Alex Vall

Regole operative per la gestione dell’Infrastruttura IT: Il Black Cat Agreement

Thu, 26 Jan 2023 10:00:00 +0100

Regole operative per la gestione dell’Infrastruttura IT

Agreements

Non si effettuano attività sull’infrastruttura IT di produzione il Venerdì, il Sabato e la Domenica/Festivi (ed anche il Giovedì dopo le 16:00)
Prima di effettuare qualsiasi attività sull’infrastruttura IT di test o produzione va inviata una email a tutti i colleghi per informare dell’intervento, con almeno 24h di anticipo.
Il preavviso di 24h si può ridurre al minimo indispensabile in caso di attività da effettuare per risolvere problemi urgenti (la comunicazione va comunque inviata sempre).
Nel caso l’attività abbia un impatto sugli utenti, il preavviso sale ad almeno 72h per la comunicazione, che va inviata anche a tutti gli utenti coinvolti.
Per ciascuna attività va inviata a tutti i soggetti coinvolti (interni ed esterni) una email di inizio attività ed una email di fine attività.
Riunioni interne di allineamento che coinvolgono tutto il gruppo:
- Almeno una a settimana il Venerdì mattina.
- Non più di 3 a settimana.
- Durata MAX di ciascuna riunione 90 minuti
La gestione dei progetti prevede:
- La condivisione degli obiettivi e delle scadenze con la Direzione IT e con il gruppo di progetto, che prevede la presenza fissa dei responsabili delle varie BU interessate.
- L’approvazione del progetto da parte della Direzione IT, prima di iniziare a lavorare sul progetto stesso.
- La redazione della documentazione di progetto prima di iniziare il progetto.
- Che gli eventuali acquisti vanno sempre correlati ad un progetto approvato
Le decisioni prese in riunione possono essere modificate solo a seguito di una nuova riunione che allinei tutti i partecipanti.

Distribuire un aggiornamento di build di Windows 10 via Kace

Mon, 16 Dec 2019 11:30:00 +0100

Gli aggiornamenti di build di Windows 10 non sono patch tradizionali, rollup o service pack. Dal punto di vista della distribuzione, sono progettati e si comportano come un aggiornamento del sistema operativo “in-place”, cioè senza toccare alcun dato od impostazione preesistente, rimuovere la versione di SO precedente e senza salvare nessun dato. Pertanto richiedono maggiore pianificazione e test rispetto alle patch tradizionali, oltre a maggiori risorse (capacità del disco per server e client, larghezza di banda, tempo di installazione, ecc.).

NOTA: questa guida utilizza la versione 1903 di Ottobre 2019 come esempio di build nei passaggi seguenti

Prima fase: Creare il pacchetto di installazione
- Otteniamo una ISO ufficiale di Windows 10
- Montare la ISO e creare un file .zip
Seconda fase: Upload del pacchetto su KACE SMA
- Verifica dell’attivazione di Samba
- Caricamento dell’archivio nella clientdrop
Terza Fase: Mappare il pacchetto di installazione all’interno dell’Inventario
- Scenario Operativo
- Creazione di un Custom Software
Quarta Fase: Creazione e deploy del processo di aggiornamento
- Creazione della Managed Install
- Deploy

Prima fase: Creare il pacchetto di installazione

Gli aggiornamenti di build devono essere ottenuti direttamente da Microsoft. Sono distribuiti in formato ISO e devono essere estratti e ripacchettizzati per la distribuzione tramite prodotti di terze parti come KACE Systems Management Appliance.

Otteniamo una ISO ufficiale di Windows 10

Per ottenere la ISO di Windows 10 useremo uno quasiasi di questi tre metodi:

Scaricare la ISO dalla propria MSDN Library (richiede una licenza MSDN attiva), assicurandosi di ottenere la versione appropriata per il proprio scopo (es: Home, Professional, eccetera)
Usare il Media Creation Tool di Microsoft, scaricandolo da questo indirizzo: https://www.microsoft.com/en-us/software-download/windows10
1. Una volta scaricato, esegui il Tool
2. Quando ti viene richiesto cosa vuoi fare, scegli “Crea supporti di installazione (unità flash USB, DVD o file ISO) per un altro PC” e clicca Avanti
3. Verifica che le opzioni raccomandate (linuga, versione ed architettura) siano corrette in base alle tue necessità e prosegui
4. In “Scegli il supporto da usare” seleziona File ISO e clicca Avanti
5. Scegli un nome per il file (esempio: Windows10_1903_Italiano_x64.iso) e prosegui. Inizierà il download della ISO configurata così come hai deciso nelle opzioni precedenti
6. Clicca Fine al completamento per chiudere il wizard
Metodo Alternativo: Scaricare la ISO direttamente da https://www.microsoft.com/en-us/software-download/windows10ISO, visitando la URL con un computer non Windows (OS X o Linux)

Montare la ISO e creare un file .zip

In Windows 10, la ISO può essere montata facendo clic con il pulsante destro del mouse sul file e scegliendo “Monta” o semplicemente facendo doppio clic sul file ISO.
Assicurati di avere 7-Zip installato. 7-Zip è una condizione essenziale, quindi se non lo hai procuratelo da qui
Una volta montata, seleziona tutti i file all’interno della ISO (non la directory / unità, ma i file al suo interno), quindi fai clic con il pulsante destro del mouse e scegli “7-Zip > Aggiungi all’archivio…”
Nota: visto che la ISO è ovviamente read-only, scegli un percorso di salvataggio dello zip esterno, da qualche parte sul tuo hard disk
Al termine della compressione, il file zip verrà creato nella posizione selezionata con un nome generato automaticamente (esempio: setup.zip). Rinomina in modo appropriato (esempio: Windows10_1903_Italiano_x64.zip). Questo file verrà utilizzato nei seguenti passaggi
Smonta la ISO (fai clic con il pulsante destro del mouse sull’unità ed espelli) e fanne ciò che preferisci. Per questa guida non ne avremo più bisogno

Seconda fase: Upload del pacchetto su KACE SMA

Per via delle limitazioni sulla massima dimensione uploadabile di un file via interfaccia web, il pacchetto zip deve essere caricato su Kace tramite la condivisione samba clientdrop. La dimensione massima del file per il caricamento tramite l’interfaccia utente Web di SMA è infatti di 2GB (versione 8.0 e precedenti) o 4 GB (versione 8.1 e successive), mentre gli aggiornamenti di build tendono ad essere leggermente troppo grandi rispetto a questi limiti. Il metodo Samba evita del tutto il limite di upload e, opinione personale, è anche più veloce e pratico.

Verifica dell’attivazione di Samba

Se Samba non è abilitato, abilitalo (Samba può essere disabilitato dopo che il pacchetto è stato caricato e importato al passaggio 3). Le impostazioni di abilitazione / disabilitazione di Samba si trovano in Settings > Security Settings all’interno dell’interfaccia di Amministrazione. Per abilitare Samba, verifica che sia abilitato il checkbox “Enable organization file shares”
Assicurati anche che la condivisione sia abilitata anche a livello di organizzazione e di conoscere le credenziali per la share clientdrop. In caso contrario la password può essere reimpostata nella pagina Settings > General Settings nell’interfaccia utente di amministrazione (specifica dell’organizzazione per sistemi multi-org)

Caricamento dell’archivio nella clientdrop

Collegati alla share clientdrop. Puoi farlo facilmente aprendo un Esplora Risorse e digitando l’indirizzo UNC della tua appliance Kace (esempio: \\KBOX\clientdrop, sostituendo KBOX con il nome del tuo host SMA).
Trascina all’interno della clientdrop il file .zip creato nella Fase Uno
Concluso con successo il caricamento, passiamo allo Step 3

Terza Fase: Mappare il pacchetto di installazione all’interno dell’Inventario

Scenario Operativo

Per ragioni di performance, andremo a creare un Custom Software Title all’interno del Software Inventory, tralasciando invece il Software Catalog. Questa scelta è dovuta alla grande quantità di versioni e revisioni di Windows 10 all’interno del Catalog che andrebbero ad impattare fortemente sulle prestazioni del database di Kace ad ogni interrogazione dello stesso da parte della Managed Install che andremo a vedere verso la fine di questa guida.

Creeremo anche una apposita regola di inventario personalizzato (“Custom Inventory Rule”), in modo da avere un controllo più preciso e granulare sul processo di aggiornamento attuale e futuro.

Creazione di un Custom Software

Nell’interfaccia di amministraizone, vai su Inventory > Software
Dal menu Choose Action seleziona New
Compila i campi Name, Version, Publisher e Notes come preferisci. Ad esempio:
Nel campo Custom Inventory Rule inseriamo una regola che andrà a verificare una precisa chiave di registro, situata in HKLM\Software\Microsoft\Windows NT\CurrentVersion, per identificare la verisone della build.
Codice:
```
RegistryValueEquals(HKLM64\SOFTWARE\Microsoft\Windows NT\CurrentVersion,ReleaseId,1903)
```
Associamo finalmente il nostro file zip, creato in precendenza e copiato nella condivisione clientdrop, al Custom Software. Per far ciò andremo a scegliere dal menu a tendina Upload and Associate Client Drop File il file, salvando al termine.

Quarta Fase: Creazione e deploy del processo di aggiornamento

Ora che abbiamo tutti i pezzi del puzzle, dobbiamo solo unirli nel passaggio finale. Andremo a creare una Installazione Gestita (Managed Install) che avrà il compito di distrubire la nuova build di Windows 10 nei PC target.
Andremo a dettagliare i passaggi uno per uno ma chi avesse già esperienza con le Managed Install può saltare direttamente alla fine.

Creazione della Managed Install

Nel pannello di Amministrazione, vai in Distribution > Managed Installations
Seleziona Choose Action > **New
Digita un nome per la Managed Install, ad esempio “Windows 10 1903 Upgrade”
Imposta l’opzione di esecuzione desiderata in base ai tuoi requisiti. Se tieni il campo con valore “Disabled” la MI non verrà eseguita
In Inventory scegli Software
Nel menu a discesa Software, scegli il software title che hai creato nello Step 3 ed a cui hai associato lo zip
Verifica che sia selezionato Use associated file e che il fle mostrato sia il tuo zip
Se lo desideri (consigliato), seleziona Delete downloaded files
Installation Options:
1. Seleziona Override default installation ed inserisci questa stringa
  Codice:
```
  setup.exe /auto upgrade /DynamicUpdate disable /showoobe none
```
2. Verifica che sia spuntato il selettore Don’t prepend msiexec.exe
  - Nota: Puoi trovare una spiegazione esaustiva riguardo tutti i parametri di setup.exe tu technet di Microsoft, qui: https://blogs.technet.microsoft.com/home_is_where_i_lay_my_head/2015/09/14/windows-10-setup-command-line-switches/

Deploy

Nella sezione Deploy, assegna alla Managed Install le Labels che ritieni più opportune (è fortemente raccomandato eseguire uno o più test preliminari su un numero ristretto di computer)
Configura la sezione di Notifica, inserendo un messaggio chiaro e che rispecchi le tue necessità
Configura la Schedulazione, anche qui in base alle tue specifiche (Nota: non è consigliabile regolare la finestra di distribuzione, poiché le MIs vengono eseguite solo durante l’intervallo di inventario. Se la finestra è configurata in modo tale da non essere aperta abbastanza a lungo da consentire a tutti i sistemi di eseguire un intervallo di inventario, i sistemi interessati non riceveranno mai l’aggiornamento.)
Premi Save per completare il lavoro. Abbiamo finito, buon aggiornamento di build

(ricorda: PROVA SEMPRE PRIMA DI DISTRIBUIRE!!!)

IPUI to IPEI

Thu, 24 Jan 2019 12:30:00 +0100

Talvolta (prendiamo ad esempio le installazioni aziendali) diventa necessario registrare sull’impianto DECT un telefono di produttore diverso da quello del centralino, vuoi per mancanza di disponibilità del prodotto voluto, vuoi per pure e semplici ragioni di budget (un cordless Siemes costa mediamente fra i 50 e i 70€, mentre un terminale ad esempio Spectralink o Avaya supera allegramente i 250€).

L’operazione è comunque veloce ed indolore per ogni tipo di terminale che supporti ovviamente lo standard DECT/GAP in quanto, come detto, è sufficiente l’IPEI del telefono che intendiamo registrare ed il gioco è fatto. Con Siemens, invece, ci servirà un passaggio in più, proprio per via della loro scelta di utilizzare IPUI, che ha una diversa notazione ed una diversa struttura e non viene quindi riconosciuto come IPEI valido.

Cosa è il codice IPEI?
- Come convertire il codice IPEI in IPUI?
Ipui2Ipei: strumento di conversione da IPUI a IPEI
Informazioni aggiuntive
- Come trovare il codice IPUI di un telefono SIEMENS?
- Note ulteriori
Riferimenti

Cosa è il codice IPEI?

L’IPEI è un codice numerico di identificazione, simile al codice IMEI dei telefoni cellulari, dei telefoni DECT/GAP (i cosiddetti “telefoni cordless”).

IPEI è un codice numerico di 13 caratteri
IPUI è un codice alfanumerico di 10 caratteri

Come convertire il codice IPEI in IPUI?

La conversione consiste nella divisione di IPUI in due parti separate, con conseguente trasformazione dei due valori esadecimanli in decimali e qualche altro calcolo più o meno divertente. Oppure, molto più semplicemente, si può utilizzare un tool di conversione come quello indicato di seguito.

Ipui2Ipei: strumento di conversione da IPUI a IPEI

Al questo link è possibile trovare ipui2ipei, un tool web che ho trovato su GitHub e che ho poi provveduto a modificare e migliorare (si spera) secondo le mie esigenze.

Il suo utilizzo è semplicissimo: è sufficiente scrivere nel primo campo il codice IPUI estratto dal telefono Siemens seguendo la procedura indicata successivamente e premere il bottone Converti.

Un attimo dopo avrete il risultato desiderato, con tanto di spiegazione sul tipo di calcoli che sono stati eseguiti.

Informazioni aggiuntive

Come trovare il codice IPUI di un telefono SIEMENS?

col portatile in stand-by, bisogna premere la seguente sequenza di tasti: Tasto MENU’ seguito da [*] [#] 0 6 [#]

Note ulteriori

Il codice IPEI è composto da 13 caratteri: i primi 12 sono il codice vero e proprio, mentre il tredicesimo è un carattere di controllo.
A seconda del produttore del vostro centralino o server DECT dovrete inserirli tutti o solo i primi 12.
La conversione potrebbe portare ad un risultato con quattordici numeri in quanto il codice di controllo può essere un qualsiasi numero compreso fra 1 e 10. In questo caso trasfromate il 10 in “asterisco” [*]

Riferimenti

Come importare un certificato CA su PC Windows con Kace 1000

Mon, 17 Sep 2018 11:30:00 +0200

Per installare certificati in maniera trasparente possiamo usare diversi metodi, il più ovvio e diffuso dei quali è senza dubbio una GPO. Ma non è sempre detto che la GPO sia la soluzione più veloce (ad esempio: chi deve eseguire il deploy dei certificati non ha i permessi per lavorare sulle GPO, o il certificato deve essere installato su un numero esiguo di PC per cui chi dovrebbe fare la GPO non considera questa un’attività primaria da svolgere ed i tempi rischiano di allungarsi)

Andiamo quindi a vedere come distribuire un certificato CA self-signed tramite KACE 1000. In seguito andremo anche ad installare sui client, con la stessa procedura, un secondo certificato intermedio, validato a sua volta dalla CA.

L’utility certutil.exe
Lo script (kscript) su Kace

L’utility certutil.exe

certutil.exe è una utility, presente in tutti i sistemi Windows, che ci permette di fare tante cose con i certificati. Possiamo convertirli in caso il formato che abbiamo non sia quello che ci serve, possiamo importarli ed esportarli (sia in locale che su Active Directory), verificare la validità delle coppie di chiavi privata/pubblica eccetera.

Si usa da riga di comando e per la sintassi completa vi rimando all’apposita pagina sulla Knowledge Base Micorosoft

Definizioni

Entrambi i nostri certificati sono già in formato .cer
Il certificato CA si chiama NGIRootCA01
Il certificato intermedio si chiama NGISSLCA01.cer

Importazione della CA tramite certutil.exe

Il comando di importazione, che possiamo eseguire da un qualsiasi prompt amministrativo, è il seguente

start /wait certutil -addstore Root NGIRootCA01.cer

Il parametro -addstore deifnisce il datastore in cui andremo ad installare il certificato. Root corrisponde a “Autorità di certificazione radice attendibili”

Importazione del certificato intermedio

Il certificato intermedio (che chiameremo SSLCA01.cer) a cui si faceva riferimento poco fa si importerà nella stessa maniera, cambiando solamente il datastore di riferimento:

start /wait certutil -addstore CA NGISSLCA01.cer

Lo script (kscript) su Kace

Andiamo ora a riportare tutto su Kace 1000, creando uno script apposito.

Riassunto delle Attività

Impostazione dei parametri di base
Importazione dei due certificati come dipendenze
Creazione di un batch file
Schedulazione

Realizzazione

Portiamoci in Scripting / Scripts e creiamo un novo kscript (“New”)
Una volta definito un nome, portiamoci nella sezione Operating Systems e clicchiamo su Manage Operating Systems, andando a selezionare tutti i SO Windows (e, visto che andremo a creare un batch file, solo quelli Windows) di nostro interesse
Verifichiamo che Windows Run As sia impostato a Local System
Nella sezione Dependencies facciamo click su +New Dependency… e carichiamo:
1. Il certificato Root
2. Il certificato Intermedio
Facciamo ora click su +Task… nella sezione sottostante ed impostiamo i seguenti passi:
1. Verify that the file “C:\Tools\certificato.ok” exists (questo ci servirà per fare un check sull’applicazione del certificato, che andremo a schedulare e qundi ad eseguire ad intervalli regolari; se il file certificato.ok esiste allora lo script si interrompe). Per riferimento sul percorso scelto, potete vedere questo mio precedente articolo
2. On Success: nulla
3. Remediation: Run the batch file “Install_CA_Root_Script” with params “”
  
  Codice:
```
 @echo off
 start /wait certutil -addstore Root NGIRootCA01.cer
 start /wait certutil -addstore CA NGISSLCA01.cer
 exit
```
4. On Remediaton Success Launch a program…
Clicchiamo su Save per completare la creazione del kscript

Schedulazione

In caso volessimo schedulare lo script, sarà sufficiente, una volta tornati in editing, andare ad impostare la finestra desiderata. Ad esempio, nel nostro caso lo script verrà eseguito sui devices desiderati ogni tre ore secondo questa logica:

Lo script viene eseguito la prima volta
Al termine, lascia un file “certificato.ok”, di dimensione 0 bytes, in C:\Tools\
Dalla volta seguente (ogni tre ore…) se trova il file “certificato.ok” allora si interrompe e non fa null’altro

Blocco delle applicazioni con K1000

Wed, 11 Jul 2018 00:00:00 +0200

In questa veloce guida si dà per scontato che il lettore abbia già una buona conoscenza dell’ambiente KACE 1000 (KACE SMA) e del funzionamento delle etichette (Labels)

Il blocco delle applicazioni tramite K1000, passo per passo
Il risultato finale

Il blocco delle applicazioni tramite K1000, passo per passo

Il blocco delle applicazioni su Kace funziona con una doppia logica:

Una Label, in grado di controllare e bloccare i software
Uno o più Software marcati come Not Allowed

Per funzionare, è necessario che entrambe le condizioni siano vere

La Label

Kace mette a disposizione una Label già preconfezionata, secondo i parametri di default.

Useremo quindi questa per illustrare il funzionamento del blocco applicativo.

Portarsi in Home ed in seguito in Label Management e selezionare Labels
La nostra etichetta di default si chiama “ApplicationControlDevices” ed è così impostata:

Significato della Label

Illustriamo velocemente il significato dei vari flag:

Device Inventory: La Label si applica all’Inventario dei devices (quindi: ai PC)
- Allow Application Control: La Label è in grado di controllare l’avvio delle applicazioni
Resources (Processes, Services, Startup Items): La Label si può applicare anche a processi e servizi
Catalog: La Label si applica al Catalogo Software (essenziale per il buon funzionamento del meccanismo di blocco!)
Software: Come sopra, ma per i software non normalizzati dal catalogo

I software da bloccare

Portiamoci nel Software Catalog (Inventory -> Software Catalog), che racchiude e “normalizza” tutti i software rilevati e riconosciuti, all’interno di un unico nome. Più chiaramente, avremo ad esempio “iTunes 12.x”, che contiene tutte le revisioni di iTunes 12 (es: 12.1, 12.4, 12.74 e via dicendo).

Lavorare nel Catalogo Software ci consente di bloccare o monitorare un software indipendentemente dagli aggiornamenti che riceve.

Una volta trovato il nostro software (prendiamo sempre ad esempio iTunes 12.x), selezioniamo il checkbox e da menu “Choose Action” scegliamo “Mark Not Allowed”

In alternativa, è possibile spuntare “Not Allowed” all’interno della pagina del software di nostro interesse. L’autosave è automatico nel momento del cambio di selezione del checkbox.

I PC e la loro Label

Ora che abbiamo capito come funzionano sia la Label (che si applica ai PC) che il marker di blocco (relativo ai software), possiamo metterli insieme ed ottenere l’effetto desiderato.

NOTA BENE: il meccanismo di Kace bloccherà l’apertura dei programmi SOLO sui PC a cui abbiamo applicato la Label “ApplicationControlDevice” e solo a loro. In questa fase sperimentale l’etichetta NON VIENE applicata di default a tutti i device in inventario e l’operazione dovrà quindi essere fatta manualmente.

Un pc che ha un software bloccato ma che non appartiene alla Label continuerà ad eseguire quel software come se nulla fosse, senza alcun problema.

1 Otteniamo il nome od i nomi dei PC che ci interessa inserire nella Label. Per fare ciò abbiamo diverse strade, tutte corrette:
1. Lo conosciamo e lo troviamo direttamente in Inventario
2. Dal Catalogo Software clicchiamo sul numero nella colonna “Installed”, che ci porterà alla lista di tutti i PC con quel software

2 Selezioniamo il checkbox a fianco del o dei PC di nostro interesse e da menu “Choose Action” facciamo click su “Apply Labels”

3 Scegliamo quindi la Label “ApplicationControlDevices” e trasciniamola nella parte destra della finestra, cliccando poi su “Apply Labels”

L’Inventario

Abbiamo fatto le regole. Abbiamo applicato le Labels. Manca ancora qualcosa?

Uno dei punti di forza dell’agente Kace è quello di lavorare sostanzialmente offline: si collega una volta al server, riceve tutte le regole, le informazioni e gli script e poi continua a lavorare, da solo, senza più bisogno di dialogare col server. E continua a fare tutto ciò che gli è stato detto di fare fino a prova contraria. Questo meccanismo si chiama “Inventario” e nel nostro caso viene eseguito una volta ogni 8 ore (almeno) da ogni singolo computer inventariato.

Le nuove regole di blocco, quindi, verranno applicate al PC al suo prossimo contatto (cioè al prossimo inventario). Le potremo forzare manualmente (click sul box del device e poi “Force Inventory”) ma, in condizioni normali, il frutto delle nostre regole si vedrà solo dopo alcune ore (ed un riavvio del PC) e non in tempo reale.

Il risultato finale

In seguito alla creazione della lista di blocco (alcuni software in questa immagine sono solo puramente a scopo di esempio e non si intende veramente bloccarli), all’assegnazione della Label al PC ed al propagarsi delle regole tramite inventario, una volta che l’utente tenterà di aprire il software riceverà un alert nell’angolo basso a destra dello schermo, come questo:

Come bloccare l'hotlinking delle immagini con .htaccess

Fri, 13 Apr 2018 00:00:00 +0200

L’HOTLINKING DANNEGGIA IL TUO SITO
COME PROTEGGERSI DA HOTLINKING
- SPIEGAZIONE
  - CONCEDERE L’ACCESSO A BING, YAHOO E FACEBOOK
- CONCLUSIONI

L’HOTLINKING DANNEGGIA IL TUO SITO

Facciamo un esempio. L’immagine che vedete qui sotto è stata caricata direttamente su un mio sito (ospite originale di questo articolo). Il server web non fa altro che andare a caricare una risorsa interna (l’immagine stessa) e mostrarla al visitatore, senza alcun carico elaborativo extra.

Il codice dell’immagine è il seguente:

<img src="/wp-content/uploads/2012/05/kenny-mccormick.jpg" alt="" border="0" width="320" height="240" />

Un sito esterno, invece di effettuare il download dell’immagine e di caricarla sul proprio server (cosa che, oltretutto, è sempre consigliabile in quanto migliora moltissimo i tempi di caricamento e le prestazioni generali del sito), ottiene il collegamento diretto alla risorsa e lo include all’interno di una propria pagina.

<img src="https://www.skyflash.it/wp-content/uploads/2012/05/kenny-mccormick.jpg" alt="" border="0" width="320" height="240" />

Il risultato sarà che il secondo sito, eterno al nostro, sfrutta l’immagine senza però sacrificare il proprio spazio web, mentre il nostro sito, su cui risiede l’immagine, sarà sottoposto ad un carico eccessivo (ed assolutamente non richiesto nè tanto meno gradito) sia per quanto riguarda la propria banda passante che per le risorse del server.

COME PROTEGGERSI DA HOTLINKING

Sono sufficienti alcune righe da aggiungere al proprio, immancabile, file .htaccess e, se volete, un’immagine preparata per lo scopo, che servirà per sbattere in faccia al webmaster antipatico la dura verità :smile:

ATTENZIONE: la modifica di .htaccess, se fatta da persone non esperte e non particolarmente attente, può generare molti problemi al vostro sito WordPress, fino a renderlo inaccessibile. Assicuratevi quindi di fare SEMPRE una copia di sicurezza di .htaccess prima di cominciare le modifiche

Aprite in un qualsaisi editor di testo il vostro file .htaccess ed in coda (se usate WordPress, dovrebbero esserci solo le direttive di default) e dopo ### END WordPress ### aggiungete il seguente codice:

### Blocca l'hotlinking - Webmaster cattivo pussa via
RewriteEngineon
RewriteCond%{HTTP_REFERER}!^$
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?skyflash.it[NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com[NC]
RewriteCond%{HTTP_USER_AGENT}!googlebot[NC]
RewriteCond%{REQUEST_URI}!^hotlink.jpg$
RewriteRule\.(jpg|jpeg|png|gif|js|swf)$hotlink.jpg[NC,R,L]

SPIEGAZIONE

Alla terza riga trovate:

RewriteCond%{HTTP_REFERER}!^$

Questa istruzione consente ai referrer che non forniscono informazioni di accedere al contenuto. Ciò è reso necessario in quanto molti visitatori (soprattutto quelli che si connettono dall’ufficio e si trovano dietro a proxy) sono protetti da un firewall che non rilascia informazioni al server per ragioni di sicurezza.

Righe 4, 5 e 6:

RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?skyflash.it[NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com[NC]
RewriteCond%{HTTP_USER_AGENT}!googlebot[NC]

specificano i domini che invece possono effettuare l’hotlinking e quindi visualizzare le immagini presenti sul server. Quindi scriveremo il nostro dominio internet e, in caso vogliate farvi indicizzare le immagini, Google. Tutti gli altri sono fuori.

Riga 7:

RewriteCond%{REQUEST_URI}!^hotlink.jpg$

Se proprio qualcuno vuole rubare qualche immagine, allora lasciamogli prendere quella che abbiamo preparato per segnalare gli hotlinker. Questa riga ci assicura che l’immagine sia sempre visualizzabile.

Riga 8:

RewriteRule\.(jpg|jpeg|png|gif|js|swf)$hotlink.jpg[NC,R,L]

Specifica il formato dei file protetti dall’hotlinking (non solo le immagini ne sono soggette) e sostituisce le richieste con un’immagine statica.

Ovviamente potrete specificare l’immagine che desiderate, ma assicuratevi che questa non sia protetta (vedi riga precedente) oppure, ancora meglio, caricatela su una risorsa esterna come Dropbox, o il risultato sarà un loop infinito!

CONCEDERE L’ACCESSO A BING, YAHOO E FACEBOOK

Esattamente come abbiamo fatto per Google, aggiungiamo al nostro .htaccess le seguenti direttive:

RewriteCond%{HTTP_REFERER}!msn.[NC]
RewriteCond%{HTTP_REFERER}!yahoo.[NC]
RewriteCond%{HTTP_REFERER}!^https?://(www\.)?facebook\.com[NC]
RewriteCond%{HTTP_USER_AGENT}!facebookplatform[NC]
RewriteCond%{HTTP_USER_AGENT}!msnbot[NC]
RewriteCond${HTTP_USER_AGENT}!slurp[NC]

CONCLUSIONI

Il risultato finale sarà quindi il seguente:

### Blocca l'hotlinking - Webmaster cattivo pussa via

RewriteEngineon
RewriteCond%{HTTP_REFERER}!^$
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?skyflash.it[NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com[NC]
RewriteCond%{HTTP_REFERER}!msn.[NC]
RewriteCond%{HTTP_REFERER}!yahoo.[NC]
RewriteCond%{HTTP_REFERER}!^https?://(www\.)?facebook\.com[NC]
RewriteCond%{HTTP_USER_AGENT}!googlebot[NC]
RewriteCond%{HTTP_USER_AGENT}!facebookplatform[NC]
RewriteCond%{HTTP_USER_AGENT}!msnbot[NC]
RewriteCond${HTTP_USER_AGENT}!slurp[NC]
RewriteCond%{REQUEST_URI}!^hotlink.jpg$
RewriteRule\.(jpg|jpeg|png|gif|js|swf)$hotlink.jpg[NC,R,L]

Chi dovesse linkare ad una risorsa con estensione jpg, jpeg, png, gif, js o swf sul sito così “trattato”, come unico risultato avrà la visualizzazione della seguente immagine

Se guardando le statistiche del vostro spazio web avete notato un consumo eccessivo di banda in uscita o se state rilevando una grande quantità di accessi esterni alle stesse immagini, probabilmente siete hotlinkati da qualcuno. Ora sapete come difendervi.

Risorse esterne:

La traduzione in italiano di Morrowind, Tribunal e Bloodmoon

Thu, 05 Apr 2018 00:00:00 +0200

Atteso dai fan di mezzo mondo, il lancio Italiano di The Elder Scrolls 3: Morrowind destò molte polemiche. Il gioco infatti, inspiegabilmente, non venne tradotto in nessuna sua parte. Ricordo ancora le parole di un P.R. Ubisoft, il quale dichiarò, più o meno, che la traduzione non era stata fatta per motivi di tempo. In pratica, ci disse che non lo avevano tradotto perchè altrimenti ci sarebbe stato un pesante ritardo nella distribuzione, e che quindi avevano preso questa decisione per fare un favore a noi giocatori. Che avesse forse dinanzi un roseo futuro da umorista? O forse da politico? Fatto sta che Morrowind venne distribuito in rigorosa lingua Inglese. Il CRPG che avrebbe rivoluzionato il genere, il gioco con la più grande mole di testi mai realizzato, sarebbe stato di difficile comprensione per molti giocatori Italiani.

Qualche mese prima della sua uscita nel nostro mercato, io ed altri appassionati ci eravamo già procurati la versione USA del gioco (per quanto mi riguarda, fu la Collector’s Edition), scoprendo così le fantastiche potenzialità dell’editor integrato. Tramite il TES Construction Set era possibile realizzare praticamente di tutto; si potevano creare nuovi oggetti, nuove quest, nuovi NPC. Si poteva addirittura realizzare un plugin che cambiasse ogni singola parola del gioco. Come? Era possibile cambiare i testi a video? Allora era anche possibile tradurre Morrowind!

SI COMINCIA A TRADURRE!

Quasi per gioco, iniziai a tradurre il tutorial e le prime fasi di gioco. In quegli anni uno dei miei contatti era Lello Sarti, responsabile della testata online RPGPlayer.it, poi assorbita da Multiplayer. Lello era a sua volta in contatti con alcuni membri dell’ITP, a cui riferì che io avevo iniziato a tradurre il gioco. Il prossimo passo fu ovvio: stava per prendere il via la traduzione in Italiano più lunga e complessa mai realizzata a livello amatoriale!

Proprio su questo stesso dominio istituimmo una mailing list con cui tenerci in contatto, e creai anche un piccolo forum (utilizzando lo storico Snitz! forum, un ormai obsoleto forum in .ASP). Nel frattempo il gioco era già uscito in Italia e, come c’era da immaginarsi, venne accolto con molta timidezza, proprio a causa della sua gigantesca mole di testo in Inglese. Non ci volle molto perchè la voce secondo cui l’ITP, già noto per il meraviglioso lavoro svolto con Planescape: Torment, si era messo al lavoro su Morrowind si diffondesse. Nel giro di alcuni mesi si parlava di noi su Usenet, sui forum, e persino su qualche rivista.

I PRIMI PROBLEMI…

L’opera di traduzione stava procedendo bene, quando ci rendemmo conto di una cosa: la particolare struttura del Journal – il Diario – di Morrowind era basata sul linguaggio HTML, ed alcuni termini erano veri e propri hyperlinks che riconducevano ad altre sezioni, le quali erano a loro volta collegate con altre ancora. Non aver verificato quali fossero questi particolari termini (indicati col prefisso @, es: @elves) significava una sola cosa: era tutto da rifare!

Per nostra grande fortuna, uno dei componenti il team era un buon programmatore e riuscì a realizzare un software il cui compito era quello di analizzare il Journal ed estrarre tutti i termini ‘speciali’. Questo comportò ovviamente un ritardo sui tempi, ma ci permise di non buttare tutto quanto fino a quel momento realizzato, limitandoci a ricontrollare solo le parti indicate dal nostro programma specifico.

I mesi passavano ed il lavoro proseguiva. Le richieste da parte degli utenti fioccavano da più parti, tutti impazienti di poter finalmente giocare a Morrowind senza essere costretti a tenere un vocabolario sulle gambe. Ci fu anche qualche problema con Ubisoft, il publisher, di cui non vi parlerò neppure sotto tortura perchè sono comunque argomenti riservati.

LA QUEST AGGIUNTIVA

Ci mancava ancora qualcosa, però. In fin dei conti si stava lavorando sul TES, e si stava realizzando un plugin, no? E allora, perchè non distribuire nello stesso pacchetto anche una quest aggiuntiva, la quale avrebbe ricompensato il giocatore con un libro il cui contenuto si riferiva a “Coloro i quali fecero l’impresa”? In quel libro avremmo riportato una breve ‘Bio’ di ciascuno di noi, con uno stile ovviamente conforme all’ambientazione di gioco. Dopo tanto lavoro, un minimo di auto referenzialità mi pare dovuta, no?

Purtroppo, a causa di mancanza di tempo, io fui costretto a sospendere la mia collaborazione con l’ITP anzitempo, ma questo non comportò alcun problema per i ragazzi, che non mi stancherò mai di ringraziare per avermi comunque incluso sia fra i ringraziamenti nelle note di rilascio che nella quest aggiuntiva, malgrado la mia defezione anticipata.

Ebbene, se siete arrivati fin qui a leggere e state cercando disperatamente la traduzione di Morrowind, direi che è giunto il momento di ricompensarvi per il tempo dedicato ai miei ricordi.

La traduzione in Italiano di Morrowind - Download

Questa è la versione definitiva della traduzione, che non necessita di preventivi aggiornamenti del gioco. Si basa sull’edizione Game of the Year di Morrowind e contiene sia la traduzione del gioco base che della sua espansione “vampiresca”, BloodMoon. E’ un unico file auto installante che, se necessario, aggiornerà la vostra copia di The Elder Scrolls III: Morrowind alla più recente versione 1.6

Si consiglia di non applicare la traduzione ad una partita già in corso; ciò potrebbe corrompere i salvataggi. E’ comunque possibile “trattare” i propri salvataggi con il programma Savepatcher, distribuito nell’archivio Tribunal.zip

Installare la traduzione di Tribunal solo dopo aver installato il file precedente, relativo alle traduzioni di Morrowind e Bloodmoon

Mirror 1

Mirror 2

Riferimenti:

skyflash.it - La traduzione in Italiano di Morrowind, Tribunal e Bloodmoon

[K1000 Scripting] Find and report all PCs with a smartcard reader installed

Wed, 14 Feb 2018 00:00:00 +0100

Target

Find and report all managed Windows PCs in K1000 Inventory with a smartcard reader installed.

Overview

The script does not depend on K1000, so if you don’t have KACE SMA in your environment don’t worry: the script is still useful!

Components

[The Query] This script
[The Automation] Kace Systems Management Appliance (AKA ‘K1000’)

How it works

The vbs script executes a WMI query over the target device(s) and saves an output file named smartcard.txt (see below in the Setup section)
The vbs script is scheduled and deployed to the target device(s) via K1000 Online KScript
A K1000 Custom Inventory Rule reads the output file for every inventoried device and stores the information in the database
A scheduled Report (choose your favorite format between HTML, CSV, PDF or Excel) returns only PCs with a smart card reader installed
Done!

Setup

The KScript (smarcard.vbs)

Download the script or copy & paste the following code:

strComputer = "."
Dim log
Set log = Wscript.CreateObject("Scripting.Filesystemobject")
Set f = log.CreateTextFile("C:\Tools\smartcard.txt", 2)
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
Set colItems = objWMIService.ExecQuery( _
    "SELECT * FROM Win32_PnPSignedDriver Where DeviceClass = 'SMARTCARDREADER'",,48) 
For Each objItem in colItems 
    f.WriteLine "DeviceClass: " & objItem.DeviceClass
Next
f.Close

Edit line 4 with the path where you want to save the output file. In our environment every PC has a “C:\Tools” directory for service purpose, so I decided to save the output there.

Set f = log.CreateTextFile("C:\Tools\smartcard.txt", 2)

Go to your K1000 Dashboard, then go to Scripting and create a New Script (Choose Action / New)
Name the script as your wish (for example: Check Smart Card Reader) and follow these steps:

Script Basic Settings

Type: Online KScript
Enabled: Yes
Deploy: one or some devices, all devices or to a Device Label, according to your needs in your environment
Windows Run As: Local System
Upload the smartcard.vbs as New Dependecy

Tasks

We want the script to run once in every PC, so we’ll use a “checkmark” (the smartcard.txt) to verify that…

Verify: Verify a file exists…
- C:\Tools\smartcard.txt
Remediation: Launch a program…
- Directory: $(KACE_SYS_DIR)
- File: cscript.exe $(KACE_DEPENDENCY_DIR)\smartcard.vbs
- Wait for completion: Yes
On Remediation Success: Upload a file… (note: this step is not necessary and only for archiving purpose)
- Directory: C:\Tools
- File: smartcard.txt

…and Save your brand new script.

The Task and its steps are summarized in the following image. When you’re ready, let’s jump to the Step 4!

The Custom Inventory Rule

In the K100 Dashboard, now go to Inventory section, then go to Software and create a new Software entry (Choose Action / New)
Name the rule as your wish (for example: IT Dep — Check Smart Card Reader) and follow these steps:

Publisher: IT Department (it’s useful for further searches into the Software Inventory)
Supported Operating Systems: All the Windows OSs in your Inventory
Custom Inventory Rule: ShellCommandTextReturn(cmd /c type C:\Tools\smartcard.txt)

…and Save your new Custom Inventory Rule.

Here’s the summary image

Now we need all our devices complete their inventory. The new Custom Inventory Rule creates a new entry in every device record managed by the K1000.

If a smart card reader has been discovered we’ll have at least one “DeviceClass: SMARTCARDREADER” text iside the Custom Inventory Fields section into every device record in Inventory / Devices

Otherwise, if a smart card reader has not been discovered, we’ll have no text

When all your devices has been inventoried and you’re ready, jump to the next section

The Report

In the K100 Dashboard, now go to Reporting section, then in Reports and create a new Report (Choose Action / New)

Name the Report as your wish (for example: PCs with Smart Card Reader) and follow these steps:

Title and Topic

Category: Inventory
Topic: Device

Fields to Display

Device: System Name
Operating System Info: Name
User Information: User Name
Manufacturer and BIOS: System Model

Feel free to add and modify any other field, according to your needings.

Filters

Delete the default filter and create this:

Save your new report and try it.

code snippet test

Thu, 21 Dec 2017 00:00:00 +0100

This is a raw snippet:

hello world
123
This is a text snippet

This is a JavaScript snippet:

const add = (a, b) => a + b
const minus = (a, b) => a - b

console.log(add(100,200))  // 300
console.log(minus(100,200))  // -100

This is a Python snippet:

def say_hello():
    print("hello world!")

say_hello()   // "hello world!"

Side note comment: applied a bug fix similar to this commit to ensure code snippet does not collapse unexpectly upon clicking on it. This issue is tracked here.

Identificare e terminare processi zombie su Linux

Sun, 25 Oct 2015 00:00:00 +0200

Recentemente ho avuto necessità di eseguire un pò di tuning su un server Linux, spesso infestato da processi zombie che lo portavano a raggiungere elevatissimi carichi operativi. Dalla descrizione di Wikipedia:

Nei sistemi operativi Unix e Unix-like, un processo zombie o processo defunto è un processo informatico che, nonostante abbia terminato la propria esecuzione, possiede ancora un PID ed un process control block, necessario per permettere al proprio processo padre di leggerne il valore di uscita.

Girovagando alla ricerca di informazioni utili, mi sono imbattuto in un ottimo script, da copiare sui vostri server, in grado di identificare e killare lo zombie, oltre a lasciarne una traccia un un file di log apposito.

LO SCRIPT KILL-ZOMBIE
- FUNZIONAMENTO
- INSERIMENTO NEL CRONTAB

LO SCRIPT KILL-ZOMBIE

Come prima cosa, creeremo (con i permessi di root) un nuovo file kill-zombie

cd /root
vi kill-zombies

In seguito copiamo il seguente codice ed incolliamolo nel file appena creato

#! /bin/bash
#
# Zombie processes killing script. Must be run under root.
 
case "$1" in
--admin)
stat=`ps ax | awk '{print $1}' | grep -v "PID" | xargs -n 1 ps lOp | grep -v "UID" | awk '{print"pid: "$3" *** parent_pid: "$4" *** status: "$10" *** process: "$13}' | grep ": Z"`
 
if ((${#stat} > 0));then
echo zombie processes found:
echo .
ps ax | awk '{print $1}' | grep -v "PID" | xargs -n 1 ps lOp | grep -v "UID" | awk '{print"pid: "$3" *** parent_pid: "$4" *** status: "$10" *** process: "$13}' | grep ": Z"
echo -n "Kill zombies? [y/n]: "
read keyb
if [ $keyb == 'y' ];then
echo killing zombies..
ps ax | awk '{print $1}' | grep -v "PID" | xargs -n 1 ps lOp | grep -v "UID" | awk '{print$4" status:"$10}' | grep "status:Z" | awk '{print $1}' | xargs -n 1 kill -9
fi
else
echo no zombies found!
fi
;;
--cron)
stat=`ps ax | awk '{print $1}' | grep -v "PID" | xargs -n 1 ps lOp | grep -v "UID" | awk '{print"pid: "$3" *** parent_pid: "$4" *** status: "$10" *** process: "$13}' | grep ": Z"`
if ((${#stat} > 0));then
ps ax | awk '{print $1}' | grep -v "PID" | xargs -n 1 ps lOp | grep -v "UID" | awk '{print$4" status:"$10}' | grep "status:Z" | awk '{print $1}' | xargs -n 1 kill -9
echo `date`": killed some zombie processes!" >> /var/log/zombies.log
fi
;;
*) echo 'usage: kill-zombies {--cron|--admin}'
;;
esac
exit 0

Ora rendiamolo eseguibile e spostiamolo in /usr/bin

chmod +x kill-zombies
mv kill-zombies /usr/bin

FUNZIONAMENTO

Lo script viene evocato con un flag, che ne modifica il comportamento:

kill-zombies --admin

L’esecuzione avviene manualmente. Se vengono rilevati processi zombie l’utente ne viene informato e deve confermare l’operazione

kill-zombies --cron

Lo script dovrà essere inserito nel crontab e richiamato quindi a cadenze regolari dal server. I processi vengono killati in automatico e ne viene lasciata traccia in /var/log/zombies.log

INSERIMENTO NEL CRONTAB

Richiamiamo l’editor del crontab con questo comando

crontab -e

Ed inseriamo questa riga:

*/10 * * * * /usr/bin/kill-zombies --cron

In questo modo, lo script verrà eseguito ogni 10 minuti a cadenza regolare. In caso si voglia modificare l’intervallo di tempo, sarà sufficiente cambiare ad esempio */10 in */5 (per 5 minuti)

Download zombies.sh (1 KB)

Riferimenti: