ac
battery
button
fan
processor
thermal
cpufreq_userspace
freq_table</pre>
È possibile farlo con <tt>modconf</tt>.
Comunque molti sono gia' attivati.
Inoltre vanno installati:
<pre>acpi cpufreqd cpufrequtils</pre>
Aggiungete le applet (se avete Gnome) "Variazione frequenza CPU" e "Carica batteria" e siete a posto.
 
Con il comando:
<pre>cpufreq-set</pre>
potete cambiare la frequenza del processore. Esempio:
<pre>cpufreq-set -f 1.2GHz</pre>
oppure ottenere info con:
<pre>cpufreq-info</pre>
 
Se vi intendete di liguaggio C, o avete lavorato per Microsoft o Intel, potete provare a ricompilarvi la DSDT (Differentiated System Description Table). Questo vi permetterà, forse, di ottenere prestazioni migliori, di correggere qualche errore o di aggiungerne di nuovi. La guida è qui: [[ACPI e DSDT]].


===Firma della CSR per il client===
===Sensori===
La ''CSR'' va firmata dalla nostra ''CA'' locale:
<pre>
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \
> -cert ca.crt -in client1.csr -out certs/client1.crt
Enter pass phrase for private/ca.key:
</pre>


a questo punto il file '''client1.csr''' non e' pi� necessario. Infine '''client1.crt''' e '''client1.key''' vanno messi in un unico file:
Guida: [[I2c e lm-sensors]]
<pre>
# cat private/client1.key > private/client1.pem
# cat certs/client1.crt >> private/client1.pem
</pre>


quindi generare il file ''PKCS'' da importare nel browser dell'utente finale:
Anche se questo laptop dovrebbe avere i sensori per le temperature e la ventola, <tt>lm-sensors</tt> non sembra rilevarli.
<pre>
# openssl pkcs12 -export -in private/client1.pem -out pkcs/client1.p12 -name "Certificato Client 1"
Enter pass phrase for private/client1.pem:
Enter Export Password:
Verifying - Enter Export Password:
</pre>


Ovviamente la pass phrase per '''/etc/ssl/private/client1.pem''' &egrave; la stessa di '''/etc/ssl/private/client1.key'''. La ''Export Password'' viene richiesta al momento dell'importazione del file ''PKCS'' nel client browser.
===Note===


===Importazione dei certificati===
Il mio mouse (Logitech Optical USB) è riconosciuto subito; il touchpad va cofigurato in /etc/X11/XF86config-4 .
I certificati da importare nel browser secondo quanto fin qui descritto sono:
Totem dà un messaggio di errore quando si cerca di riprodurre un file audio o video. Dopo la (re)installazione dei pacchetti ALSA funziona. Le altre applicazioni multimediali vanno bene, tranne XMMS che va solo se non sono in esecuzione altri media player.
# '''ca.crt''' - certificato della ''CA'' locale, da importare nella sezione "Autorit&agrave;". Serve per dare "fiducia" al sito web della LAN.
# '''client1.p12''' - certificato dell'utente finale da importare nel browser.


==Revoca di un certificato==
Una buona guida all'installazione a Debian Sarge è qui:
Un certificato pu� essere revocato per vari motivi, tra cui i seguenti:
[http://fabrizio.ciacchi.it/guide.php?pagina=sarge Guida veloce]
* '''unspecified''' motivazione non specificata.
* '''keyCompromise''' la chiave relativa al certificato � stata compromessa (p.e. � giunta nelle mani sbagliate).
* '''superseded''' il certificato � stato rimpiazzato.


Per un elenco esaustivo consultare la pagina del manuale ''openssl CA(1)''.
==Debian Etch==


il seguente comando revoca il certificato certs/client1.crt:
Il comando di boot per installare è questo:
<pre>
<pre>install acpi=yes vga=771</pre>
# openssl ca -config openssl.cnf -revoke certs/client1.crt -crl_reason superseded
Installando da zero la testing ho risolto alcuni problemi, tra cui la gestione energetica e il controllo della batteria.
Enter pass phrase for private/ca.key:
Durante il processo di installazione ho scelto: ambiente desktop, sistema base e portatile.
</pre>
Il rudimentale database '''/etc/ssl/index.txt''' � aggiornato marcando il certificato come revocato. Risultano revocati tutti quei certificati che in '''/etc/ssl/index.txt''' presentano una lettera '''R''' come primo campo.


===Creazione e aggiornamento di una CRL===
Per quanto riguarda il PCMCIA, durante l'installazione di Etch non si hanno blocchi di sistema.
Per conoscere quali certificati sono stati revocati, &egrave; necessario generare una ''CRL'' (''Certificate Revocation List''). Una ''CRL'' &egrave; una lista che dichiara quali certificati sono stati revocati e la motivazione della revoca.
<pre># openssl ca -config openssl.cnf -gencrl -out crl/crl.pem</pre>
Il comando precedente crea una ''CRL'' in base alle informazioni contenute in '''/etc/ssl/index.txt''' e deve essere impartito ogni volta che uno o pi&ugrave; certificati sono revocati.


Dopo aver aggiornato una ''CRL'', &egrave; sempre necessario riavviare ''apache-ssl'' per rendere effettivi i cambiamenti.
----
----


Per la configurazione di ''apache-ssl'' relativa all'uso delle ''CRL'' vedere la sezione [[#Configurazione Web Server|Configurazione Web Server]].
Chiunque volesse contribuire a questa guida è benvenuto (soprattutto e a maggior ragione se ho detto cose '''poco esatte''').


----
----
: [[Utente:Nicsar|Nicsar]] 05:00, 1 Nov 2006 (CST)
 
Autore: [[Utente:Superflieriam|Superflieriam]]
[[Categoria:Laptop]]
127

contributi

Menu di navigazione