Debian e il controllo di servizi e demoni: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
m (→‎Apt System: mancate virgolette (errore su zsh o con impostazione non default di bash))
 
(16 versioni intermedie di 7 utenti non mostrate)
Riga 1: Riga 1:
<big>'''''Introduzione'''''</big>
{{Versioni compatibili}}
== Introduzione ==
Uno dei primi passi da affrontare subito dopo l'installazione della nostra Debian dovrebbe essere quello di accertarsi quali sono i servizi e i demoni che vengono lanciati dal sistema. Questa operazione permette un controllo migliore della sicurezza della nostra macchina ed una minore esposizione a rischi legati ad intrusioni.


In questa pagina troverete la configurazione del kernel 2.6.13 usata sul mio pc desktop, condita con varie considerazioni sparse che possano aiutare a comprendere le varie voci. Alcune parti della configurazioni sono generiche; altre, sebbene specifiche del mio hardware, possono servire da spunto per altri che stiano cercando di configurare il proprio kernel.
In questa breve guida vedremo come controllare i servizi attivi, come eliminare quelli non necessari e come rendere più sicuri quelli che intendiamo utilizzare.


La presente configurazione � orientata ad ottenere la pi� bassa latenza possibile da un kernel vanilla, tipicamente per applicazioni audio realtime. Forse in futuro aggiunger� una sezione riguardo l'applicazioni delle patch realtime al kernel (necessarie per ottenere latenze ancora pi� basse).
Buona lettura & happy Debian!


Il secondo scopo di questa configurazione � quello di ottenere il kernel minimo (compilando meno cose possibili) per ottenere la funzionalit� richiesta. Per questo motivo invito chiunque abbia consigli per ridurre ulteriormente questa configurazione, o che sappia anche solo chiarire certe voci pi� oscure della configurazione, a scrivere qui ampliando e integrando il testo.
== Concetti di base ==
=== Servizi & Demoni ===
In un sistema operativo si definisce "servizio" (o anche "demone") un processo in background che gira autonomamente, senza intervento da parte dell'utente, o comunque con una interazione ridotta al minimo. Un esempio di servizio è il server web Apache: il server viene controllato dal demone "httpd" che gira in background, resta in ascolto sulla porta indicata e serve le pagine richieste.


Attraverso l'indice � possibile accedere direttamente alle varie sezioni della configurazione del kernel. Per cui questa guida pu� essere anche usata come veloce riferimento o confronto.
== Strumenti ==
GNU/Linux fornisce una nutrita schiera di programmi che ci permettono di interagire con i servizi attivi sulla nostra macchina. Di seguito riporto quelli più usati nell'amministrazione di un sistema Debian.


Come ultima cosa aggiungo che con questa configurazione riesco a non avere mai interruzioni nella musica che ascolto anche se st� ricompilando il kernel o installando openoffice (queste prestazioni le raggiungo soltanto usando l'[[Esempio_configurazione_kernel#IO_Schedulers__---.3E|I/O Scheduler]] '''cfq''').
=== netstat ===


Happy Debian!
''Netstat'' è uno dei programmi più utili ed utilizzati: permette di elencare tutta una serie di informazioni utili (socket aperti, routing tables, processi, ecc...). Per il nostro scopo utilizzeremo ''netstat'' per ottenere un elenco di tutte le connessioni di rete aperte sulla nostra macchina. Ottenere queste informazioni è il primo passo per conoscere nel dettaglio cosa succede all'interno del nostro sistema operativo.


{{Warningbox|Ottimizzare un kernel per la bassa latenza implica la diminuzione del throughput complessivo del processore, e quindi una diminuzione delle prestazioni assolute. La bassa latenza si ottiene a scapito delle prestazioni, questa � una limitazione intrinseca dei sistemi realtime (non specifica di linux).  Quindi questa configurazione � sconsigliata per applicazioni server. Per macchine poco potenti (indicativamente sotto il GHz) si consiglia comunque di usare un kernel 2.4 patchato per la bassa latenza, in tal modo � possibile ottenere delle ottime prestazioni realtime anche su pc relativamente vetusti.}}
Ora cerchiamo tutte le connessioni di rete in ascolto (stato <code>LISTEN</code>) sul nostro sistema.


== Descrizione PC ==
<pre># netstat -l |grep tcp
tcp        0      0 *:netbios-ssn          *:*                    LISTEN
tcp        0      0 *:5900                  *:*                    LISTEN
tcp        0      0 *:www                  *:*                    LISTEN
tcp        0      0 *:sieve                *:*                    LISTEN
tcp        0      0 *:ssh                  *:*                    LISTEN
tcp        0      0 localhost.localdom:8118 *:*                    LISTEN
tcp        0      0 *:ipp                  *:*                    LISTEN
tcp        0      0 localhost.localdom:smtp *:*                    LISTEN
tcp        0      0 *:microsoft-ds          *:*                    LISTEN</pre>


Il pc � un desktop abbastanza standard, nessuna periferica scsi, hard disk EIDE ata 100, cdrom e masterizzare EIDE, scheda audio Audigy 1, scheda video ati radeon 7000ve, floppy, porte usb (sono abilitati nella configurazione l'uso di chiavette usb).
Ho scelto di limitare l'output alle sole connessioni in attesa di connessione. Potete anche provare ad utilizzare i comandi <code>'''netstat -a'''</code>, <code>'''netstat -l'''</code>, <code>'''netstat -l |grep tcp'''</code>, ecc.


La connessione avviene tramite scheda di rete ethernet 10/100, quindi non � necessario nessun particolare supporto per modem. Inoltre '''non viene usata l'immagine initrd''' e quindi i relativi supporti (file system, chipset, ecc...) vengono compilati staticamente.
Le colonne da prendere in esame sono (in questo esempio) la terza e la quarta. La terza colonna riporta l'accoppiata indirizzo+porta su cui è in ascolto il servizio.  


Ecco per completezza l'output di lspci:
Se osserviamo la prima linea dell'output, la terza colonna indica come coppia indirizzo+porta il testo <code>'''*:netbios-ssn'''</code>: questo significa che è attivo un servizio in ascolto per qualsiasi (<code>*</code>) indirizzo di rete configurato sulla macchina e che questo servizio è associato alla porta <code>'''netbios-ssn'''</code>.
<pre>
0000:00:00.0 Host bridge: Advanced Micro Devices [AMD] AMD-760 [IGD4-1P] System Controller (rev 13)
0000:00:01.0 PCI bridge: Advanced Micro Devices [AMD] AMD-760 [IGD4-1P] AGP Bridge
0000:00:07.0 ISA bridge: VIA Technologies, Inc. VT82C686 [Apollo Super South] (rev 40)
0000:00:07.1 IDE interface: VIA Technologies, Inc. VT82C586A/B/VT82C686/A/B/VT823x/A/C PIPC Bus Master IDE (rev 06)
0000:00:07.2 USB Controller: VIA Technologies, Inc. VT82xxxxx UHCI USB 1.1 Controller (rev 1a)
0000:00:07.3 USB Controller: VIA Technologies, Inc. VT82xxxxx UHCI USB 1.1 Controller (rev 1a)
0000:00:07.4 SMBus: VIA Technologies, Inc. VT82C686 [Apollo Super ACPI] (rev 40)
0000:00:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
0000:00:0f.0 Multimedia audio controller: Creative Labs SB Audigy (rev 03)
0000:00:0f.1 Input device controller: Creative Labs SB Audigy MIDI/Game port (rev 03)
0000:00:0f.2 FireWire (IEEE 1394): Creative Labs SB Audigy FireWire Port
0000:01:05.0 VGA compatible controller: ATI Technologies Inc Radeon RV100 QY [Radeon 7000/VE]
</pre>


== Code maturity level options  ---> ==
Nelle altre righe possiamo notare che, nella colonna degli indirizzi, oltre al <code>*</code> (che indica ''qualsiasi indirizzo'') compare anche <code>''localhost.localdomain''</code>. ''Netstat'' tenta di risolvere gli indirizzi IP e reperisce questo hostname dal file <code>/etc/hosts</code>, per cui <code>''localhost.localdomain''</code> corrisponde (nel mio esempio) all'indirizzo dell'interfaccia di loopback (127.0.0.1), come possiamo verificare con un semplice:
  ? ?      [*] Prompt for development and/or incomplete code/drivers        ? ?
  ? ?      [*]  Select only drivers expected to compile cleanly            ? ?


== General setup  ---> ==
<pre>$ cat /etc/hosts |grep localhost.localdomain
  ? ?????????????????????????????????????????????????????????????????????????? ?
127.0.0.1 localhost.localdomain localhost debby</pre>
  ? ?  ()  Local version - append to kernel release                        ? ?
  ? ?  [*] Support for paging of anonymous memory (swap)                    ? ?
  ? ?  [*] System V IPC                                                    ? ?
  ? ?  [ ] POSIX Message Queues                                            ? ?
  ? ?  [*] BSD Process Accounting                                          ? ?
  ? ?  [ ]  BSD Process Accounting version 3 file format                  ? ?
  ? ?  [*] Sysctl support                                                  ? ?
  ? ?  [ ] Auditing support                                                ? ?
  ? ?  [*] Support for hot-pluggable devices                                ? ?
  ? ?  [*] Kernel Userspace Events                                          ? ?
  ? ?  [ ] Kernel .config support                                          ? ?
  ? ?  [ ] Configure standard kernel features (for small systems)  --->     ? ?
  ? ?????????????????????????????????????????????????????????????????????????? ?


== Loadable module support  ---> ==
È interessante notare come per alcune porte venga riportato un valore numerico, mentre per altre un valore alfanumerico.
  ? ?            [*] Enable loadable module support                          ? ?
  ? ?            [*]  Module unloading                                      ? ?
  ? ?            [ ]    Forced module unloading                            ? ?
  ? ?            [*]  Module versioning support (EXPERIMENTAL)              ? ?
  ? ?            [ ]  Source checksum for all modules                      ? ?
  ? ?            [*]  Automatic kernel module loading                      ? ?


== Processor type and features  ---> ==
Valore numerico:
Questa sezione � particolarmente importante. Qui si seleziona il tipo di processore, l'mtrr, il tipo di preemption. Notare in particolare le voci:
<pre>tcp        0      0 *:5900                  *:*                    LISTEN</pre>
Valore alfanumerico:
<pre>tcp        0      0 *:netbios-ssn          *:*                    LISTEN</pre>


* Preemption Model (Preemptible Kernel (Low-Latency Desktop))
Questo comportamento di ''netstat'' è presto spiegato: quando il programma rileva un servizio in ascolto su una porta (ad esempio la porta 5900), cerca una corrispondenza con la stessa all'interno del file <code>/etc/services</code>.
* Preempt The Big Kernel Lock


per ottenere bassa latenza e
Il file <code>/etc/services</code> è un file testuale che associa un numero di porta numerico alla descrizione alfanumerica del servizio associato alla stessa.


* Timer frequency (1000 HZ)
Se vogliamo vedere a quale porta corrisponda il dato <code>''netbios-ssn''</code> dell'esempio precedente, è sufficiente cercarlo all'interno del file <code>/etc/services</code>:


per avere un timer pi� preciso.
<pre>$ cat /etc/services |grep netbios-ssn
netbios-ssn    139/tcp                        # NETBIOS session service
netbios-ssn    139/udp</pre>


  ? ?????????????????????????????????????????????????????????????????????????? ?
Nel nostro esempio, dato che la porta era di tipo TCP, il valore cercato è il primo ottenuto.
  ? ?    Subarchitecture Type (PC-compatible)  --->                          ? ?
  ? ?    Processor family (Athlon/Duron/K7)  --->                            ? ?
  ? ?[ ] Generic x86 support                                                ? ?
  ? ?[*] HPET Timer Support                                                  ? ?
  ? ?[ ] Symmetric multi-processing support                                  ? ?
  ? ?    Preemption Model (Preemptible Kernel (Low-Latency Desktop))  --->  ? ?
  ? ?[*] Preempt The Big Kernel Lock                                        ? ?
  ? ?[*] Local APIC support on uniprocessors                                ? ?
  ? ?[*]  IO-APIC support on uniprocessors                                  ? ?
  ? ?[*] Machine Check Exception                                            ? ?
  ? ?<*>  Check for non-fatal errors on AMD Athlon/Duron / Intel Pentium 4  ? ?
  ? ?[ ]  check for P4 thermal throttling interrupt.                       ? ?
  ? ?< > Toshiba Laptop support                                              ? ?
  ? ?< > Dell laptop support                                                ? ?
  ? ?[ ] Enable X86 board specific fixups for reboot                        ? ?
  ? ?< > /dev/cpu/microcode - Intel IA32 CPU microcode support              ? ?
  ? ?<M> /dev/cpu/*/msr - Model-specific register support                    ? ?
  ? ?<M> /dev/cpu/*/cpuid - CPU information support                          ? ?
  ? ?    Firmware Drivers  --->                                              ? ?
  ? ?    High Memory Support (off)  --->                                    ? ?
  ? ?    Memory model (Flat Memory)  --->                                    ? ?
  ? ?[ ] Math emulation                                                      ? ?
  ? ?[*] MTRR (Memory Type Range Register) support                          ? ?
  ? ?[ ] Boot from EFI support (EXPERIMENTAL)                                ? ?
  ? ?[ ] Use register arguments (EXPERIMENTAL)                              ? ?
  ? ?[*] Enable seccomp to safely compute untrusted bytecode                ? ?
  ? ?    Timer frequency (1000 HZ)  --->                                    ? ?
  ? ?[ ] kexec system call (EXPERIMENTAL)                                    ? ?
  ? ?????????????????????????????????????????????????????????????????????????? ?


== Power management options (ACPI, APM)  ---> ==
Agendo sul file <code>/etc/services</code> possiamo quindi assegnare un valore descrittivo alle porte riportate solo con il valore numerico. Ad esempio tornando alla porta 5900, probabilmente vorremo associarla al servizio ad essa associata (vnc).
  ? ?[*] Power Management support                                            ? ?
  ? ?[ ]  Power Management Debug Support                                    ? ?
  ? ?[ ]  Software Suspend                                                  ? ?
  ? ?      ACPI (Advanced Configuration and Power Interface) Support  --->  ? ?
  ? ?      APM (Advanced Power Management) BIOS Support  --->                ? ?
  ? ?    CPU Frequency scaling  --->                                        ? ?
=== ACPI (Advanced Configuration and Power Interface) Support  ---> ===
  ? ?  [*] ACPI Support                                                      ? ?
  ? ?  [ ]  Sleep States (EXPERIMENTAL)                                    ? ?
  ? ?  < >   AC Adapter                                                      ? ?
  ? ?  < >  Battery                                                        ? ?
  ? ?  < >  Button                                                          ? ?
  ? ?  <M>  Video                                                          ? ?
  ? ?  < >  Generic Hotkey                                                  ? ?
  ? ?  <M>  Fan                                                            ? ?
  ? ?  <M>  Processor                                                      ? ?
  ? ?  <M>    Thermal Zone                                                  ? ?
  ? ?  < >  ASUS/Medion Laptop Extras                                      ? ?
  ? ?  < >  IBM ThinkPad Laptop Extras                                      ? ?
  ? ?  < >  Toshiba Laptop Extras                                          ? ?
  ? ?  (0)  Disable ACPI for systems before Jan 1st this year              ? ?
  ? ?  [ ]  Debug Statements                                                ? ?
  ? ?  [ ]  Power Management Timer Support                                  ? ?
  ? ?  < >   ACPI0004,PNP0A05 and PNP0A06 Container Driver (EXPERIMENTAL)   ? ?


Sarà quindi sufficiente editare il file <code>/etc/services</code> ed aggiungere la linea:


== Bus options (PCI, PCMCIA, EISA, MCA, ISA)  ---> ==
<pre>vnc-server      5900/tcp        vnc-server      # TightVNC Server</pre>
Non sono sicuro se la voce "PCI device name database" sia necessaria. Se qualcuno ha informazioni in proposito per favore lo segnali.


  ? ??????????????????????????????????????????????????????????????????????? ?
A questo punto avremo realizzato l'associazione porta/descrizione:
  ? ?        [*] PCI support                                            ? ?
  ? ?              PCI access mode (Any)  --->                          ? ?
  ? ?        [ ]  PCI Express support                                  ? ?
  ? ?        [ ]  Message Signaled Interrupts (MSI and MSI-X)          ? ?
  ? ?        [ ]  Legacy /proc/pci interface                            ? ?
  ? ?        [*]  PCI device name database                              ? ?
  ? ?        [ ]  PCI Debugging                                        ? ?
  ? ?        [ ] ISA support                                            ? ?
  ? ?        [ ] MCA support                                            ? ?
  ? ?        < > NatSemi SCx200 support                                  ? ?
  ? ?            PCCARD (PCMCIA/CardBus) support  ---> (niente)          ? ?
  ? ?            PCI Hotplug Support  --->            (niente)          ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


== Executable file formats  ---> ==
<pre># netstat -l |grep tcp
  ? ??????????????????????????????????????????????????????????????????????? ?
[...]
  ? ?          [*] Kernel support for ELF binaries                        ? ?
tcp        0      0 *:vnc-server           *:*                    LISTEN
  ? ?          <*> Kernel support for a.out and ECOFF binaries           ? ?
[...]</pre>
  ? ?          <M> Kernel support for MISC binaries                      ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


== Networking  ---> ==
Per quanto riguarda la quarta colonna, nell'esempio precedente possiamo vedere che il valore è identico per tutti i servizi e cioè <code>'''*:*'''</code>. Questo significa che il servizio è pronto a ricevere connessioni da qualsiasi indirizzo IP e da qualsiasi porta ad esso associata.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?          [*] Networking support                                    ? ?
  ? ?                Networking options  --->                            ? ?
  ? ?          [ ]  Amateur Radio support  --->                        ? ?
  ? ?          < >  IrDA (infrared) subsystem support  --->            ? ?
  ? ?          < >  Bluetooth subsystem support  --->                  ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
=== Networking options  ---> ===
Sono attivate solo le opzioni minime per navigare. Nessun firewall, o capacit� di routing � attivata. Se qualcuno sa cosa si pu� ancora togliere � ben gradito un consiglio. Con questa configurazione � possibile fare file-sharing e ricevere trasmissioni broadcast tramite internet.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?      <*> Packet socket                                              ? ?
  ? ?      [*]  Packet socket: mmapped IO                                ? ?
  ? ?      <*> Unix domain sockets                                        ? ?
  ? ?      < > PF_KEY sockets                                            ? ?
  ? ?      [*] TCP/IP networking                                          ? ?
  ? ?      [*]  IP: multicasting                                        ? ?
  ? ?      [ ]  IP: advanced router                                      ? ?
  ? ?      [ ]  IP: kernel level autoconfiguration                      ? ?
  ? ?      < >   IP: tunneling                                            ? ?
  ? ?      < >  IP: GRE tunnels over IP                                  ? ?
  ? ?      [ ]  IP: multicast routing                                    ? ?
  ? ?      [ ]  IP: ARP daemon support (EXPERIMENTAL)                    ? ?
  ? ?      [ ]  IP: TCP syncookie support (disabled per default)        ? ?
  ? ?      < >  IP: AH transformation                                    ? ?
  ? ?      < >  IP: ESP transformation                                  ? ?
  ? ?      < >  IP: IPComp transformation                                ? ?
  ? ?      < >  IP: tunnel transformation                                ? ?
  ? ?      < >  IP: TCP socket monitoring interface                      ? ?
  ? ?      [ ]  TCP: advanced congestion control                        ? ?
  ? ?      < >  The IPv6 protocol                                        ? ?
  ? ?      [ ] Network packet filtering (replaces ipchains)  ---> (niente)? ?
  ? ?          SCTP Configuration (EXPERIMENTAL)  --->            (niente)? ?
  ? ?      < > Asynchronous Transfer Mode (ATM) (EXPERIMENTAL)            ? ?
  ? ?      < > 802.1d Ethernet Bridging                                  ? ?
  ? ?      < > 802.1Q VLAN Support                                        ? ?
  ? ?      < > DECnet Support                                            ? ?
  ? ?      < > ANSI/IEEE 802.2 LLC type 2 Support                        ? ?
  ? ?      < > The IPX protocol                                          ? ?
  ? ?      < > Appletalk protocol support                                ? ?
  ? ?      < > CCITT X.25 Packet Layer (EXPERIMENTAL)                    ? ?
  ? ?      < > LAPB Data Link Driver (EXPERIMENTAL)                      ? ?
  ? ?      [ ] Frame Diverter (EXPERIMENTAL)                              ? ?
  ? ?      < > Acorn Econet/AUN protocols (EXPERIMENTAL)                  ? ?
  ? ?      < > WAN router                                                ? ?
  ? ?      [ ] QoS and/or fair queueing  --->  (niente)                  ? ?
  ? ?          Network testing  --->          (niente)                  ? ?
  ? ?                                                                    ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


== Device Drivers  ---> ==
Notiamo a questo punto che alcuni dei servizi avviati sono in ascolto su qualsiasi indirizzo IP configurato sulla nostra macchina (<code>*</code>), mentre alcuni sono legati (si dice anche ''binding'') all'indirizzo <code>''localhost.localdomain''</code> che abbiamo visto prima corrispondere all'indirizzo di loopback (127.0.0.1).
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?              Generic Driver Options  --->                          ? ?
  ? ?              Memory Technology Devices (MTD)  --->     (niente)    ? ?
  ? ?              Parallel port support  --->              (niente)    ? ?
  ? ?              Plug and Play support  --->              (niente)    ? |
  ? ?              Block devices  --->                                  ? ?
  ? ?              ATA/ATAPI/MFM/RLL support  --->                      ? ?
  ? ?              SCSI device support  --->                            ? ?
  ? ?              Multi-device support (RAID and LVM)  ---> (niente)   ? ?
  ? ?              Fusion MPT device support  --->            (niente)   ? ?
  ? ?              IEEE 1394 (FireWire) support  --->         (niente)  ? ?
  ? ?              I2O device support  --->                              ? ?
  ? ?              Network device support  --->                          ? ?
  ? ?              ISDN subsystem  --->                      (niente)  ? ?
  ? ?              Telephony Support  --->                    (niente)  ? ?
  ? ?              Input device support  --->                            ? ?
  ? ?              Character devices  --->                              ? ?
  ? ?              I2C support  --->                                    ? ?
  ? ?              Dallas's 1-wire bus  --->                  (niente)  ? ?
  ? ?              Hardware Monitoring support  --->                    ? ?
  ? ?              Misc devices  --->                        (niente)  ? ?
  ? ?              Multimedia devices  --->                  (niente)  ? ?
  ? ?              Graphics support  --->                                ? ?
  ? ?              Sound  --->                                          ? ?
  ? ?              USB support  --->                                    ? ?
  ? ?              MMC/SD Card support  --->                 (niente)   ? ?
  ? ?              InfiniBand support  --->                  (niente)  ? ?
  ? ?              SN Devices  --->                          (niente)  ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
=== Generic Driver Options  ---> === 
  | ?[*] Select only drivers that don't need compile-time external firmwar? ?
  ? ?[*] Prevent firmware from being built                                ? ?
  ? ?< > Hotplug firmware loading support                                ? ?
  ? ?[ ] Driver Core verbose debug messages                              ? ?


Quando un servizio è in ascolto unicamente sull'interfaccia di loopback significa che sarà raggiungibile unicamente attraverso quell'interfaccia. Questo ci garantisce che l'unico host in grado di contattare il servizio è la stessa macchina che lo ha in esecuzione.


=== Block devices  ---> ===
Nell'esempio di prima, i servizi raggiungibili unicamente dall'interfaccia di loopback sono <code>'''smtp'''</code> e <code>'''8118'''</code>. Come impareremo a verificare più tardi, si tratta rispettivamente del server di posta <code>'''exim'''</code> e del proxy <code>'''privoxy'''</code>.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ? <M> Normal floppy disk support                                      ? ?
  ? ? < > Compaq SMART2 support                                          ? ?
  ? ? < > Compaq Smart Array 5xxx support                                ? ?
  ? ? < > Mylex DAC960/DAC1100 PCI RAID Controller support                ? ?
  ? ? < > Micro Memory MM5415 Battery Backed RAM support (EXPERIMENTAL)  ? ?
  ? ? <M> Loopback device support                                        ? ?
  ? ? < >   Cryptoloop Support                                            ? ?
  ? ? < > Network block device support                                    ? ?
  ? ? < > Promise SATA SX8 support                                        ? ?
  ? ? < > Low Performance USB Block driver                                ? ?
  ? ? < > RAM disk support                                                ? ?
  ? ? ()  Initramfs source file(s)                                        ? ?
  ? ? [ ] Support for Large Block Devices                                ? ?
  ? ? < > Packet writing on CD/DVD media                                  ? ?
  ? ?    IO Schedulers  --->                                             ? ?
  ? ? < > ATA over Ethernet support                                      ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
==== IO Schedulers  ---> ====
Questi sono gli scheduer per l'I/O. Non � chiaro quale sia il migliore in assoluto per la bassa latenza, io li compilo tutti e tre. Di default viene scelto "Anticipatory" ma pu� essere cambiato (ad esempio se vogliamo impostare il cfq) in tempo reale con:


# echo cfq | /sys/block/hda/queue/scheduer
=== lsof ===


oppure usando il parametro di boot del kernel elevator, es:
Se con '''netstat''' siamo in grado di monitorare quali servizi sono in ascolto sulla nostra macchina, è anche indispensabile sapere quale programma abbia lanciato e controlli ogni singolo servizio.


elevator=cfq
Una caratteristica peculiare dei sistemi operativi derivati da Unix (tra i quali appunto GNU/Linux) è che qualsiasi elemento del sistema viene visto come se fosse un file. Abbiamo file veri e propri (ad es.: <code>pippo.txt</code>), abbiamo dispositivi hardware (si trovano in <code>/dev</code> e sono rappresentati da file veri e propri) ed abbiamo le connessioni di rete (anche queste sono veri e propri file).


I valori possibili si ottengono con un cat di <tt>/sys/block/hda/queue/scheduer</tt>
Approfittando di questa caratteristica di GNU/Linux, possiamo investigare in maniera approfondita sui nostri servizi: se per il sistema operativo si tratta di file allora possiamo sapere chi li ha creati e chi li ha aperti.
(lo schduler in uso � indicato tra parentesi quadre).


Ecco la configurazione:
Lo strumento principe per questo scopo è '''lsof'''. Come per la maggior parte dei comandi GNU, ''lsof'' è una abbreviazione della descrizione del comando: lsof = '''LS O'''pen '''F'''iles, cioè '''L'''i'''S'''t '''O'''pen '''F'''iles (elenca i file aperti).
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?                  <*> Anticipatory I/O scheduler                    ? ?
  ? ?                  <*> Deadline I/O scheduler                        ? ?
  ? ?                  <*> CFQ I/O scheduler                              ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


=== ATA/ATAPI/MFM/RLL support  ---> ===
Dato che le connessioni di rete sono rappresentate da veri e propri file, possiamo usare ''lsof'' per ottenere informazioni su di esse.


Qui al posto di "VIA82CXXX chipset support" (alla fine) selezionate il supporto per il chipset del vostro hardware. Per il resto la configurazione � abbastanza generica.
Poniamo il caso di voler ottenere informazioni sul servizio:


  ? ??????????????????????????????????????????????????????????????????????? ?
<pre>tcp        0      0 *:netbios-ssn          *:*                     LISTEN</pre>
  ? ?<*> ATA/ATAPI/MFM/RLL support                                        ? ?
  ? ?<*>  Enhanced IDE/MFM/RLL disk/cdrom/tape/floppy support            ? ?
  ? ?---    Please see Documentation/ide.txt for help/info on IDE drives ? ?
  ? ?[ ]    Support for SATA (deprecated; conflicts with libata SATA driv? ?
  ? ?[ ]    Use old disk-only driver on primary interface                ? ?
  ? ?<*>    Include IDE/ATA-2 DISK support                              ? ?
  ? ?[ ]    Use multi-mode by default                                    ? ?
  ? ?<M>    Include IDE/ATAPI CDROM support                              ? ?
  ? ?< >    Include IDE/ATAPI TAPE support (EXPERIMENTAL)                ? ?
  ? ?< >    Include IDE/ATAPI FLOPPY support                            ? ?
  ? ?< >    SCSI emulation support                                      ? ?
  ? ?[ ]    IDE Taskfile Access                                          ? ?
  ? ?---    IDE chipset support/bugfixes                                ? ?
  ? ?<*>    generic/default IDE chipset support                          ? ?
  ? ?[ ]    CMD640 chipset bugfix/support                                ? ?
  ? ?[*]    PCI IDE chipset support                                      ? ?
  ? ?[ ]      Sharing PCI IDE interrupts support                        ? ?
  ? ?[ ]      Boot off-board chipsets first support                      ? ?
  ? ?< >      Generic PCI IDE Chipset Support                            ? ?
  ? ?< >      OPTi 82C621 chipset enhanced support (EXPERIMENTAL)        ? ?
  ? ?< >      RZ1000 chipset bugfix/support                              ? ?
  ? ?[*]      Generic PCI bus-master DMA support                        ? ?
  ? ?[ ]        Force enable legacy 2.0.X HOSTS to use DMA              ? ?
  ? ?[*]        Use PCI DMA by default when available                    ? ?
  ? ?[ ]          Enable DMA only for disks                              ? ?
  ? ?< >        AEC62XX chipset support                                  ? ?
  ? ?< >        ALI M15x3 chipset support                                ? ?
  ? ?< >        AMD and nVidia IDE support                              ? ?
  ? ?< >        ATI IXP chipset IDE support                              ? ?
  ? ?< >        CMD64{3|6|8|9} chipset support                          ? ?
  ? ?< >        Compaq Triflex IDE support                              ? ?
  ? ?< >        CY82C693 chipset support                                ? ?
  ? ?< >        Cyrix CS5510/20 MediaGX chipset support (VERY EXPERIMENTA? ?
  ? ?< >        Cyrix/National Semiconductor CS5530 MediaGX chipset suppo? ?
  ? ?< >        HPT34X chipset support                                  ? ?
  ? ?< >        HPT36X/37X chipset support                              ? ?
  ? ?< >        National SCx200 chipset support                          ? ?
  ? ?< >        Intel PIIXn chipsets support                            ? ?
  ? ?< >        IT821X IDE support                                      ? ?
  ? ?< >        NS87415 chipset support                                  ? ?
  ? ?< >        PROMISE PDC202{46|62|65|67} support                      ? ?
  ? ?< >        PROMISE PDC202{68|69|70|71|75|76|77} support            ? ?
  ? ?< >        ServerWorks OSB4/CSB5/CSB6 chipsets support              ? ?
  ? ?< >        Silicon Image chipset support                            ? ?
  ? ?< >        SiS5513 chipset support                                  ? ?
  ? ?< >        SLC90E66 chipset support                                ? ?
  ? ?< >        Tekram TRM290 chipset support                            ? ?
  ? ?<*>         VIA82CXXX chipset support                                ? ?
  ? ?[ ]    IGNORE word93 Validation BITS                                ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


=== SCSI device support  ---> ===
Sarà sufficiente utilizzare ''lsof'':
Queste voci sono necessarie per avere l'emulazione scsi ed usare le chiavette usb.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?  <M> SCSI device support                                            ? ?
  ? ?  [*]  legacy /proc/scsi/ support                                  ? ?
  ? ?  ---  SCSI support type (disk, tape, CD-ROM)                      ? ?
  ? ?  <M>  SCSI disk support                                            ? ?
  ? ?  < >  SCSI tape support                                            ? ?
  ? ?  < >  SCSI OnStream SC-x0 tape support                            ? ?
  ? ?  < >  SCSI CDROM support                                          ? ?
  ? ?  <M>  SCSI generic support                                        ? ?
  ? ?  < >  SCSI media changer support                                  ? ?
  ? ?  ---  Some SCSI devices (e.g. CD jukebox) support multiple LUNs    ? ?
  ? ?  [ ]  Probe all LUNs on each SCSI device                          ? ?
  ? ?  [ ]  Verbose SCSI error reporting (kernel size +=12K)            ? ?
  ? ?  [ ]  SCSI logging facility                                        ? ?
  ? ?        SCSI Transport Attributes  --->              (nessuno)      ? ?
  ? ?        SCSI low-level drivers  --->                  (nessuno)      ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


<pre># lsof -i |grep netbios-ssn
smbd      4089        root  21u  IPv4  8082      TCP *:netbios-ssn (LISTEN)</pre>


=== I2O device support  ---> ===
In questo modo possiamo vedere che il servizio in ascolto sulla porta associata a <code>'''netbios-ssn'''</code> (la porta 139) è controllato dal programma <code>'''smbd'''</code>.
Queste voci servono per attivare i sensori (temperatura, ventola, ecc...).


  ? ?                  <M> I2O support                                    ? ?
Allo stesso modo possiamo fare con <code>'''www'''</code> e <code>'''smtp'''</code>, ecc...
  ? ?                  [ ]  Enable Adaptec extensions                    ? ?
  ? ?                  < >   I2O Configuration support                    ? ?
  ? ?                  < >   I2O Bus Adapter OSM                          ? ?
  ? ?                  < >  I2O Block OSM                                ? ?
  ? ?                  < >   I2O SCSI OSM                                ? ?
  ? ?                  <M>  I2O /proc support                            ? ?


=== Network device support  ---> ===
<pre># lsof -i |grep www
Tutto deselezionato tranne:
apache    4342        root   16u IPv4   8423      TCP *:www (LISTEN)
   Ethernet (10 or 100Mbit) --->
apache    4349    www-data   16u  IPv4   8423      TCP *:www (LISTEN)
  ? ??????????????????????????????????????????????????????????????????????? ?
   ? ?[*] Ethernet (10 or 100Mbit)                                         ? ?
   ? ?<M>   Generic Media Independent Interface device support            ? ?
  ? ?[*] EISA, VLB, PCI and on board controllers                          ? ?
  ? ?<M> RealTek RTL-8129/8130/8139 PCI Fast Ethernet Adapter support    ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


# lsof -i |grep smtp
exim4    3901 Debian-exim    3u  IPv4  7625      TCP localhost.localdomain:smtp (LISTEN)</pre>


=== Input device support  ---> ===
=== Apt System ===
Tutto delesezionato tranne:
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?    --- Generic input layer (needed for keyboard, mouse, ...)      ? ?
  ? ?    ---  Userland interfaces                                      ? ?
  ? ?    ---  Mouse interface                                          ? ?
  ? ?    [*]    Provide legacy /dev/psaux device                        ? ?
  ? ?    (1024)  Horizontal screen resolution                            ? ?
  ? ?    (768)  Vertical screen resolution                              ? ?
  ? ?    [*]  Mouse  --->                                              ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


==== Mouse  ---> ====
Ora che sappiamo quale programma controlla un determinato servizio, abbiamo la possibilità di risalire a quale pacchetto Debian lo contiene per - eventualmente - rimuoverlo, oppure ottenere versioni più aggiornate, ricompilarlo con patch specifiche, ecc.
Supporto per mouse ps2:
  <*>  PS/2 mouse


=== Character devices  ---> ===
Il sistema più semplice ed allo stesso più potente per individuare quale pacchetto Debian contiene un file, consiste nell'utilizzare il programma '''apt-file'''. Per l' installazione e l' utilizzo di ''apt-file'', vi rimando all'ottima guida [[Apt-file: ricerca all'interno dei pacchetti]], scritta da MaXeR.
Attenzione questa sezione � particolarmente delicata. Le due voci da adattare al vostro hardware sono:
* AMD Irongate, 761, and 762 chipset support
* ATI Radeon
Per il resto la configurazione dovrebbe essere abbastanza generica.  


Come curiosit�, notare l'ultima voce tramite la quale � possibile aggiungere il supporto per il cos� detto '''[http://www.gnu.org/philosophy/can-you-trust.html "hardware inaffidabile"]''', qui chiamato '''TPM''' (Trusted Platform Module).
Nel contesto a noi necessario, utilizzeremo la funzione di ricerca di ''apt-file'' per risalire a quale pacchetto contiene il programma che lancia un particolare demone.


  ? ??????????????????????????????????????????????????????????????????????? ?
Continuiamo ad utilizzare come esempio il servizio in ascolto sulla porta <code>'''netbios-ssn'''</code>. Per adesso siamo riusciti a risalire al fatto che il servizio <code>''netbios-ssn''</code> corrisponde alla porta 139 e che è controllato da <code>'''smbd'''</code>.
  ? ?[ ] Non-standard serial port support                                ? ?
  ? ?    Serial drivers  --->                                            ? ?
  ? ?[*] Legacy (BSD) PTY support                                        ? ?
  ? ?(256) Maximum number of legacy PTY in use                            ? ?
  ? ?    IPMI  --->                                                      ? ?
  ? ?    Watchdog Cards  --->                                            ? ?
  ? ?<M> Intel/AMD/VIA HW Random Number Generator support                ? ?
  ? ?< > /dev/nvram support                                              ? ?
  ? ?<M> Enhanced Real Time Clock Support                                ? ?
  ? ?<M> Generic /dev/rtc emulation                                      ? ?
  ? ?[*]  Extended RTC operation                                        ? ?
  ? ?< > Double Talk PC internal speech card support                      ? ?
  ? ?< > Siemens R3964 line discipline                                    ? ?
  ? ?< > Applicom intelligent fieldbus card support                      ? ?
  ? ?< > Sony Vaio Programmable I/O Control Device support (EXPERIMENTAL) ? ?
  ? ?    Ftape, the floppy tape device driver  --->                      ? ?
  ? ?<M> /dev/agpgart (AGP Support)                                      ? ?
  ? ?< >   ALI chipset support                                            ? ?
  ? ?< >   ATI chipset support                                            ? ?
  ? ?<M>  AMD Irongate, 761, and 762 chipset support                    ? ?
  ? ?< >  AMD Opteron/Athlon64 on-CPU GART support                      ? ?
  ? ?< >  Intel 440LX/BX/GX, I8xx and E7x05 chipset support              ? ?
  ? ?< >   NVIDIA nForce/nForce2 chipset support                          ? ?
  ? ?< >   SiS chipset support                                            ? ?
  ? ?< >  Serverworks LE/HE chipset support                              ? ?
  ? ?< >   VIA chipset support                                            ? ?
  ? ?< >  Transmeta Efficeon support                                    ? ?
  ? ?<M> Direct Rendering Manager (XFree86 4.1.0 and higher DRI support)  ? ?
  ? ?< >  3dfx Banshee/Voodoo3+                                          ? ?
  ? ?< >  ATI Rage 128                                                  ? ?
  ? ?<M>  ATI Radeon                                                    ? ?
  ? ?< >  Matrox g200/g400                                              ? ?
  ? ?< >  SiS video cards                                                ? ?
  ? ?< >  Via unichrome video cards                                      ? ?
  ? ?< > ACP Modem (Mwave) support                                        ? ?
  ? ?< > RAW driver (/dev/raw/rawN) (OBSOLETE)                            ? ?
  ? ?[ ] HPET - High Precision Event Timer                                ? ?
  ? ?< > Hangcheck timer                                                  ? ?
  ? ?    TPM devices  --->                                                ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?


=== I2C support  ---> ===
Ora vedremo cosa sia <code>'''smbd'''</code>. Prima di tutto verifichiamo quale script o programma si preoccupa di lanciare smbd
Selezionati solo:
  <*>   I2C device interface


e le sottovoci degli algoritmi
<pre># lsof |grep smbd |grep txt
smbd      4089        root  txt      REG        3,3  2805852      34840 /usr/sbin/smbd
smbd      4094        root  txt      REG        3,3  2805852      34840 /usr/sbin/smbd</pre>


  I2C Algorithms  --->
  <M> I2C PCF 8584 interfaces
  <M> I2C PCA 9564 interfaces


e del chip che governa i sensori (questo � da adattare al proprio hardware):
Ora vediamo quale pacchetto contiene <code>/usr/sbin/smbd</code>:


  <*> VIA 82C586B
<pre># apt-file search /usr/sbin/smbd
samba: usr/sbin/smbd
samba-dbg: usr/lib/debug/usr/sbin/smbd</pre>


=== Hardware Monitoring support  ---> ===
Controlliamo quale di essi sia presente nel nostro sistema:
Solo le voci (da adattare al proprio hardware):
  <M> Hardware Monitoring support
  <M>  VIA686A


=== Graphics support  ---> ===
<pre># dpkg -l "samba*"
Qui si configura il supporto per il frame buffer. In genere � consigliabile usare il driver generico vesa:
Desiderato=sconosciUto/Installato/Rimosso/P:eliminato/H:bloccato
| Stato=Non/Installato/file Config./U:spacchett./conf. Fallita/H:inst.parzial.
|/ Err?=(nessuno)/H:bloc./necess.Reinst./X=entrambi (Stato,Err: maiusc.=grave)
||/ Nome          Versione      Descrizione
+++-==============-==============-============================================
ii  samba          3.0.14a-6      a LanManager-like file and printer server fo
un  samba-client  <non definita> (descrizione non disponibile)
ii  samba-common  3.0.14a-6      Samba common files used by both the server a
un  samba-doc      <non definita> (descrizione non disponibile)</pre>


* VESA VGA graphics support
{{Autori
|Autore = [[Utente:Keltik|Keltik]] 05:26, Giu 23, 2005 (EDT)
}}


tuttavia nel mio caso uso il modulo radeon che mi permette di avere un frame buffer accelerato, con una risoluzione di 1280x1024 e un'alta frequenza di refresh (~ 74 Hz). Nella mia esperienza il modulo vesa ha la precedenza sul radeon, quindi per usare quest'ultimo bisogna disabilitare il vesa.
[[Categoria:Ottimizzazione del sistema]]
 
[[Categoria:Apt]]
  ? ??????????????????????????????????????????????????????????????????????? ?
[[Categoria:Monitoraggio]]
  ? ?  <*> Support for frame buffer devices                              ? ?
  ? ?  ---  Enable Video Mode Handling Helpers                          ? ?
  ? ?  [ ]  Enable Tile Blitting Support                                ? ?
  ? ?  < >  Cirrus Logic support                                        ? ?
  ? ?  < >  Permedia2 support                                          ? ?
  ? ?  < >  CyberPro 2000/2010/5000 support                            ? ?
  ? ?  < >  Arc Monochrome LCD board support                            ? ?
  ? ?  [ ]  Chips 69000 display support                                ? ?
  ? ?  [ ]  IMS Twin Turbo display support                              ? ?
  ? ?  < >  VGA 16-color graphics support                              ? ?
  ? ?  [ ]  VESA VGA graphics support                                  ? ?
  ? ?  < >  Hercules mono graphics support                              ? ?
  ? ?  < >  nVidia Framebuffer Support                                  ? ?
  ? ?  < >  nVidia Riva support                                        ? ?
  ? ?  < >  Intel 810/815 support (EXPERIMENTAL)                        ? ?
  ? ?  < >  Intel 830M/845G/852GM/855GM/865G support (EXPERIMENTAL)    ? ?
  ? ?  < >  Matrox acceleration                                        ? ?
  ? ?  < >  ATI Radeon display support (Old driver)                    ? ?
  ? ?  <*>  ATI Radeon display support                                  ? ?
  ? ?  [*]    DDC/I2C for ATI Radeon support                            ? ?
  ? ?  [ ]    Lots of debug output from Radeon driver                  ? ?
  ? ?  < >  ATI Rage128 display support                                ? ?
  ? ?  < >  ATI Mach64 display support                                  ? ?
  ? ?  < >  S3 Savage support                                          ? ?
  ? ?  < >  SiS acceleration                                            ? ?
  ? ?  < >  NeoMagic display support                                    ? ?
  ? ?  < >  IMG Kyro support                                            ? ?
  ? ?  < >  3Dfx Banshee/Voodoo3 display support                        ? ?
  ? ?  < >  3Dfx Voodoo Graphics (sst1) support                        ? ?
  ? ?  < >  Trident support                                            ? ?
  ? ?  [ ]  AMD Geode family framebuffer support (EXPERIMENTAL)        ? ?
  ? ?  < > Epson S1D13XXX framebuffer support                            ? ?
  ? ?  < > Virtual Frame Buffer support (ONLY FOR TESTING!)              ? ?
  ? ?      Console display driver support  --->                          ? ?
  ? ?      Logo configuration  --->                                      ? ?
  ? ?  [ ] Backlight & LCD device support  --->                          ? ?
  ? ?                                                                    ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
==== Console display driver support  ---> ====
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?                --- VGA text console                                ? ?
  ? ?                [*]  Video mode selection support                  ? ?
  ? ?                <*> Framebuffer Console support                      ? ?
  ? ?                [ ] Select compiled-in fonts                        ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
=== Sound  ---> ===
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?            <*> Sound card support                                  ? ?
  ? ?                Advanced Linux Sound Architecture  --->              ? ?
  ? ?                Open Sound System  --->                    (niente) ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
==== Advanced Linux Sound Architecture ====
Supporti generici ed emulazione oss:
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?              <*> Advanced Linux Sound Architecture                ? ?
  ? ?              <*>  Sequencer support                              ? ?
  ? ?              <M>    Sequencer dummy client                        ? ?
  ? ?              <M>  OSS Mixer API                                  ? ?
  ? ?              <M>  OSS PCM (digital audio) API                    ? ?
  ? ?              [*]  OSS Sequencer API                              ? ?
  ? ?              <M>  RTC Timer support                              ? ?
  ? ?              [ ]  Verbose printk                                  ? ?
  ? ?              [ ]  Debug                                          ? ?
  ? ?                    Generic devices  --->                          ? ?
  ? ?                    PCI devices  --->                              ? ?
  ? ?                    USB devices  --->                              ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
===== Generic devices  ---> =====
Qui seleziono solo il virtualmidi che talvolta pu� tornare utile:
  <M> Virtual MIDI soundcard 
 
===== PCI devices  ---> =====
Scegliere il driver delle propria scheda audio PCI, nel mio caso:
  <M> Emu10k1 (SB Live!, Audigy, E-mu APS)
 
===== USB devices  ---> =====
Da selezionare solo se si possiedono periferiche audio usb, io non ne possiedo e non seleziono niente.
 
=== USB support  ---> ===
In questa sezione si attiva il supporto per l'usb. Se avete porte usb1 dovrete scegliere tra:
 
* OHCI HCD support
* UHCI HCD (most Intel and VIA) support
 
a seconda del vostro controller usb. Se invece avete un controller usb2 dovrete scegliere:
 
* EHCI HCD (USB 2.0) support
 
Non metto il supporto HID non possedendo nessuna periferica che lo richiede. Inoltre la mia connessione � tramite scheda di rete, quindi non seleziono nessuna voce relativa a periferiche di networking usb.
 
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?<M> Support for Host-side USB                                        ? ?
  ? ?[ ]  USB verbose debug messages                                    ? ?
  ? ?---  Miscellaneous USB options                                      ? ?
  ? ?[*]  USB device filesystem                                          ? ?
  ? ?[*]  Enforce USB bandwidth allocation (EXPERIMENTAL)                ? ?
  ? ?[ ]  Dynamic USB minor allocation (EXPERIMENTAL)                    ? ?
  ? ?[ ]  USB suspend/resume (EXPERIMENTAL)                              ? ?
  ? ?---  USB Host Controller Drivers                                    ? ?
  ? ?< >  EHCI HCD (USB 2.0) support                                    ? ?
  ? ?< >  ISP116X HCD support                                            ? ?
  ? ?< >  OHCI HCD support                                              ? ?
  ? ?<M>  UHCI HCD (most Intel and VIA) support                          ? ?
  ? ?< >  SL811HS HCD support                                            ? ?
  ? ?---  USB Device Class drivers                                      ? ?
  ? ?< >  USB Audio support                                              ? ?
  ? ?< >  USB Bluetooth TTY support                                      ? ?
  ? ?< >  USB MIDI support                                              ? ?
  ? ?< >  USB Modem (CDC ACM) support                                    ? ?
  ? ?<M>  USB Printer support                                            ? ?
  ? ?---  NOTE: USB_STORAGE enables SCSI, and 'SCSI disk support' may als? ?
  ? ?<M>  USB Mass Storage support                                      ? ?
  ? ?[ ]    USB Mass Storage verbose debug                              ? ?
  ? ?[ ]    Datafab Compact Flash Reader support (EXPERIMENTAL)          ? ?
  ? ?[ ]    Freecom USB/ATAPI Bridge support                            ? ?
  ? ?[ ]    ISD-200 USB/ATA Bridge support                              ? ?
  ? ?[ ]    Microtech/ZiO! CompactFlash/SmartMedia support              ? ?
  ? ?[ ]    USBAT/USBAT02-based storage support (EXPERIMENTAL)          ? ?
  ? ?[ ]    SanDisk SDDR-09 (and other SmartMedia) support (EXPERIMENTAL)? ?
  ? ?[ ]    SanDisk SDDR-55 SmartMedia support (EXPERIMENTAL)            ? ?
  ? ?[ ]    Lexar Jumpshot Compact Flash Reader (EXPERIMENTAL)          ? ?
  ? ?---  USB Input Devices                                              ? ?
  ? ?< >  USB Human Interface Device (full HID) support                  ? ?
  ? ?        USB HID Boot Protocol drivers  --->          (nessuno)      ? ?
  ? ?< >  Aiptek 6000U/8000U tablet support                              ? ?
  ? ?< >  Wacom Intuos/Graphire tablet support                          ? ?
  ? ?< >  Acecad Flair tablet support                                    ? ?
  ? ?< >  KB Gear JamStudio tablet support                              ? ?
  ? ?< >  Griffin PowerMate and Contour Jog support                      ? ?
  ? ?< >  MicroTouch USB Touchscreen Driver                              ? ?
  ? ?< >  ITM Touch USB Touchscreen Driver                              ? ?
  ? ?< >  eGalax TouchKit USB Touchscreen Driver                        ? ?
  ? ?< >  X-Box gamepad support                                          ? ?
  ? ?< >  ATI / X10 USB RF remote control                                ? ?
  ? ?< >  Keyspan DMR USB remote control (EXPERIMENTAL)                  ? ?
  ? ?---  USB Imaging devices                                            ? ?
  ? ?< >  USB Mustek MDC800 Digital Camera support (EXPERIMENTAL)        ? ?
  ? ?< >  Microtek X6USB scanner support                                ? ?
  ? ?---  USB Multimedia devices                                        ? ?
  ? ?< >  DABUSB driver                                                  ? ?
  ? ?---  Video4Linux support is needed for USB Multimedia device support? ?
  ? ?      USB Network Adapters  --->                    (nessuno)      ? ?
  ? ?[ ]  USB Monitor                                                    ? ?
  ? ?---  USB port drivers                                              ? ?
  ? ?      USB Serial Converter support  --->            (nessuno)      ? ?
  ? ?---  USB Miscellaneous drivers                                      ? ?
  ? ?< >  EMI 6|2m USB Audio interface support                          ? ?
  ? ?< >  EMI 2|6 USB Audio interface support                            ? ?
  ? ?< >  USB Auerswald ISDN support (EXPERIMENTAL)                      ? ?
  ? ?< >  USB Diamond Rio500 support (EXPERIMENTAL)                      ? ?
  ? ?< >  USB Lego Infrared Tower support (EXPERIMENTAL)                ? ?
  ? ?< >  USB LCD driver support                                        ? ?
  ? ?< >  USB LED driver support                                        ? ?
  ? ?< >  Cypress USB thermometer driver support                        ? ?
  ? ?< >  USB PhidgetKit support                                        ? ?
  ? ?< >  USB PhidgetServo support                                      ? ?
  ? ?< >  Siemens ID USB Mouse Fingerprint sensor support                ? ?
  ? ?< >  USB LD driver                                                  ? ?
  ? ?< >  USB testing driver (DEVELOPMENT)                              ? ?
  ? ?      USB DSL modem support  --->                        (nessuno)  ? ?
  ? ?    USB Gadget Support  --->                            (nessuno)  ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
== File systems  ---> ==
Qui sceglieremo i filesystem che il nostro sistema dovr� supportare. Notare la presenza del nuovo inotify, usato ad esempio da beagle.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?    <*> Second extended fs support                                  ? ?
  ? ?    [ ]   Ext2 extended attributes                                  ? ?
  ? ?    [ ]   Ext2 execute in place support                              ? ?
  ? ?    <*> Ext3 journalling file system support                        ? ?
  ? ?    [*]  Ext3 extended attributes                                  ? ?
  ? ?    [ ]    Ext3 POSIX Access Control Lists                          ? ?
  ? ?    [ ]    Ext3 Security Labels                                    ? ?
  ? ?    [ ] JBD (ext3) debugging support                                ? ?
  ? ?    <*> Reiserfs support                                            ? ?
  ? ?    [ ]  Enable reiserfs debug mode                                ? ?
  ? ?    [ ]  Stats in /proc/fs/reiserfs                                ? ?
  ? ?    [ ]  ReiserFS extended attributes                              ? ?
  ? ?    < > JFS filesystem support                                      ? ?
  ? ?        XFS support  --->                                            ? ?
  ? ?    < > Minix fs support                                            ? ?
  ? ?    < > ROM file system support                                      ? ?
  ? ?    [*] Inotify file change notification support                    ? ?
  ? ?    [ ] Quota support                                                ? ?
  ? ?    < > Kernel automounter support                                  ? ?
  ? ?    <M> Kernel automounter version 4 support (also supports v3)      ? ?
  ? ?        CD-ROM/DVD Filesystems  --->                                ? ?
  ? ?        DOS/FAT/NT Filesystems  --->                                ? ?
  ? ?        Pseudo filesystems  --->                                    ? ?
  ? ?        Miscellaneous filesystems  --->  (niente)                  ? ?
  ? ?        Network File Systems  --->                                  ? ?
  ? ?        Partition Types  --->            (niente)                  ? ?
  ? ?        Native Language Support  --->                                ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
Ecco ora le sottovoci non vuote:
 
=== CD-ROM/DVD Filesystems  ---> ===
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?            <M> ISO 9660 CDROM file system support                  ? ?
  ? ?            [*]  Microsoft Joliet CDROM extensions                ? ?
  ? ?            [*]  Transparent decompression extension              ? ?
  ? ?            < > UDF file system support                            ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
=== DOS/FAT/NT Filesystems  ---> ===
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?              <M> MSDOS fs support                                  ? ?
  ? ?              <M> VFAT (Windows-95) fs support                      ? ?
  ? ?              (850) Default codepage for FAT                        ? ?
  ? ?              (iso8859-1) Default iocharset for FAT                ? ?
  ? ?              <M> NTFS file system support                          ? ?
  ? ?              [*]  NTFS debugging support                          ? ?
  ? ?              [*]  NTFS write support                              ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
=== Pseudo filesystems  ---> ===
Molto importante questa sezione. Il server audio a bassa latenza '''jack''' necessita della voce
* Virtual memory file system support
per poter funzionare correttamente.
 
 
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?      [*] /proc file system support                                  ? ?
  ? ?      [*]   /proc/kcore support                                      ? ?
  ? ?      [ ] /dev/pts Extended Attributes                              ? ?
  ? ?      [*] Virtual memory file system support (former shm fs)        ? ?
  ? ?      [ ]  tmpfs Extended Attributes                                ? ?
  ? ?      [ ] HugeTLB file system support                                ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
=== Network File Systems  ---> ===
Attivo il supporto per il NFS (Network File System), bastano le voci:
  <M> NFS file system support
  <M> NFS server support
 
=== Native Language Support  ---> ===
Non sono sicuro che questa sia la configurazione ottimale, la riporto solo per completezza. Sono elencate le sole voci selezionate:
  ? ???????????????????????????????????????????????????????????????????????????? ?
  ? ? <*> Base native language support                                        ? ?
  ? ? (UTF8) Default NLS Option                                                ? ?
  ? ? <M>  Codepage 850 (Europe)                                              ? ?
  ? ? <M>  Codepage 852 (Central/Eastern Europe)                              ? ?
  ? ? <M>  NLS ISO 8859-1  (Latin 1; Western European Languages)              ? ?
  ? ? <M>  NLS ISO 8859-2  (Latin 2; Slavic/Central European Languages)      ? ?
  ? ? <M>  NLS ISO 8859-15 (Latin 9; Western European Languages with Euro)    ? ?
  ? ? <M>  NLS UTF8                                                          ? ?
  ? ???????????????????????????????????????????????????????????????????????????? ?
 
== Profiling support  ---> ==
Niente, non siamo sviluppatori del kernel (almeno io :-P).
 
== Kernel hacking  ---> ==
Con queste opzioni si attivano i tasti magici che permettono di uscire da configurazione di stallo del sistema. Molto utile se si provano molti sofware audio (e non solo) sperimentali che rischiano di destabilizzare il sistema.
Per maggiori informazioni vedere la documentazione del kernel.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?      [ ] Show timing information on printks                        ? ?
  ? ?      [*] Kernel debugging                                          ? ?
  ? ?      [*]  Magic SysRq key                                          ? ?
  ? ?      (14)  Kernel log buffer size (16 => 64KB, 17 => 128KB)        ? ?
  ? ?      [ ]  Collect scheduler statistics                            ? ?
  ? ?      [ ]  Debug memory allocations                                ? ?
  ? ?      [ ]  Debug preemptible kernel                                ? ?
  ? ?      [ ]  Spinlock debugging                                      ? ?
  ? ?      [ ]  Sleep-inside-spinlock checking                          ? ?
  ? ?      [ ]  kobject debugging                                        ? ?
  ? ?      [ ]  Compile the kernel with debug info                      ? ?
  ? ?      [ ]  Debug Filesystem                                        ? ?
  ? ?      [ ]  Compile the kernel with frame pointers                  ? ?
  ? ?      [*]  Check for stack overflows                                ? ?
  ? ?      [ ]  Kprobes                                                  ? ?
  ? ?      [ ]  Stack utilization instrumentation                        ? ?
  ? ?      [ ]  Page alloc debugging                                    ? ?
  ? ?      [ ]  Use 4Kb for kernel stacks instead of 8Kb                ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
 
== Security options  ---> ==
Queste voci sono necessarie per poter compilare successivamente il modulo realtime-lsm che permette di eseguire applicazioni in realtime anche ad utenti non-root.
  ? ??????????????????????????????????????????????????????????????????????? ?
  ? ?          [ ] Enable access key retention support                    ? ?
  ? ?          [*] Enable different security models                      ? ?
  ? ?          [ ]  Socket and Networking Security Hooks                ? ?
  ? ?          <M>  Default Linux Capabilities                          ? ?
  ? ?          < >  Root Plug Support                                    ? ?
  ? ?          < >  BSD Secure Levels                                    ? ?
  ? ?          [*]  NSA SELinux Support                                  ? ?
  ? ?          [ ]    NSA SELinux boot parameter                        ? ?
  ? ?          [ ]     NSA SELinux runtime disable                        ? ?
  ? ?          [*]    NSA SELinux Development Support                    ? ?
  ? ?          [ ]     NSA SELinux AVC Statistics                        ? ?
  ? ?          (1)    NSA SELinux checkreqprot default value            ? ?
  ? ??????????????????????????????????????????????????????????????????????? ?
== Cryptographic options  ---> ==
Non seleziono niente, dovrei?
 
== Library routines  ---> ==
Neanche qui niente, qualcuno sa se va bene?

Versione attuale delle 14:22, 2 apr 2015

Debian-swirl.png Versioni Compatibili

Tutte le versioni supportate di Debian

Introduzione

Uno dei primi passi da affrontare subito dopo l'installazione della nostra Debian dovrebbe essere quello di accertarsi quali sono i servizi e i demoni che vengono lanciati dal sistema. Questa operazione permette un controllo migliore della sicurezza della nostra macchina ed una minore esposizione a rischi legati ad intrusioni.

In questa breve guida vedremo come controllare i servizi attivi, come eliminare quelli non necessari e come rendere più sicuri quelli che intendiamo utilizzare.

Buona lettura & happy Debian!

Concetti di base

Servizi & Demoni

In un sistema operativo si definisce "servizio" (o anche "demone") un processo in background che gira autonomamente, senza intervento da parte dell'utente, o comunque con una interazione ridotta al minimo. Un esempio di servizio è il server web Apache: il server viene controllato dal demone "httpd" che gira in background, resta in ascolto sulla porta indicata e serve le pagine richieste.

Strumenti

GNU/Linux fornisce una nutrita schiera di programmi che ci permettono di interagire con i servizi attivi sulla nostra macchina. Di seguito riporto quelli più usati nell'amministrazione di un sistema Debian.

netstat

Netstat è uno dei programmi più utili ed utilizzati: permette di elencare tutta una serie di informazioni utili (socket aperti, routing tables, processi, ecc...). Per il nostro scopo utilizzeremo netstat per ottenere un elenco di tutte le connessioni di rete aperte sulla nostra macchina. Ottenere queste informazioni è il primo passo per conoscere nel dettaglio cosa succede all'interno del nostro sistema operativo.

Ora cerchiamo tutte le connessioni di rete in ascolto (stato LISTEN) sul nostro sistema.

# netstat -l |grep tcp
tcp        0      0 *:netbios-ssn           *:*                     LISTEN
tcp        0      0 *:5900                  *:*                     LISTEN
tcp        0      0 *:www                   *:*                     LISTEN
tcp        0      0 *:sieve                 *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 localhost.localdom:8118 *:*                     LISTEN
tcp        0      0 *:ipp                   *:*                     LISTEN
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN
tcp        0      0 *:microsoft-ds          *:*                     LISTEN

Ho scelto di limitare l'output alle sole connessioni in attesa di connessione. Potete anche provare ad utilizzare i comandi netstat -a, netstat -l, netstat -l |grep tcp, ecc.

Le colonne da prendere in esame sono (in questo esempio) la terza e la quarta. La terza colonna riporta l'accoppiata indirizzo+porta su cui è in ascolto il servizio.

Se osserviamo la prima linea dell'output, la terza colonna indica come coppia indirizzo+porta il testo *:netbios-ssn: questo significa che è attivo un servizio in ascolto per qualsiasi (*) indirizzo di rete configurato sulla macchina e che questo servizio è associato alla porta netbios-ssn.

Nelle altre righe possiamo notare che, nella colonna degli indirizzi, oltre al * (che indica qualsiasi indirizzo) compare anche localhost.localdomain. Netstat tenta di risolvere gli indirizzi IP e reperisce questo hostname dal file /etc/hosts, per cui localhost.localdomain corrisponde (nel mio esempio) all'indirizzo dell'interfaccia di loopback (127.0.0.1), come possiamo verificare con un semplice:

$ cat /etc/hosts |grep localhost.localdomain
127.0.0.1 localhost.localdomain localhost debby

È interessante notare come per alcune porte venga riportato un valore numerico, mentre per altre un valore alfanumerico.

Valore numerico:

tcp        0      0 *:5900                  *:*                     LISTEN

Valore alfanumerico:

tcp        0      0 *:netbios-ssn           *:*                     LISTEN

Questo comportamento di netstat è presto spiegato: quando il programma rileva un servizio in ascolto su una porta (ad esempio la porta 5900), cerca una corrispondenza con la stessa all'interno del file /etc/services.

Il file /etc/services è un file testuale che associa un numero di porta numerico alla descrizione alfanumerica del servizio associato alla stessa.

Se vogliamo vedere a quale porta corrisponda il dato netbios-ssn dell'esempio precedente, è sufficiente cercarlo all'interno del file /etc/services:

$ cat /etc/services |grep netbios-ssn
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp

Nel nostro esempio, dato che la porta era di tipo TCP, il valore cercato è il primo ottenuto.

Agendo sul file /etc/services possiamo quindi assegnare un valore descrittivo alle porte riportate solo con il valore numerico. Ad esempio tornando alla porta 5900, probabilmente vorremo associarla al servizio ad essa associata (vnc).

Sarà quindi sufficiente editare il file /etc/services ed aggiungere la linea:

vnc-server      5900/tcp        vnc-server      # TightVNC Server

A questo punto avremo realizzato l'associazione porta/descrizione:

# netstat -l |grep tcp
[...]
tcp        0      0 *:vnc-server            *:*                     LISTEN
[...]

Per quanto riguarda la quarta colonna, nell'esempio precedente possiamo vedere che il valore è identico per tutti i servizi e cioè *:*. Questo significa che il servizio è pronto a ricevere connessioni da qualsiasi indirizzo IP e da qualsiasi porta ad esso associata.

Notiamo a questo punto che alcuni dei servizi avviati sono in ascolto su qualsiasi indirizzo IP configurato sulla nostra macchina (*), mentre alcuni sono legati (si dice anche binding) all'indirizzo localhost.localdomain che abbiamo visto prima corrispondere all'indirizzo di loopback (127.0.0.1).

Quando un servizio è in ascolto unicamente sull'interfaccia di loopback significa che sarà raggiungibile unicamente attraverso quell'interfaccia. Questo ci garantisce che l'unico host in grado di contattare il servizio è la stessa macchina che lo ha in esecuzione.

Nell'esempio di prima, i servizi raggiungibili unicamente dall'interfaccia di loopback sono smtp e 8118. Come impareremo a verificare più tardi, si tratta rispettivamente del server di posta exim e del proxy privoxy.

lsof

Se con netstat siamo in grado di monitorare quali servizi sono in ascolto sulla nostra macchina, è anche indispensabile sapere quale programma abbia lanciato e controlli ogni singolo servizio.

Una caratteristica peculiare dei sistemi operativi derivati da Unix (tra i quali appunto GNU/Linux) è che qualsiasi elemento del sistema viene visto come se fosse un file. Abbiamo file veri e propri (ad es.: pippo.txt), abbiamo dispositivi hardware (si trovano in /dev e sono rappresentati da file veri e propri) ed abbiamo le connessioni di rete (anche queste sono veri e propri file).

Approfittando di questa caratteristica di GNU/Linux, possiamo investigare in maniera approfondita sui nostri servizi: se per il sistema operativo si tratta di file allora possiamo sapere chi li ha creati e chi li ha aperti.

Lo strumento principe per questo scopo è lsof. Come per la maggior parte dei comandi GNU, lsof è una abbreviazione della descrizione del comando: lsof = LS Open Files, cioè LiSt Open Files (elenca i file aperti).

Dato che le connessioni di rete sono rappresentate da veri e propri file, possiamo usare lsof per ottenere informazioni su di esse.

Poniamo il caso di voler ottenere informazioni sul servizio:

tcp        0      0 *:netbios-ssn           *:*                     LISTEN

Sarà sufficiente utilizzare lsof:

# lsof -i |grep netbios-ssn
smbd      4089        root   21u  IPv4   8082       TCP *:netbios-ssn (LISTEN)

In questo modo possiamo vedere che il servizio in ascolto sulla porta associata a netbios-ssn (la porta 139) è controllato dal programma smbd.

Allo stesso modo possiamo fare con www e smtp, ecc...

# lsof -i |grep www
apache    4342        root   16u  IPv4   8423       TCP *:www (LISTEN)
apache    4349    www-data   16u  IPv4   8423       TCP *:www (LISTEN)

# lsof -i |grep smtp
exim4     3901 Debian-exim    3u  IPv4   7625       TCP localhost.localdomain:smtp (LISTEN)

Apt System

Ora che sappiamo quale programma controlla un determinato servizio, abbiamo la possibilità di risalire a quale pacchetto Debian lo contiene per - eventualmente - rimuoverlo, oppure ottenere versioni più aggiornate, ricompilarlo con patch specifiche, ecc.

Il sistema più semplice ed allo stesso più potente per individuare quale pacchetto Debian contiene un file, consiste nell'utilizzare il programma apt-file. Per l' installazione e l' utilizzo di apt-file, vi rimando all'ottima guida Apt-file: ricerca all'interno dei pacchetti, scritta da MaXeR.

Nel contesto a noi necessario, utilizzeremo la funzione di ricerca di apt-file per risalire a quale pacchetto contiene il programma che lancia un particolare demone.

Continuiamo ad utilizzare come esempio il servizio in ascolto sulla porta netbios-ssn. Per adesso siamo riusciti a risalire al fatto che il servizio netbios-ssn corrisponde alla porta 139 e che è controllato da smbd.

Ora vedremo cosa sia smbd. Prima di tutto verifichiamo quale script o programma si preoccupa di lanciare smbd

# lsof |grep smbd |grep txt
smbd      4089        root  txt       REG        3,3  2805852      34840 /usr/sbin/smbd
smbd      4094        root  txt       REG        3,3  2805852      34840 /usr/sbin/smbd


Ora vediamo quale pacchetto contiene /usr/sbin/smbd:

# apt-file search /usr/sbin/smbd
samba: usr/sbin/smbd
samba-dbg: usr/lib/debug/usr/sbin/smbd

Controlliamo quale di essi sia presente nel nostro sistema:

# dpkg -l "samba*"
Desiderato=sconosciUto/Installato/Rimosso/P:eliminato/H:bloccato
| Stato=Non/Installato/file Config./U:spacchett./conf. Fallita/H:inst.parzial.
|/ Err?=(nessuno)/H:bloc./necess.Reinst./X=entrambi (Stato,Err: maiusc.=grave)
||/ Nome           Versione       Descrizione
+++-==============-==============-============================================
ii  samba          3.0.14a-6      a LanManager-like file and printer server fo
un  samba-client   <non definita> (descrizione non disponibile)
ii  samba-common   3.0.14a-6      Samba common files used by both the server a
un  samba-doc      <non definita> (descrizione non disponibile)




Guida scritta da: Keltik 05:26, Giu 23, 2005 (EDT) Swirl-auth20.png Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized