https://wiki.eigenlab.org/api.php?action=feedcontributions&feedformat=atom&user=KibaEigenWiki - Contributi dell'utente [it]2026-06-02T15:55:27ZContributi dell'utenteMediaWiki 1.45.1https://wiki.eigenlab.org/index.php?title=XMPP&diff=4655XMPP2017-03-16T16:00:25Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
Esistono molti programmi per usare XMPP (client) per diverse piattaforme: [http://xmpp.org/software/clients.html qui] trovi una lista di client per Linux, Windows, OSX, iOS (iPhone), Android, Nokia Symbian e perfino da browser e da console. In questa pagina troverete le istruzioni per [[XMPP#Gajim|Gajim]] (PC) e [[XMPP#Conversations|Conversations]] (Android).<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
===OTR===<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [[XMPP#Gajim]] (desktop) e [[XMPP#Conversations]] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
===OMEMO===<br />
[[File:Omemo-fish.png|miniatura|destra|l'icona a fesciolino di OMEMO]]<br />
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Gajim ==<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
=== Installazione ===<br />
====Arch====<br />
Bisogna avere l'AUR abilitato e installare i pacchetti con<br />
<br />
<code>yaourt -S gajim gajim-plugin-omemo gajim-plugin-httpupload python2-qrcode python2-future</code><br />
<br />
Su alcuni laptop Gajim si inchioda all'uscita dal programma e questo problema sembra risolversi installando il pacchetto <code>python2-dbus</code>.<br />
<br />
====Debian====<br />
Bisogna abilitare ''jessie-backports'': apri <code>sudo nano /etc/apt/sources.list</code> e aggiungi al file la riga:<br />
<pre>deb http://ftp.debian.org/debian jessie-backports main</pre><br />
<br />
Poi salvarlo e chiuderlo. Dare i comandi<br />
<pre><br />
sudo aptitude update<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
</pre><br />
<br />
=== Configurazione ===<br />
====Account====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>.<br />
C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Se sei non in linea o desincronizzatu, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
====Contatti====<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Se capita di risultare offline ad un contatto, oppure di vedere offline chi è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in <code>Gestisci il contatto → Abbonamento</code> clicca su <code>Permetti al contatto di vedere il mio stato</code> e <code>Chiedi al contatto di poter vedere il suo stato</code>.<br />
<br />
====MUC (Multi User Chat)====<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code>.<br />
<br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>.<br />
Selezionando "Entra automaticamente in questa stanza alla connessione", Gajim entrerà nella stanza al momento del login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella stanza: <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
====Chiamate e videochiamate====<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. <br />
<br />
In Arch installare <code>farstream</code>. <br />
<br />
In Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code>.<br />
<br />
=== Plugin ===<br />
[[File:Xmpp-file-image-http-upload-gatti.png|miniatura|Per sparare gattini in una chat (anche di gruppo) puoi usare ''send image via http upload'' (tasto celeste). Puoi inviare file di qualsiasi tipo con ''send file via http upload'' (tasto con la freccia verde).]]<br />
<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code>.<br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
Di seguito alcuni plugin particolarmente utili:<br />
<br />
* '''Client icons''': Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* '''Emoticons pack''': Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* '''Httpupload''': Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* '''Url image preview''': Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Se avete seguito questa guida avrete installato anche OMEMO, che però andrà attivato come un qualsiasi altro plugin, seguite il punto precedente.<br />
<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi: non impanicatevi, è normale. Quando avrà finito sarete a un passo dal chattare in sicurezza.<br />
<br />
Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce [[File:OmemoGajimFish LowRes.png|inline|baseline]] da cui si può abilitare OMEMO nella chat. <br />
<br />
Cliccando "fingerprints" si possono verificare le fingerprint del contatto. <br />
<br />
Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code> dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
=== Problemi ===<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
<br />
== Conversations== <br />
Il migliore client per Android per numero di XEP integrate. <br />
Puoi installarlo con [[Installare_F-droid#Conversations|F-droid]]; c'è anche nel PlayStore, ma a pagamento.<br />
<br />
===Account===<br />
[[File:ConversationUserPass.jpg|miniatura|sinistra|Inserisci l'ID Jabber e la password e inizia a chattare!]]<br />
<br />
Per aggiungere un account devi andare in <code>Menu → Gestisci utenti</code>: qui troverai un tastino con un omino stilizzato e un più [[File:AddAccount Conversation.jpg|22px|inline|baseline]]. Cliccaci e otterrai una schermata che ti chiede jabberID e password, inseriscili e sei prontu a chattare!<br />
<br />
Dal menu "Gestisci utenti" puoi fare una serie di altre opreazioni utili che riguardano il tuo account, come <br />
* Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
* Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar.<br />
<br />
===Contatti, chat e MUC (Multi User Chat)===<br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, cliccaci sopra per aprirle, swipe a destra o sinistra per chiuderle.<br />
<br />
Se dovessi farlo per errore non preoccuparti: '''non''' hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
====Aggiungere contatti e MUC====<br />
In alto a destra c'è una icona con un grosso "più": [[File:ConversationContacts.jpg|22px|inline|baseline]]<br />
Cliccandoci troverai l'elenco dei contatti e delle MUC; in alto a destra ci sono, nelle rispettive schede, i tasti per aggiungere contatti [[File:AddAccount Conversation.jpg|22px|inline|baseline]] e MUC [[File:ConversationJoinMUC.jpg|22px|inline|baseline]].<br />
<br />
====Random settings====<br />
Conversations di default non mostra se i contatti sono online o meno, ma si può in parte porre rimedio nelle impostazioni: <br />
* il pulsante "invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto<ref>verde=disponibile, rosso=occupato, arancione=assente, grigio=offline.</ref>, <br />
* "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
In una chat di gruppo, cliccando su "Dettagli conferenza" è possibile visualizzare l'elenco degli iscritti.<br />
<br />
=== OMEMO ===<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. <br />
<br />
È buona norma verificare questa fingerprint tramite altro mezzo, tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
====Verifica delle chiavi====<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code>. A questo punto si aprirà l'app per fotografare il QR.<ref>I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio. Per aiutare la messa a fuoco può essere anche utile mettersi un po' a giocare con la luminosità dello schermo.</ref><br />
<br />
Per visualizzare il QR della propria fingerprint clicca sul tuo avatar oppure vai in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> <br />
<br />
Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi", sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. <br />
<br />
È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
=== Integrazione in Sailfish OS ===<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. <br />
<br />
Per risolvere si può installare ''Android apps notifications'' da [http://openrepos.net Warehouse] e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<pre><br />
Conversations;chat,chat_exists<br />
package:eu.siacs.conversations;chat,chat_exists<br />
</pre><br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da [[Installare_F-droid|F-droid]] (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
<br />
Per rimanere sempre online e ricevere notifiche anche dopo aver chiuso la finestra di Conversation (in modo simile a quanto succede in android), bisogna consentire all'applicazione di eseguire servizi in backgroud all'avvio, in <code>Impostazioni → Applicazioni → Conversations</code> e poi selezionare "Mantieni il servizio in primo piano" nelle impostazioni avanzate di Conversations.<br />
<br />
==Altri Client==<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4622XMPP2017-01-21T18:34:15Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [[XMPP#Gajim]] (desktop) e [[XMPP#Conversations]] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
[[File:Omemo-fish.png|bottom]] Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Esistono molti programmi per usare XMPP (client) per diverse piattaforme: [http://xmpp.org/software/clients.html qui] trovi una lista di client per Linux, Windows, OSX, iOS (iPhone), Android, Nokia Symbian e perfino da browser e da console. Ad oggi abbiamo preparato qui sotto le istruzioni per [[XMPP#Gajim|Gajim]] (per PC) e [[XMPP#Conversations|Conversations]] (per Android).<br />
<br />
=== Gajim ===<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
==== Installazione ====<br />
In Arch bisogna avere l'AUR abilitato e installare i pacchetti con: <br />
<code>yaourt -S gajim gajim-plugin-omemo python2-qrcode python2-future</code>. Su alcuni laptop Gajim si inchioda all'uscita dal programma e questo problema sembra risolversi installando il pacchetto <code>python2-dbus</code>.<br />
<br />
In Debian stable bisogna abilitare ''jessie-backports'': <code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code> nel file; poi salvarlo e chiuderlo e dare i comandi<br />
<br />
<code><br />
sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode<br />
</code><br />
<br />
==== Configurazione ====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Se capita di risultare offline ad un contatto, oppure di vedere offline chi è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in <code>Gestisci il contatto → Abbonamento</code> clicca su <code>Permetti al contatto di vedere il mio stato</code> e <code>Chiedi al contatto di poter vedere il suo stato</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzatu, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare <code>farstream-0.1</code> mentre in Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code><br />
<br />
==== Plugin ====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code>.<br />
<br />
[[File:Xmpp-file-image-http-upload-gatti.png|miniatura|Per sparare gattini in una chat (anche di gruppo) puoi usare ''send image via http upload'' (tasto celeste). Puoi inviare file di qualsiasi tipo con ''send file via http upload'' (tasto con la freccia verde).]]<br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce, da cui si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
==== Problemi ====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
Il migliore client per Android per numero di XEP integrate. Puoi installarlo con [[Installare_F-droid#Conversations|F-droid]]; c'è anche nel PlayStore, ma a pagamento.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
Il tasto<code>+</code> mostra l'elenco dei contatti e delle MUC (chatroom / chat di gruppo). Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar.<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: <br />
* il pulsante "invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto<ref>verde=disponibile rosso=occupato arancione=assente grigio=offline</ref>, <br />
* "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
In una chat di gruppo, cliccando su "Dettagli conferenza" è possibile visualizzare l'elenco degli iscritti.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
===== Integrazione in Sailfish OS =====<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. Per risolvere si può installare ''Android apps notifications'' da Warehouse (openrepos.net) e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<br />
<code>Conversations;chat,chat_exists<br />
<br />
package:eu.siacs.conversations;chat,chat_exists</code><br />
<br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da [[Installare_F-droid|F-droid]] (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
<br />
Per rimanere sempre online e ricevere notifiche anche dopo aver chiuso la finestra di Conversation (in modo simile a quanto succede in android), bisogna consentire all'applicazione di eseguire servizi in backgroud all'avvio, in <code>Impostazioni → Applicazioni → Conversations</code> e poi<br />
selezionare "Mantieni il servizio in primo piano" nelle impostazioni avanzate di Conversations.<br />
<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4621XMPP2017-01-18T21:39:58Z<p>Kiba: /* OMEMO */</p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [[XMPP#Gajim]] (desktop) e [[XMPP#Conversations]] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
[[File:Omemo-fish.png|bottom]] Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Esistono molti programmi per usare XMPP (client) per diverse piattaforme: [http://xmpp.org/software/clients.html qui] trovi una lista di client per Linux, Windows, OSX, iOS (iPhone), Android, Nokia Symbian e perfino da browser e da console. Ad oggi abbiamo preparato qui sotto le istruzioni per [[XMPP#Gajim|Gajim]] (per PC) e [[XMPP#Conversations|Conversations]] (per Android).<br />
<br />
=== Gajim ===<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
==== Installazione ====<br />
In Arch bisogna avere l'AUR abilitato e installare i pacchetti con: <br />
<code>yaourt -S gajim gajim-plugin-omemo python2-qrcode python2-future</code>. Su alcuni laptop Gajim si inchioda all'uscita dal programma e questo problema sembra risolversi installando il pacchetto <code>python2-dbus</code>.<br />
<br />
In Debian stable bisogna abilitare ''jessie-backports'': <code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code> nel file; poi salvarlo e chiuderlo e dare i comandi<br />
<br />
<code><br />
sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode<br />
</code><br />
<br />
==== Configurazione ====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Se capita di risultare offline ad un contatto, oppure di vedere offline chi è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in <code>Gestisci il contatto → Abbonamento</code> clicca su <code>Permetti al contatto di vedere il mio stato</code> e <code>Chiedi al contatto di poter vedere il suo stato</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzatu, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare <code>farstream-0.1</code> mentre in Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code><br />
<br />
==== Plugin ====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code>.<br />
<br />
[[File:Xmpp-file-image-http-upload-gatti.png|miniatura|Per sparare gattini in una chat (anche di gruppo) puoi usare ''send image via http upload'' (tasto celeste). Puoi inviare file di qualsiasi tipo con ''send file via http upload'' (tasto con la freccia verde).]]<br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce, da cui si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
==== Problemi ====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
Il migliore client per Android per numero di XEP integrate. Puoi installarlo con [[Installare_F-droid#Conversations|F-droid]]; c'è anche nel PlayStore, ma a pagamento.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
Il tasto<code>+</code> mostra l'elenco dei contatti e delle MUC (chatroom / chat di gruppo). Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar.<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: <br />
* il pulsante "invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto<ref>verde=disponibile rosso=occupato arancione=assente grigio=offline</ref>, <br />
* "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
===== Integrazione in Sailfish OS =====<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. Per risolvere si può installare ''Android apps notifications'' da Warehouse (openrepos.net) e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<br />
<code>Conversations;chat,chat_exists<br />
<br />
package:eu.siacs.conversations;chat,chat_exists</code><br />
<br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da [[Installare_F-droid|F-droid]] (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
<br />
Per rimanere sempre online e ricevere notifiche anche dopo aver chiuso la finestra di Conversation (in modo simile a quanto succede in android), bisogna consentire all'applicazione di eseguire servizi in backgroud all'avvio, in <code>Impostazioni → Applicazioni → Conversations</code><br />
<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4620XMPP2017-01-15T12:44:50Z<p>Kiba: /* Integrazione in Sailfish OS */</p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [[XMPP#Gajim]] (desktop) e [[XMPP#Conversations]] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
[[File:Omemo-fish.png|bottom]] Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Esistono molti programmi per usare XMPP (client) per diverse piattaforme: [http://xmpp.org/software/clients.html qui] trovi una lista di client per Linux, Windows, OSX, iOS (iPhone), Android, Nokia Symbian e perfino da browser e da console. Ad oggi abbiamo preparato qui sotto le istruzioni per [[XMPP#Gajim|Gajim]] (per PC) e [[XMPP#Conversations|Conversations]] (per Android).<br />
<br />
=== Gajim ===<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
==== Installazione ====<br />
In Arch bisogna avere l'AUR abilitato e installare i pacchetti con: <br />
<code>yaourt -S gajim gajim-plugin-omemo python2-qrcode python2-future</code>. Su alcuni laptop Gajim si inchioda all'uscita dal programma e questo problema sembra risolversi installando il pacchetto <code>python2-dbus</code>.<br />
<br />
In Debian stable bisogna abilitare ''jessie-backports'': <code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code> nel file; poi salvarlo e chiuderlo e dare i comandi<br />
<br />
<code><br />
sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode<br />
</code><br />
<br />
==== Configurazione ====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Se capita di risultare offline ad un contatto, oppure di vedere offline chi è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in <code>Gestisci il contatto → Abbonamento</code> clicca su <code>Permetti al contatto di vedere il mio stato</code> e <code>Chiedi al contatto di poter vedere il suo stato</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzatu, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare <code>farstream-0.1</code> mentre in Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code><br />
<br />
==== Plugin ====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code>.<br />
<br />
[[File:Xmpp-file-image-http-upload-gatti.png|miniatura|Per sparare gattini in una chat (anche di gruppo) puoi usare ''send image via http upload'' (tasto celeste). Puoi inviare file di qualsiasi tipo con ''send file via http upload'' (tasto con la freccia verde).]]<br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Può darsi che il plugin updater di Gajim chieda di aggiornare il plugin OMEMO, perchè è stato installato tramite il gestore di pacchetti e non internamente: in tal caso va risposto sempre di no.<br />
<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce, da cui si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
==== Problemi ====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
Il migliore client per Android per numero di XEP integrate. Puoi installarlo con [[Installare_F-droid#Conversations|F-droid]]; c'è anche nel PlayStore, ma a pagamento.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
Il tasto<code>+</code> mostra l'elenco dei contatti e delle MUC (chatroom / chat di gruppo). Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar.<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: <br />
* il pulsante "invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto<ref>verde=disponibile rosso=occupato arancione=assente grigio=offline</ref>, <br />
* "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
===== Integrazione in Sailfish OS =====<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. Per risolvere si può installare ''Android apps notifications'' da Warehouse (openrepos.net) e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<br />
<code>Conversations;chat,chat_exists<br />
<br />
package:eu.siacs.conversations;chat,chat_exists</code><br />
<br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da [[Installare_F-droid|F-droid]] (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
<br />
Per rimanere sempre online e ricevere notifiche anche dopo aver chiuso la finestra di Conversation (in modo simile a quanto succede in android), bisogna consentire all'applicazione di eseguire servizi in backgroud all'avvio, in <code>Impostazioni → Applicazioni → Conversations</code><br />
<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=4616KVM2016-12-23T22:33:39Z<p>Kiba: </p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br />
<br />
= Configurazione =<br />
20GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br /><br />
<br />
<br />
==Tasksel==<br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp console-data debian-goodies ntp<br />
</pre><br />
<br />
==Software per log e sicurezza==<br />
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
* tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
* rkhunter: cerca rootkit sul sitema<br />
* unhide: cerca processi nascosti<br />
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
* clamav: antivirus<br />
<br />
Alcuni sono pesanti ed è inutile farli girare sempre<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
chmod -x /etc/cron.daily/tripwire<br />
</pre><br />
<br />
==Aggiornare i pacchetti==<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude update && aptitude full-upgrade<br />
</pre><br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-file update<br />
update-command-not-found<br />
</pre><br />
<br />
= Dopo aver clonato =<br />
'''bisogna modificare questi file'''<br />
* /etc/network/interfaces ''(cambiare ip)''<br />
* /etc/hostname ''(aggiornare hostname)''<br />
* /etc/hosts<br />
e per evitare che tutte le chiavi del server ssh siano uguali<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server<br />
</pre><br />
<br />
==Installare monkeysphere==<br />
Inserire, uno per riga, gli id delle chiavi [[PGP]] da autorizzare (es. ''Tizio <tizio@eigenlab.org>'').<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
mkdir .monkeysphere<br />
nano .monkeysphere/authorized_user_ids<br />
</pre><br />
Impostare il certificatore, ovvero la chiave che deve firmare tutte le chiavi in ''authorized_user_ids'' affinchè queste possano accedere. È necessario inserire la fingerprint completa (senza spazi) e non l'ID composto da 8 cifre.<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication c+ CHIAVE<br />
</pre><br />
Aggiornare la lista delle chiavi autorizzate in modo che gli utenti inseriti possano accedere al server<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication update-users<br />
</pre><br />
<br />
==Iptables==<br />
Iptables è configurato in modo da droppare tutto il traffico in ingresso ad eccezione di ssh. Le regole caricate all'avvio del sistema si trovano in /etc/iptables/rules.v4 per ipv4 e /etc/iptables/rules.v6 per ipv6.<br />
<br />
Per aprire un'altra porta si usano i comandi<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
iptables -A INPUT -p tcp -m tcp --dport PORTA -m state --state NEW -j ACCEPT<br />
ip6tables -A INPUT -p tcp -m tcp --dport PORTA -m state --state NEW -j ACCEPT<br />
</pre><br />
<br />
E per rendere permanenti le regole impostate<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
iptables-save > /etc/iptables/rules.v4<br />
ip6tables-save > /etc/iptables/rules.v6<br />
</pre><br />
<br />
= Modifiche ai file di configurazione nelle VM =<br />
<br />
====/etc/rkhunter.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
</pre><br />
<br />
====.bashrc====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
</pre><br />
<br />
====/etc/ssh/sshd_config====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
</pre><br />
<br /><br />
Per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br /><br />
<br />
====/root/.ssh/authorized_keys====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
</pre><br />
<br />
====/etc/monkeysphere/monkeysphere-authentication.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
</pre><br />
<br />
====/etc/crontab====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
</pre><br />
<br />
====/etc/iptables/rules.v4====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:176]<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmp --icmp-type source-quench -j ACCEPT<br />
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/iptables/rules.v6====<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m rt --rt-type 0 -j DROP<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT<br />
<br />
-A INPUT -s fe80::/10 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/resolv.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
</pre><br />
<br />
<br />
====/etc/network/interfaces====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.0.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::1<br />
</pre><br />
<br />
====/etc/pam.d/su====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auth required pam_wheel.so<br />
</pre><br />
<br />
====/etc/ssmtp/ssmtp.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
</pre><br />
<br /></div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=4615KVM2016-12-23T22:21:27Z<p>Kiba: </p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br />
<br />
= Configurazione =<br />
20GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br /><br />
<br />
<br />
==tasksel==<br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp console-data debian-goodies ntp<br />
</pre><br />
<br />
==software per log e sicurezza==<br />
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
* tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
* rkhunter: cerca rootkit sul sitema<br />
* unhide: cerca processi nascosti<br />
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
* clamav: antivirus<br />
<br />
Alcuni sono pesanti ed è inutile farli girare sempre<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
chmod -x /etc/cron.daily/tripwire<br />
</pre><br />
<br />
==aggiornare i pacchetti==<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude update && aptitude full-upgrade<br />
</pre><br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-file update<br />
update-command-not-found<br />
</pre><br />
<br />
= Dopo aver clonato =<br />
'''bisogna modificare questi file'''<br />
* /etc/network/interfaces ''(cambiare ip)''<br />
* /etc/hostname ''(aggiornare hostname)''<br />
* /etc/hosts<br />
e per evitare che tutte le chiavi del server ssh siano uguali<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server<br />
</pre><br />
<br />
==installare monkeysphere==<br />
Inserire, uno per riga, gli id delle chiavi [[PGP]] da autorizzare (es. ''Tizio <tizio@eigenlab.org>'').<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
mkdir .monkeysphere<br />
nano .monkeysphere/authorized_user_ids<br />
</pre><br />
Impostare il certificatore, ovvero la chiave che deve firmare tutte le chiavi in ''authorized_user_ids'' affinchè queste possano accedere. È necessario inserire la fingerprint completa (senza spazi) e non l'ID composto da 8 cifre.<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication c+ chiave<br />
</pre><br />
Aggiornare la lista delle chiavi autorizzate in modo che gli utenti inseriti possano accedere al server<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication update-users<br />
</pre><br />
<br />
<br />
= Modifiche ai file di configurazione nelle VM =<br />
<br />
====/etc/rkhunter.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
</pre><br />
<br />
====.bashrc====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
</pre><br />
<br />
====/etc/ssh/sshd_config====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
</pre><br />
<br /><br />
Per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br /><br />
<br />
====/root/.ssh/authorized_keys====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
</pre><br />
<br />
====/etc/monkeysphere/monkeysphere-authentication.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
</pre><br />
<br />
====/etc/crontab====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
</pre><br />
<br />
====/etc/iptables/rules.v4====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:176]<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmp --icmp-type source-quench -j ACCEPT<br />
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/iptables/rules.v6====<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m rt --rt-type 0 -j DROP<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT<br />
<br />
-A INPUT -s fe80::/10 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/resolv.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
</pre><br />
<br />
<br />
====/etc/network/interfaces====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.0.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::1<br />
</pre><br />
<br />
====/etc/pam.d/su====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auth required pam_wheel.so<br />
</pre><br />
<br />
====/etc/ssmtp/ssmtp.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
</pre><br />
<br /></div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=4614KVM2016-12-23T22:20:29Z<p>Kiba: </p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br />
<br />
= Configurazione =<br />
100GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br /><br />
<br />
<br />
==tasksel==<br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp console-data debian-goodies ntp<br />
</pre><br />
<br />
==software per log e sicurezza==<br />
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
* tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
* rkhunter: cerca rootkit sul sitema<br />
* unhide: cerca processi nascosti<br />
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
* clamav: antivirus<br />
<br />
Alcuni sono pesanti ed è inutile farli girare sempre<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
chmod -x /etc/cron.daily/tripwire<br />
</pre><br />
<br />
==aggiornare i pacchetti==<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude update && aptitude full-upgrade<br />
</pre><br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-file update<br />
update-command-not-found<br />
</pre><br />
<br />
= Dopo aver clonato =<br />
'''bisogna modificare questi file'''<br />
* /etc/network/interfaces ''(cambiare ip)''<br />
* /etc/hostname ''(aggiornare hostname)''<br />
* /etc/hosts<br />
e per evitare che tutte le chiavi del server ssh siano uguali<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server<br />
</pre><br />
<br />
==installare monkeysphere==<br />
Inserire, uno per riga, gli id delle chiavi [[PGP]] da autorizzare (es. ''Tizio <tizio@eigenlab.org>'').<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
mkdir .monkeysphere<br />
nano .monkeysphere/authorized_user_ids<br />
</pre><br />
Impostare il certificatore, ovvero la chiave che deve firmare tutte le chiavi in ''authorized_user_ids'' affinchè queste possano accedere. È necessario inserire la fingerprint completa (senza spazi) e non l'ID composto da 8 cifre.<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication c+ chiave<br />
</pre><br />
Aggiornare la lista delle chiavi autorizzate in modo che gli utenti inseriti possano accedere al server<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
monkeysphere-authentication update-users<br />
</pre><br />
<br />
<br />
= Modifiche ai file di configurazione nelle VM =<br />
<br />
====/etc/rkhunter.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
</pre><br />
<br />
====.bashrc====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
</pre><br />
<br />
====/etc/ssh/sshd_config====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
</pre><br />
<br /><br />
Per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br /><br />
<br />
====/root/.ssh/authorized_keys====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
</pre><br />
<br />
====/etc/monkeysphere/monkeysphere-authentication.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
</pre><br />
<br />
====/etc/crontab====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
</pre><br />
<br />
====/etc/iptables/rules.v4====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:176]<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmp --icmp-type source-quench -j ACCEPT<br />
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/iptables/rules.v6====<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [0:0]<br />
<br />
-A INPUT -i lo -j ACCEPT<br />
<br />
-A INPUT -m rt --rt-type 0 -j DROP<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT<br />
<br />
-A INPUT -s fe80::/10 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT<br />
-A INPUT -m conntrack --ctstate INVALID -j DROP<br />
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br />
<br />
-A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT<br />
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT<br />
<br />
-A INPUT -p tcp --dport 22 -j ACCEPT<br />
<br />
COMMIT<br />
</pre><br />
<br />
====/etc/resolv.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
</pre><br />
<br />
<br />
====/etc/network/interfaces====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.0.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::1<br />
</pre><br />
<br />
====/etc/pam.d/su====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auth required pam_wheel.so<br />
</pre><br />
<br />
====/etc/ssmtp/ssmtp.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
</pre><br />
<br /></div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4564XMPP2016-12-16T23:12:01Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [https://gajim.org/ Gajim] (desktop) e [https://conversations.im/ Conversations] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Come si fa in generale a:<br />
* cambiare la password?<br />
* trovare nuovi contatti / chatroom?<br />
* gestione sullo smartfono?<br />
<br />
=== Gajim ===<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
==== Installazione ====<br />
In Arch bisogna avere l'AUR abilitato e installare i pacchetti con: <br />
<br />
<code>yaourt -S gajim gajim-plugin-omemo python2-qrcode</code>.<br />
<br />
In Debian stable bisogna abilitare ''jessie-backports'': <code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code> nel file; poi salvarlo e chiuderlo e dare i comandi<br />
<br />
<code><br />
sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode<br />
</code><br />
<br />
==== Configurazione ====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Se capita di risultare offline ad un contatto, oppure di vedere offline chi è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in <code>Gestisci il contatto → Abbonamento</code> clicca su <code>Permetti al contatto di vedere il mio stato</code> e <code>Chiedi al contatto di poter vedere il suo stato</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzato, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare <code>farstream-0.1</code> mentre in Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code><br />
<br />
==== Plugin ====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code><br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Plugin updater chiederà di aggiornare il plugin OMEMO perchè è stato installato tramite il gestore di pacchetti e non internamente. Va risposto sempre di no.<br />
<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce, da cui si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
==== Problemi ====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
Il migliore client per Android per numero di XEP integrate.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
<code>+</code> mostra l'elenco dei contatti e delle MUC. Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: "il pulsante invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto (verde-disponibile rosso-occupato arancione-assente grigio-offline), "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
===== Integrazione in Sailfish OS =====<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. Per risolvere si può installare ''Android apps notifications'' da Warehouse (openrepos.net) e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<br />
<code>Conversations;chat,chat_exists<br />
<br />
package:eu.siacs.conversations;chat,chat_exists</code><br />
<br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da F-droid (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=Cloud&diff=4563Cloud2016-12-16T21:55:03Z<p>Kiba: </p>
<hr />
<div>[[File:NextCloudLogin.jpg|miniatura|Giovannina cerca di ricordarsi la password.]]<br />
Abbiamo organizzato la nostra [https://cloud.eigenlab.org '''Cloud'''] autogestita, così da rimanere in possesso dei dati che condividiamo e decidere insieme le policy da adottare.<br />
Praticamente un servizio come [https://www.dropbox.com/ Dropbox], ma molto più bello.<br />
<br />
È sufficiente passarsi un link per condividere un file o una cartella sul cloud; la condivisione può essere pubblica oppure ristretta a certi gruppi, imponendo permessi etc.<br />
<br />
== Guida ==<br />
Il cloud gira su [[BitArno]] ed è raggiungibile all'indirizzo <code>https://cloud.eigenlab.org</code>.<br />
Una volta che i/le mantainer ti avranno creato un'utenza puoi accedere al cloud tramite un browser web inserendo le tue credenziali.<br />
[[File:CloudSharedFiles.jpg|miniatura|Vista di alcuni file condivisi.]]<br />
<br />
Di norma la prima pagina mostrata è un elenco di file condivisi; un sistema di permessi ti consente di caricare file e modificarli solo nelle cartelle condivise in cui hai i permessi ''di scrittura'', e di vedere e scaricare file nella cartelle condivise in cui hai i permessi ''di lettura''. Facile.<br />
<br />
In alto a sinistra c'è un menu da cui si può selezionare la pagina da utilizzare: file condivisi, calendari, contatti, il player audio, etc.<br />
<br />
=== Calendario ===<br />
Chi ha la mania dell'ordine trarrà grande giovamento dall'uso del calendario condiviso: si può tenere traccia degli appuntamenti e chiunque abbia accesso ad un dato calendario può aggiungere appuntamenti e accolli, segnando (facoltativamente): data, ora, luogo, durata, descrizione, etc.<br />
<br />
Ovviamente i veri ''pro'' non usano soltanto [https://cloud.eigenlab.org/apps/calendar l'interfaccia web] del calendario, ma lo sincronizzano con una applicazione<ref>ce ne sono miliardi</ref> sullo smartfone e/o con il client di posta elettronica; in questo modo sono sempre al corrente di tutte le cose da fare e all'erta grazie agli allarmi che suonano con anticipo programmato. Nervi in poltiglia per un'efficienza '''massima'''.<br />
<br />
# Apri quindi il tuo programma o la tua app e dille che vuoi aggiungere un nuovo calendario.<br />
# '''Se''' ti propone "locale", "su questo dispositivo", "privato" (o cose simili) in alternativa a "condiviso", "in rete" (o cose simili), scegli la seconda alternativa.<br />
# '''Se''' ti chiede di scegliere il "formato" o il "protocollo" scegli '''CalDAV'''.<br />
# Laddove ti chiede l'''indirizzo'' del calendario inserisci quello che compare cliccando su "Settings" in basso a sinistra, scegliendo tra ''Primary CalDAV Address'' e ''iOS/OS X CalDAV Address'' a seconda di dove ti porta il cuore.<br />
# Prima o poi ti verranno chieste le credenziali per l'accesso al cloud.<br />
# Gòditi la tua nuova ansia tecnologica.<br />
<br />
[[HowToOCsync|Qui]] una guida passo passo per DavDroid, un app open source che può essere scaricata da F-Droid, funziona su piattaforma Android<br />
<br />
== nextCloud ==<br />
[http://cloud.eigenlab.org nextCloud] è l'implementazione di cloud computing che abbiamo scelto. Nativamente supporta lo web-storage una rubrica sincronizzabile tramite CardDav con tutti i dispositivi che supportano tale protocollo, un calendario sicronizzabile tramite CalDav, un riproduttore musicale integrato che legge dalla collezione locale. È estensibile grazie alle applicazioni [apps.owncloud.com] che possono essere installate facilmente.<br />
<br />
=== Collegamenti esterni ===<br />
* [https://nextcloud.com/support/ Guide e manuali]<br />
* [https://nextcloud.com Sito del progetto]<br />
<br />
<br />
[[Categoria:eigenNet]]<br />
[[Categoria:Autoformazione]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=HowToOCsync&diff=4562HowToOCsync2016-12-16T21:54:40Z<p>Kiba: </p>
<hr />
<div>Abbiamo un istanza di [https://owncloud.org/ Owncloud] su un server della rete, ottimo, mo che ci facciamo? Oltre a poterlo usare per caricare i files e condividerli con gruppi/utenti/tiziaccasosuinternet lo possiamo pure usare per evitare di sincronizzare la nostra rubrica e i nostri calendari con Google.<br />
=Il problema=<br />
Di default da una certa versione di Android i contatti vengono automaticamente sincronizzati coi server di Google, se non si desidera bisogna esplicitamente dirgli di non farlo ed usare un account locale. <br />
Da Android 6 invece non è più possibile (almeno sui telefoni sui quali ho messo le mani) avere account locali e quindi i contatti e calendari sono *forzatamente* caricati su google.<br />
=La svolta=<br />
La nostra istanza di owncloud ha abilitato il modulo per i contatti, quello per il calendario ed anche un modulo per le todolist, vediamo come usarli:<br />
<br />
'''WARNING''' Caricando i tuoi dati ti stai fidando del proprietario del server e di chi ha accesso alla macchina, chiunque con un accesso alla macchina potrà leggere i dati caricati<br />
<br />
==Contatti==<br />
La tecnologia che OC usa per syncronizzare il contatti è [https://en.wikipedia.org/wiki/CardDAV carddav], il nostro server forza l'uso di HTTPS (connessioni cifrate fra dispositivo e server verificate da StarCom) quindi i dati non viaggiano mai in "chiaro" sulla rete, nè Internet ne eigenNet. <br />
====Cosa ci serve:====<br />
* Uno smartphone/computer/tablet o qualsiasi cosa che possa usare carddav e abbia una rubrica<br />
* Per Android l'app [https://f-droid.org/repository/browse/?fdfilter=davdroid&fdid=at.bitfire.davdroid Davdroid] installabile da [https://f-droid.org/about/ F-droid] (Un repository aggiuntivo per applicazioni OpenSource per android)<br />
* Un account sul nostro [https://cloud.eigenlab.org/owncloud/ Owncloud]<br />
* Internet/eigenNet<br />
<br />
E ora con ordine:<br />
# [[Installare F-droid]]<br />
# Cerca l'app 'Davdroid ed installala<br />
# Apri Davdroid<br />
<gallery><br />
File:Davdroid.png| Pigia sulla chiave col + <br />
File:DavdroidLogin.png<br />
File:DavLogin.png <br />
File:DavNext.png|L'indirizzo da inserire è cloud.eigenlab.org e le credenziali personali<br />
File:DavContacts.png|Seleziona le rubriche che vuoi sincronizzare, ce ne possono essere più di una<br />
File:DavFinal.png <br />
File:Accounts.png<br />
File:DavDatails.png<br />
File:DavAccountDetails.png<br />
</gallery><br />
<br />
==Calendario==<br />
Tutto uguale ma seleziona<br />
[[File:DavCal.png|miniatura|none]]<br />
==Note==<br />
Tutto uguale ma selezionanone<br />
[[File:DavNotes.png |miniatura|none]]<br />
<br />
<br />
[[Categoria:HowTo]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=Foxtrot&diff=4561Foxtrot2016-12-16T21:51:56Z<p>Kiba: Redirect alla pagina KVM</p>
<hr />
<div>#REDIRECT [[KVM]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=Lista_dei_server_di_eigenNet&diff=4560Lista dei server di eigenNet2016-12-16T21:51:41Z<p>Kiba: </p>
<hr />
<div>Questa è la lista dei [[server]] e dei relativi servizi attivi sulla rete [[eigenNet]].<br />
Ogni server è raggiungibile internamente come $(nomeserver).eigenlab.org, esternamente solo i server con IP pubblico.<br />
<br />
{| class="wikitable"<br />
|+ Server autogestiti<br />
|- <br />
! Host !! Virtuale !! Utilizzo<br />
|-<br />
|colspan="2"|[[Foxtrot]]<br />
| Hypervisor [[KVM]].<br />
|-<br />
|rowspan="5"|[[Foxtrot]]<br />
|[[Curry]]<br />
|Webserver che ospita i siti di [https://exploitpisa.org/ exploit] e di [http://eigenlab.org eigenlab], questa wiki e il [[Pad|pad]].<br />
|-<br />
|[[Prezzemolo]]<br />
|Database.<br />
|-<br />
|[[Zenzero]]<br />
|Chat con [[XMPP]] e [[IRC]]; [[Email|mailserver]].<br />
|-<br />
|[[Cannella]]<br />
| Server [[DNS]]<br />
|-<br />
|whiteroom<br />
|N/A<br />
|-<br />
|colspan="2"|[[Bamboo]]<br />
|Calcoli e simulazioni, [[compilazione]], home e [[Bamboo#Sito_web_personale|homepage degli utenti]].<br />
|-<br />
|[[Bamboo]]<br />
|[[GitLab]]<br />
|Piattaforma di sviluppo collettivo con [[Git]].<br />
|-<br />
|colspan="2"|[[Eolo]]<br />
|[[Routing EigenNet|Routing]], [[VPN]].<br />
|-<br />
|colspan="2"|[[BitArno]]<br />
|[[Cloud]], streaming, bitTorrent.<br />
|-<br />
|colspan="2"|[[Moca]]<br />
|[[DNS]], DHCP, infrastruttura in Gagno.<br />
|-<br />
|colspan="2"|AM2-PC<br />
|PC comune situato nell'aula studio (AM2) di [[Exploit]]; per navigare, [[Scansione|scansionare]], stampare e [[Rilegatura|rilegare]] libri e appunti, etc.<br />
|}<br />
<br />
<br />
<br />
[[Categoria:eigenNet]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4559XMPP2016-12-15T16:03:12Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo significa che se hai un'utenza registrata su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro.<br />
<br />
XMPP fornisce una chat singola o di gruppo (detto anche ''"stanza"'', ''"chatroom"'', ''"conference"'' o ''"MUC"'') ed ha una rubrica per i contatti; inoltre è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi [[XMPP#Sicurezza|sotto]]).<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con [[PGP]] e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza ==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [https://gajim.org/ Gajim] (desktop) e [https://conversations.im/ Conversations] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Come si fa in generale a:<br />
* cambiare la password?<br />
* trovare nuovi contatti / chatroom?<br />
* gestione sullo smartfono?<br />
<br />
=== Gajim ===<br />
[[File:Gajim screenshot.jpg|miniatura|La grafica di Gajim è decisamente respingente, al momento. Ma il programma funziona benissimo e sui dettagli estetici ci stiamo lavorando.]]<br />
<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
==== Installazione ====<br />
In Arch bisogna avere l'AUR abilitato e installare i pacchetti con: <br />
<br />
<code>yaourt -S gajim gajim-plugin-omemo python2-qrcode</code>.<br />
<br />
In Debian stable bisogna abilitare ''jessie-backports'': <code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code> nel file; poi salvarlo e chiuderlo e dare i comandi<br />
<br />
<code><br />
sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode<br />
</code><br />
<br />
==== Configurazione ====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzato, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare <code>farstream-0.1</code> mentre in Debian e derivate <code>python-farstream</code> e <code>gstreamer-plugins-bad</code><br />
<br />
==== Plugin ====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code><br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin.'''<br />
<br />
==== OMEMO ====<br />
Plugin updater chiederà di aggiornare il plugin OMEMO perchè è stato installato tramite il gestore di pacchetti e non internamente. Va risposto sempre di no.<br />
<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce, da cui si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. uno smartphone con Conversations, più un pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
==== Problemi ====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
[[File:Conversations screenshot.jpg|miniatura|Una conversazione chat sul client Conversations per Android permette anche di scambiarsi immagini e altre delizie.]]<br />
<br />
Il migliore client per Android per numero di XEP integrate.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
<code>+</code> mostra l'elenco dei contatti e delle MUC. Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: "il pulsante invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto (verde-disponibile rosso-occupato arancione-assente grigio-offline), "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
<br />
===== Integrazione in Sailfish OS =====<br />
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led. Per risolvere si può installare ''Android apps notifications'' da Warehouse (openrepos.net) e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file <code>/usr/share/lipstick/androidnotificationpriorities</code> e aggiungere le righe:<br />
<br />
<code>Conversations;chat,chat_exists<br />
<br />
package:eu.siacs.conversations;chat,chat_exists</code><br />
<br />
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.<br />
<br />
<br />
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da F-droid (ad esempio ''AnySoftKeyboard'') e poi abilitare la nuova tastiera in Settings dopo aver installato ''Aliendalvik Control'' da Warehouse.<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4545XMPP2016-12-06T01:03:20Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo vuol dire che chiunque abbia un'istanza di un server XMPP può comunicare con il resto dell'intera rete anche se gli account di chat sono su server diversi. <br />
<br />
XMPP permette la messaggistica istantanea (chat) singola o a gruppi, ha una rubrica per i contatti, ed è tanto estensibile da permettere lo scambio di file, comunicazioni criptate, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta.<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band', se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo (chiamate anche chatroom, conferenze o stanze).<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con PGP e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza: OTR, PGP, OMEMO==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [https://gajim.org/ Gajim] (desktop) e [https://conversations.im/ Conversations] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Come si fa in generale a:<br />
* cambiare la password?<br />
* trovare nuovi contatti / chatroom?<br />
* gestione sullo smartfono?<br />
<br />
=== Gajim ===<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
===== Installazione =====<br />
In Arch <code>gajim gajim-omemo python2-qrcode</code> ''(da controllare)''<br />
<br />
In debian stable bisogna abilitare ''jessie-backports''<br />
<br />
<code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code><br />
<br />
Poi dare i comandi:<br />
<br />
<code>sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode</code><br />
<br />
===== Configurazione =====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Si può entrare in una MUC dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzato, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch <code>farstream-0.1</code> e in Debian e derivate <code>python-farstream e gstreamer-plugins-bad</code><br />
<br />
===== Plugin =====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code><br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin'''<br />
<br />
===== OMEMO =====<br />
Plugin updater chiederà di aggiornare il plugin OMEMO perchè è stato installato tramite il gestore di pacchetti e non internamente. Va risposto sempre di no.<br />
<br />
Dopo aver abilitato il plugin, Gajim si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce. Lì si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, es. smartphone con Conversations. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il QR-code utilizzato nella verifica da Conversations.<br />
<br />
===== Problemi =====<br />
Gajim sembra non supportare completamente Message Archiving per le MUC [https://trac.gajim.org/ticket/8036]<br />
<br />
Mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.<br />
<br />
=== Conversations=== <br />
Il migliore client per Android per numero di XEP integrate.<br />
<br />
La prima schermata mostra l'elenco delle chat aperte, lo swipe su una di queste consente di terminare una chat. Se dovessi farlo per errore non preoccuparti, non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.<br />
<br />
<code>+</code> mostra l'elenco dei contatti e delle MUC. Nelle rispettive schede si possono aggiungere amici e chat di gruppo.<br />
<br />
Cambiare la propria password: <code>Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password</code><br />
<br />
Impostare un avatar: <code>Menu → Gestisci utenti → <tuo utente></code> e poi clicca sull'avatar<br />
<br />
Conversations di default non mostra se i contatti sono online oppure offline, ma si può in parte porre rimedio nelle impostazioni: "il pulsante invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto (verde-disponibile rosso-occupato arancione-assente grigio-offline), "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando <code>Menu → Nascondi i contatti offline</code> saranno visibili solo i contatti online.<br />
<br />
===== OMEMO =====<br />
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare. È buona norma verificare questa fingerprint tramite altro mezzo. Tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.<br />
<br />
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in <code>Menu → Dettagli del contatto</code>, poi tenere premuto sulla fingerprint omemo e selezionare <code>Scan 2D Barcode</code> A questo punto si aprirà l'app per fotografare il QR. I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio.<br />
<br />
Si visualizza il QR della propria fingerprint cliccando sul proprio avatar oppure andando in <code>Menu → Gestisci utenti → <tuo utente></code> e poi <code>Menu → Show 2D Barcode</code> Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi" sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà <code>Scan 2D Barcode</code>.<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=XMPP&diff=4544XMPP2016-12-05T01:15:54Z<p>Kiba: </p>
<hr />
<div>'''XMPP''' è un protocollo di chat federato: questo vuol dire che chiunque abbia un'istanza di un server XMPP può comunicare con il resto dell'intera rete anche se gli account di chat sono su server diversi. <br />
<br />
XMPP permette la messaggistica istantanea (chat) singola o a gruppi, ha una rubrica per i contatti, ed è tanto estensibile da permettere lo scambio di file, comunicazioni criptate, e molto altro ancora.<br />
<br />
== Il nostro servizio XMPP ==<br />
Abbiamo installato [https://en.wikipedia.org/wiki/Prosody_(software) Prosody] sopra [[Zenzero]].<br />
Il server che abbiamo installato ha però 2 restrizioni importanti: <br />
* I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;<br />
* I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.<br />
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta.<br />
<br />
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band', se vuoi un'account scrivi a <code>info[at]eigenlab[dot]org</code>.<br />
<br />
=== Estensioni ===<br />
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:<br />
* MUC [http://xmpp.org/extensions/xep-0045.html XEP-0045] <code>conference.eigenlab.org</code> per le chat di gruppo.<br />
* SMACKS [https://modules.prosody.im/mod_smacks.html XEP-0198] per riesumare una sessione interrotta per la caduta della connessione.<br />
* MAM [https://modules.prosody.im/mod_mam.html XEP-0313] per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.<br />
* Carbons [https://modules.prosody.im/mod_carbons.html XEP-0280] Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni. <br />
* [https://modules.prosody.im/mod_csi.html CSI], [https://modules.prosody.im/mod_throttle_presence.html throttle presence] e [https://modules.prosody.im/mod_filter_chatstates.html filter_chatstates]. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo ''"il contatto sta scrivendo"'' quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...<br />
* HTTP File Upload [https://modules.prosody.im/mod_http_upload.html XEP-0363] consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con PGP e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.<br />
<br />
== Sicurezza: OTR, PGP, OMEMO==<br />
Con [https://en.wikipedia.org/wiki/Off-the-Record_Messaging OTR] é quasi impossibile avere le conversazioni cifrate fra ''dispositivi diversi usati dallo stesso account'', mentre con [https://gajim.org/ Gajim] (desktop) e [https://conversations.im/ Conversations] (Android) è possibile usare [https://conversations.im/omemo/ OMEMO], un nuovo protocollo di cifratura sviluppato per Signal che permette una cifratura indolore anche fra device diversi. L'unica pecca è che ancora poco supportato da altri client. <br />
<br />
Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.<br />
<br />
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. <br />
Conversation lo supporta di default, anche qui bisogna verificare la chiave del contatto.<br />
<br />
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.<br />
<br />
== Guida ==<br />
Come si fa in generale a:<br />
* cambiare la password?<br />
* trovare nuovi contatti / chatroom?<br />
* gestione sullo smartfono?<br />
<br />
=== Gajim ===<br />
[https://gajim.org/ Gajim] è il più completo client desktop per numero di plugin e di XEP recenti supportate.<br />
<br />
===== Installazione =====<br />
In Arch <code>gajim gajim-omemo python2-qrcode</code> ''(da controllare)''<br />
<br />
In debian stable bisogna abilitare ''jessie-backports''<br />
<br />
<code>sudo nano /etc/apt/sources.list</code> e aggiungere la riga <code>deb http://ftp.debian.org/debian jessie-backports main</code><br />
<br />
Poi dare i comandi:<br />
<br />
<code>sudo aptitude update<br />
<br />
sudo aptitude -t jessie-backports install gajim-omemo gajim<br />
<br />
sudo aptitude install python-qrcode</code><br />
<br />
===== Configurazione =====<br />
Aprendolo per la prima volta devi configurare il tuo account dal menu <code>Modifica → account</code>. C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da <code>@eigenlab.org</code> e la password dell'utenza che ti sei fatta creare. Finito. <br />
<br />
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu <code>Azioni → aggiungi un contatto</code> inserisci l'ID Jabber del tuo amico <code>pippo@eigenlab.org</code> per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.<br />
<br />
Se trascini un contatto sopra un'altro compare l'utilissima opzione "invia contatto di Beppe a Anna" (e anche un'altra opzione più criptica "rendi metacontatti" che non so a cosa serva.)<br />
<br />
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare <code>Account → Generale → Receive conversations from other resources</code>.<br />
<br />
Per cambiare la propria password, dal menu <code>Account -> Operazioni amministrative → cambia la password</code>.<br />
<br />
Si può entrare in una MUC (chatroom o stanza) dal menu <code>Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta</code><br />
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu <code>Azioni → Entra in una conversazione di gruppo</code>. Selezionando "Entra automaticamente in questa stanza alla connessione" gajim entrerà nella stanza al login.<br />
<br />
Per non vedere i cambiamenti di stato di tutti i contatti nella MUC <code>Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"</code>.<br />
<br />
Se sei non in linea o desincronizzato, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.<br />
<br />
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch <code>farstream-0.1</code> e in Debian e derivate <code>python-farstream e gstreamer-plugins-bad</code><br />
<br />
===== Plugin =====<br />
I nuovi plugin si installano dal menu <code>Modifica → Plugin → Available</code><br />
<br />
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".<br />
<br />
* Client icons: Mostra una icona che rapresenta il client usato, nell'elenco dei contatti.<br />
* Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra <code>Modifica → plugin → emoticon</code>, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai in <code>Preferenze → emoticon</code> e seleziona Twemoji resized.<br />
* Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".<br />
* Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in <code>Modifica → Olugin → Url image preview → Configura</code> sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale.<br />
<br />
'''Riavviare Gajim dopo aver abilitato i plugin'''<br />
<br />
===== OMEMO =====<br />
Dopo averlo abilitato il plugin si impallerà qualche secondo per generare le chiavi. Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce. Lì si può abilitare omemo nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto. Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, es. smartphone con conversation. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.<br />
<br />
È possibile visualizzare la propria fingerprint da <code>Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org</code>, dove è presente anche il qr-code utilizzato nella verifica da Conversations.<br />
<br />
=== Conversations=== <br />
Il migliore client per Android per numero di XEP integrate.<br />
===Telepathy===<br />
Integrato in KDE, manca di opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.<br />
===Pidgin===<br />
Pidgin.<br />
===XabberDev===<br />
XabberDev.<br />
<br />
<br />
[[Categoria:EigenNet]]<br />
[[Categoria:Autoformazione]]<br />
[[Categoria:Comunicazione sicura]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=525KVM2016-02-13T00:11:45Z<p>Kiba: </p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br />
<br />
= Configurazione =<br />
100GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br /><br />
<br />
<br />
==tasksel==<br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-get install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted logcheck mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav snoopy build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp<br />
</pre><br />
<br />
==software per log e sicurezza==<br />
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
* logcheck: scrive un riassunto dei log, cercando di eliminare tutte le righe inutili.<br />
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
* tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
* rkhunter: cerca rootkit sul sitema<br />
* unhide: cerca processi nascosti<br />
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
* clamav: antivirus<br />
* snoopy: logga tutte le execve() con syslog VIVA LA PARANOIA!! :D<br />
<br />
Alcuni sono pesanti ed è inutile farli girare sempre<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
chmod -x /etc/cron.daily/tripwire<br />
chmod +x /etc/cron.d/logcheck<br />
</pre><br />
<br />
==aggiornare i pacchetti==<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude update && aptitude full-upgrade<br />
</pre><br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-file update<br />
update-command-not-found<br />
</pre><br />
<br />
<br />
<br />
= Modifiche ai file di configurazione: =<br />
<br />
====/etc/rkhunter.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
</pre><br />
<br />
====.bashrc====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
</pre><br />
<br />
====/etc/ssh/sshd_config====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
</pre><br />
<br /><br />
Per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br /><br />
<br />
====/root/.ssh/authorized_keys====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
</pre><br />
<br />
====/etc/monkeysphere/monkeysphere-authentication.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
</pre><br />
<br />
====/etc/crontab====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
</pre><br />
<br />
====/etc/logcheck/logcheck.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#SENDMAILTO="logcheck"<br />
SENDMAILTO=""<br />
</pre><br />
<br />
====/etc/iptables/rules.v4====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
# Generated by iptables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [38:3848]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
</pre><br />
<br />
====/etc/iptables/rules.v6====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
# Generated by ip6tables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [2:200]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:93]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp6-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
</pre><br />
<br />
====/etc/resolv.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
</pre><br />
<br />
<br />
====/etc/network/interfaces====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.133.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::101<br />
</pre><br />
<br />
====/etc/pam.d/su====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auth required pam_wheel.so<br />
</pre><br />
<br />
====/etc/ssmtp/ssmtp.conf====<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
</pre><br />
<br /><br />
<br />
= Dopo aver clonato =<br />
bisogna modificare questi file<br />
* /etc/network/interfaces ''(cambiare ip)''<br />
* /etc/hostname ''(aggiornare hostname)''<br />
* /etc/hosts<br />
e per evitare che tutte le chiavi del server ssh siano uguali<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server<br />
</pre></div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=507KVM2015-12-10T14:55:48Z<p>Kiba: </p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br /><br />
<br /><br />
<br />
==== Configurazione: ====<br />
100GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br /><br />
<br />
<br />
'''tasksel''':<br /><br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-get install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted logcheck mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav snoopy build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp<br />
</pre><br />
<br />
'''software per log e sicurezza''':<br /><br />
Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
* logcheck: scrive un riassunto dei log, cercando di eliminare tutte le righe inutili.<br />
* checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
* tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
* rkhunter: cerca rootkit sul sitema<br />
* unhide: cerca processi nascosti<br />
* debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
* clamav: antivirus<br />
* snoopy: logga tutte le execve() con syslog VIVA LA PARANOIA!! :D<br />
<br />
Alcuni sono pesanti ed è inutile farli girare sempre<br /><br />
<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
chmod -x /etc/cron.daily/tripwire<br />
chmod +x /etc/cron.d/logcheck<br />
</pre><br />
<br />
Per '''aggiornare i pacchetti'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
aptitude update && aptitude full-upgrade<br />
</pre><br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
apt-file update<br />
update-command-not-found<br />
</pre><br />
<br />
<br />
<br />
==== Modifiche ai file di configurazione: ====<br />
<br />
'''/etc/rkhunter.conf'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
</pre><br />
<br />
'''.bashrc'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
</pre><br />
<br />
'''/etc/ssh/sshd_config'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
</pre><br />
<br /><br />
Per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br /><br />
<br />
'''/root/.ssh/authorized_keys'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
</pre><br />
<br />
'''/etc/monkeysphere/monkeysphere-authentication.conf'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
</pre><br />
<br />
'''/etc/crontab'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
</pre><br />
<br />
'''/etc/logcheck/logcheck.conf'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#SENDMAILTO="logcheck"<br />
SENDMAILTO=""<br />
</pre><br />
<br />
'''/etc/iptables/rules.v4'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
# Generated by iptables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [38:3848]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
</pre><br />
<br />
'''/etc/iptables/rules.v6'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
# Generated by ip6tables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [2:200]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:93]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp6-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
</pre><br />
<br />
'''/etc/resolv.conf'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
</pre><br />
<br />
<br />
'''/etc/network/interfaces'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.133.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::101<br />
</pre><br />
<br />
'''/etc/pam.d/su'''<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
auth required pam_wheel.so<br />
</pre><br />
<br />
'''/etc/ssmtp/ssmtp.conf''' <br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
</pre><br />
<br /><br />
<br />
==== Dopo aver clonato ====<br />
bisogna modificare questi file<br />
* /etc/network/interfaces ''(cambiare ip)''<br />
* /etc/hostname ''(aggiornare hostname)''<br />
* /etc/hosts<br />
e per evitare che tutte le chiavi siano uguali<br />
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server<br />
</pre></div>Kibahttps://wiki.eigenlab.org/index.php?title=KVM&diff=506KVM2015-12-04T13:55:31Z<p>Kiba: Creata pagina con "KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V Configurazione: 100GB disco qcow..."</p>
<hr />
<div>KVM è un'infrastruttura di virtualizzazione del kernel Linux. KVM attualmente supporta una completa virtualizzazione usando Intel VT o AMD-V<br />
<br />
Configurazione:<br />
100GB disco qcow2 e 1GB swap, rete bridge breig0, server VNC (non interferisce con le regole di iptables in basso), dispositivo RNG /dev/random, processore opteron_g3, <emulator> /usr/bin/kvm<br />
<br />
tasksel:<br />
--- ambiente desktop, --- server di stampa, +++ server ssh<br />
<br />
apt-get install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted logcheck mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav snoopy build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp<br />
<br />
software per log e sicurezza: Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen<br />
logcheck: scrive un riassunto dei log, cercando di eliminare tutte le righe inutili.<br />
checksecurity: fa una serie di controlli su problemi di sicurezza comuni<br />
tiger: controlla la configurazione del sistema alla ricerca di problemi<br />
rkhunter: cerca rootkit sul sitema<br />
unhide: cerca processi nascosti<br />
debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)<br />
clamav: antivirus<br />
snoopy: logga tutte le execve() con syslog VIVA LA PARANOIA!! :D<br />
<br />
<br />
alcuni sono pesanti ed è inutile farli girare sempre<br />
chmod -x /etc/cron.daily/tripwire<br />
chmod +x /etc/cron.d/logcheck<br />
<br />
<br />
Per aggiornare i pacchetti<br />
apt-get update && aptitude full-upgrade<br />
<br />
Per aggiornare la cache di apt-file e command-not-found<br />
apt-file update<br />
update-command-not-found<br />
<br />
<br />
Modifiche ai file di configurazione:<br />
<br />
<br />
/etc/rkhunter.conf<br />
#DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps<br />
DISABLE_TESTS=suspscan deleted_files packet_cap_apps apps<br />
<br />
<br />
.bashrc<br />
export LS_OPTIONS='--color=auto'<br />
eval "`dircolors`"<br />
alias ls='ls $LS_OPTIONS'<br />
alias ll='ls $LS_OPTIONS -l'<br />
alias l='ls $LS_OPTIONS -lA'<br />
<br />
HISTSIZE=500000<br />
HISTFILESIZE=500000000<br />
<br />
force_color_prompt=yes<br />
<br />
if [ -n "$force_color_prompt" ]; then<br />
if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then<br />
# We have color support; assume it's compliant with Ecma-48<br />
# (ISO/IEC-6429). (Lack of such support is extremely rare, and such<br />
# a case would tend to support setf rather than setaf.)<br />
color_prompt=yes<br />
else<br />
color_prompt=<br />
fi<br />
fi<br />
<br />
if [ "$color_prompt" = yes ]; then<br />
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '<br />
else<br />
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '<br />
fi<br />
unset color_prompt force_color_prompt<br />
<br />
<br />
/etc/ssh/sshd_config<br />
AuthorizedKeysFile /var/lib/monkeysphere/authorized_keys/%u<br />
PasswordAuthentication no<br />
<br />
per adesso c'è la chiave dei nodi. è da rimuovere dopo aver configurato monkeysphere (aggiungere i certificatori con "monkeysphere-authentication add-identity-certifier $fingerprint" e gli id autorizzati in .monkeysphere/authorized_user_ids)<br />
/root/.ssh/authorized_keys<br />
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCr+J+hhlUnYhKLOnW55aZhJrdHHSQU9XXoP0DcMuvIQ3+SYV6ZZJLMvcdN7puSdkcKiK9DEpsN8uCWfIsxu8LkWJfq6Q/DUBkwvXgKlpbisFaj82ucy7ioiZ1aEc6LMQ/VxG4iHCnGXjWqNLA9sB9lgVDXD29lm8n/i99DHNI8TLHzV9aXz3uR39IqvD4zFBZPSsoDvZ9BsOC6TIUl+Ua0lx1olJxwGawK9he52G55RHhMI+NYj5/wMp80kOhtzRN5F0wRt08Yv2Wu0Kx9akRJBOmI+CcfxxEk7Fcg/kCHG8evS4i4chSMBbBLjOhTk/+Q6nbT3TNIeG2LAtUpml2f node_key@eigenlab<br />
<br />
/etc/monkeysphere/monkeysphere-authentication.conf<br />
LOG_LEVEL=DEBUG<br />
RAW_AUTHORIZED_KEYS="%h/.ssh/authorized_keys"<br />
<br />
/etc/crontab<br />
0 * * * * root /usr/sbin/monkeysphere-authentication update-users &> /dev/null<br />
<br />
<br />
/etc/cron.d/logcheck<br />
mailto=""<br />
<br />
/etc/iptables/rules.v4<br />
# Generated by iptables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [0:0]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [38:3848]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
<br />
/etc/iptables/rules.v6<br />
# Generated by ip6tables-save v1.4.21 on Sat May 2 23:51:15 2015<br />
*filter<br />
:INPUT DROP [2:200]<br />
:FORWARD DROP [0:0]<br />
:OUTPUT ACCEPT [1:93]<br />
-A INPUT -i lo -j ACCEPT<br />
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT<br />
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br />
-A INPUT -p icmp -j ACCEPT<br />
-A INPUT -j REJECT --reject-with icmp6-port-unreachable<br />
COMMIT<br />
# Completed on Sat May 2 23:51:15 2015<br />
<br />
/etc/resolv.conf<br />
domain eigenlab.org<br />
search eigenlab.org <br />
nameserver 10.174.0.100<br />
nameserver 10.174.0.101<br />
<br />
<br />
/etc/network/interfaces<br />
auto lo<br />
iface lo inet loopback<br />
<br />
# The primary network interface<br />
allow-hotplug eth0<br />
#iface eth0 inet dhcp<br />
<br />
auto eth0<br />
iface eth0 inet static<br />
address 10.175.1.33<br />
netmask 255.254.0.0<br />
gateway 10.175.133.1<br />
<br />
iface eth0 inet6 static<br />
address 2a00:1508:1:f010::1:33<br />
netmask 64<br />
gateway 2a00:1508:1:f010::101<br />
<br />
<br />
/etc/pam.d/su<br />
auth required pam_wheel.so<br />
<br />
<br />
/etc/ssmtp/ssmtp.conf <br />
#<br />
# Config file for sSMTP sendmail<br />
#<br />
# The person who gets all mail for userids < 1000<br />
# Make this empty to disable rewriting.<br />
root=tuttisuitetti@eigenlab.org<br />
<br />
# The place where the mail goes. The actual machine name is required no <br />
# MX records are consulted. Commonly mailhosts are named mail.domain.com<br />
mailhub=mail.gandi.net:587<br />
<br />
# Where will the mail seem to come from?<br />
#rewriteDomain=<br />
<br />
# The full hostname<br />
hostname=eigenlab.org<br />
<br />
# Are users allowed to set their own From: address?<br />
# YES - Allow the user to specify their own From: address<br />
# NO - Use the system generated From: address<br />
#FromLineOverride=YES<br />
<br />
<br />
UseTLS=YES<br />
UseSTARTTLS=YES<br />
rewriteDomain=eigenlab.org<br />
AuthUser=tuttisuitetti@eigenlab.org<br />
AuthPass=Passw0rd<br />
<br />
<br />
Dopo aver clonato la macchina base bisogna modificare questi file<br />
/etc/network/interfaces cambiare ip<br />
/etc/hostname aggiornare hostname<br />
/etc/hosts<br />
rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server Per evitare che tutte le chiavi siano uguali</div>Kibahttps://wiki.eigenlab.org/index.php?title=RetroShare&diff=487RetroShare2014-06-12T15:02:02Z<p>Kiba: </p>
<hr />
<div>RetroShare è un software per comunicare con pochi amici fidati (f2f) senza l'utilizzo di server centrali (distribuito, da portatile a portatile) e cifrato.<br />
<br />
* [http://retroshare.sourceforge.net/ homepage RetroShare]<br />
* [http://en.wikipedia.org/wiki/RetroShare wikipedia RetroShare]<br />
<br />
=Installazione=<br />
Alcune delle distribuzioni Linux (ad esempio OpenSUSE) lo distribuiscono direttamente sui loro repository, per altre distribuzioni Linux e per altri sistemi operativi si può scaricare l'eseguibile/pacchetto gia compilato direttamente dal [http://retroshare.sourceforge.net/downloads.html sito ufficiale], oppure lo si può compilare, ma non è semplicissimo.<br />
<br />
==Ottenere il sorgente==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/GetTheSource Qui] ci sono le indicazioni per scaricare il codice sorgente, MAI MAI MAI fidarsi ad installare versioni compilate da sconosciuti e/o trovate all'interno di RetroShare, fidarsi SOLO del sito ufficiale.<br />
<br />
sudo apt-get install subversion<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
oppure<br />
<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
per avere una versione meno recente ma più stabile.<br />
<br />
==Compilare su Linux==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Installa millemila dipendenze randomiche, dipendono da quale Linux hai, puoi provar ad installare la lista che c'è sotto per Debian/Ubuntu, poi durante la compilazione compariranno errori per ogni pacchetto necessario da cui capirai quali dipendenze ti mancano.<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/Compile Compilare su altri OS]<br />
<br />
[http://svn.code.sf.net/p/retroshare/code/trunk/README.txt Indicazioni per Linux] qui consigliano di compilarsi pure rsctrl e retroshare-nogui ma credo che alla maggior parte della gente non servano.<br />
<br />
===Compilare RS con interfaccia grafica su Debian Linux o Ubuntu===<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Questa guida è basata su [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt quella ufficiale], differisce per essere mirata alla compilazione di solo retroshare-GUI cioè del minimo che serve per avere un retroshare con interfaccia grafica.<br />
<br />
<br />
Per compilare:<br />
<br />
- installa il software da cui dipende retroshare. Su ubuntu e debian:<br />
sudo apt-get install subversion libglib2.0-dev libupnp-dev qt4-dev-tools libqt4-dev libssl-dev libxss-dev \<br />
libgnome-keyring-dev libbz2-dev libqt4-opengl-dev libqtmultimediakit1 qtmobility-dev libspeex-dev \<br />
libspeexdsp-dev libxslt1-dev libprotobuf-dev protobuf-compiler cmake libcurl4-openssl-dev tclsh libsqlite3-dev<br />
<br />
- crea una nuova cartella (es. ~/retroshare-trunk) e scarica il codice sorgente (se non già fatto, come indicato sopra)<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
oppure, se vuoi provare a compilare l'ultimissima, instabile versione:<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
- spostati nella nuova cartella<br />
cd retroshare-0.5.5<br />
<br />
- crea la cartella lib<br />
mkdir lib<br />
<br />
- c'è un altra dipendenza, sqlcipher, che bisogna compilare perchè non è stato ancora pacchettizato. È richiesto da GXS, il nuovo sistema di cache che avrà RetroShare, che userà sqlcipher per avere un database cifrato<br />
cd lib<br />
git clone git://github.com/sqlcipher/sqlcipher.git<br />
cd sqlcipher<br />
./configure --enable-tempstore=yes CFLAGS="-DSQLITE_HAS_CODEC" LDFLAGS="-lcrypto"<br />
make<br />
cd ../..<br />
<br />
A questo punto può avvenire la compilazione delle componenti di retroshare. Ci metterà un po', a seconda di quanto è veloce il computer.<br />
<br />
- libbitdht<br />
cd libbitdht/src && qmake && make clean && make -j 4 <br />
<br />
- openpgpsdk<br />
cd ../../openpgpsdk/src && qmake && make clean && make -j 4<br />
<br />
- supportlibs<br />
cd ../../supportlibs/pegmarkdown && qmake && make clean && make -j 4<br />
<br />
- libretroshare<br />
cd ../../libretroshare/src && qmake && make clean && make -j 4<br />
<br />
- retroshare gui<br />
cd ../../retroshare-gui/src && qmake && make clean && make -j 4<br />
<br />
<br />
===Compilare RS i plugin su Debian Linux===<br />
VOIP = Voice Over IP<br />
<br />
Sono disponibili diversi plugin, FeedReader, LinksCloud e VOIP.<br />
<br />
Il plugin VOIP necessita di qtmobility e libspeexdsp<br />
sudo apt-get install qtmobility-dev libspeexdsp-dev<br />
<br />
Puoi compilare tutti i plugin insieme<br />
cd src/plugins/ && qmake && make clean && make<br />
oppure separatamente, spostandoti nelle relative cartelle, ad esempio<br />
cd src/plugins/VOIP && qmake && make clean && make<br />
<br />
Il risultato della compilazione, i file lib*.so* vanno copiati nella cartella ~/.retroshare/extensions/<br />
<br />
mkdir -p ~/.retroshare/extensions<br />
<br />
cp -P {FeedReader,LinksCloud,VOIP}/lib*.so* ~/.retroshare/extensions/<br />
<br />
oppure<br />
cd VOIP && cp -P libVOIP.so* ~/.retroshare/extensions/<br />
<br />
Retroshare, come misura di sicurezza, mostra un avviso ogni volta che questi file cambiano, quindi se li hai appena copiato o aggiornato i file non preoccuparti.<br />
<br />
===Compilare RS con interfaccia testuale su Debian Linux===<br />
Prova a seguire le istruzioni presenti [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt qui] (ma perché non usano libssh pacchettizzato che c'è nei repository?).<br />
<br />
===Problemi di compilazione===<br />
Solitamente gli errori sono lamentele per pacchetti mancanti che dovrete installare, sono spesso una quantità [https://www.youtube.com/watch?v=GBACLpkon6Q snervante] di errori simili a questi:<br />
<br />
fatal error: bzlib.h: File o directory non esistente (cioè ti serve libbz2-dev)<br />
fatal error: gnome-keyring-1/gnome-keyring.h: File o directory non esistente (cioè ti serve libgnome-keyring-dev)<br />
make: /usr/bin/uic-qt4: Command not found (cioè ti serve libqt4-dev-bin)<br />
fatal error: QObject: File o directory non esistente (cioè ti serve libqt4-dev)<br />
fatal error: X11/extensions/scrnsaver.h: File o directory non esistente (cioè ti serve libxss-dev)<br />
<br />
In questo caso dovrete andar a scoprire in quale pacchetto della vostra distribuzione è contenuto il file mancante, ad esempio per Debian potete usare l'ultimo campo di ricerca in fondo a [http://packages.debian.org questa] pagina o per Ubuntu su [http://packages.ubuntu.com questa].<br />
<br />
Se alcuni errori non scompaiono dopo aver installato la dipendenza potete provar a ricominciare la compilazione dall'inizio con <br />
make clean<br />
che cancellerà tutti i file compilati, e dunque ricominciare.<br />
<br />
Se fin qui non vi siete bloccati per errori randomici (impossibile) potete lanciare RetroShare con<br />
<br />
===Lanciare RetroShare===<br />
<br />
Aprite la cartella retroshare-trunk/src/retroshare-gui e fate doppio click sul file "RetroShare" sennò potete aprire da terminale:<br />
retroshare-trunk/src/retroshare-gui/src/RetroShare 2> /dev/null &<br />
(il 2> /dev/null & serve per non avere troppo output inutile sul terminale).<br />
<br />
===Malfunzionamenti===<br />
Come quasi tutti i programmi che fanno uso della rete, molti problemi possono essere causati dall'avere l'orologio del pc non sincronizzato con gli orologi dei propri amici, per cui assicuratevi di aver configurato bene l'orologio e il fuso orario di sistema.<br />
<br />
=Utilizzo=<br />
<br />
La sicurezza di RetroShare è basata sul connettersi direttamente ( in modo non anonimo ) solo ad amici fidati certificando l'identità dei peers, qui sta il fulcro della sua "sicurezza", nell'essere certi di comunicare direttamente solo con persone fidate.<br />
<br />
Dunque RetroShare cerca di impedire che le tue comunicazioni vengano viste da peers di cui non ti fidi (GDF, D1g0s, etc). Se il processo di aggiunta degli amici viene fatto con troppa leggerezza (ad esempio usando le chiavi presenti su un [http://wiki.ninux.org/RetroShare wiki] modificabile da cani e porci) senza verificarne il fingerprint ci si gioca la propria sicurezza e l'utilizzo di RetroShare diventa completamente inutile producendo solo un senso di falsa sicurezza.<br />
<br />
Aggiungi solo chiavi [[PGP|PGP/GPG]] che sei sicuro/a essere di amici fidati. Per esser sicuri che una chiave [[PGP|PGP/GPG]] sia di un amico fidato dovresti chiedergli di persona il fingerprint (una stringa di una decina di caratteri e numeri) della sua chiave [[PGP|PGP/GPG]] e poi controllare di aggiungere solo la chiave col fingerprint corrispondente.<br />
<br />
==Rischi==<br />
<br />
Come in ogni programma e ancor di più in quelli che cercano di proteggere la vostra privacy, ciascuna funzione è concepita per esser utilizzata in un certo modo, non studiarne bene il funzionamento può compromettere seriamente la propria privacy. Come al solito non ci si può fidare di qualcosa che non si conosce perché potrebbe funzionare MOLTO diversamente da come ci si immagina.<br />
<br />
===Aggiunta di contatti fidati senza verificarne l'identità===<br />
Quando si aggiunge il certificato di un amico bisogna essere sicuri al 100% che il certificato sia il suo, il modo più naturale di fare ciò è controllare la catena di fiducia dalla propria chiave alla chiave dell'amico. Tradotto: se hai firmato la sua chiave pgp con la tua chiave pgp verificando di persona che quello che stavi firmando fosse proprio la sua chiave, allora ti puoi fidare; se hai firmato la chiave di un amico in comune che a sua volta ha firmato la chiave di chi stai aggiungendo (in questo modo indicandoti che ne ha verificato la corrispondenza persona-chiave) ti puoi fidare abbastanza (dipende da quanto ti fidi dell'amico in comune e da quanto questo abbia capito come funziona una rete di fiducia).<br />
<br />
Riassumendo: o si verificano le firme o si verifica di persona il fingerprint del certificato o il certificato stesso.<br />
<br />
Chiaramente se non si fa così ci si espone ad [https://it.wikipedia.org/wiki/Attacco_man_in_the_middle attacchi man in the middle], in cui un tizio malvagio legge in chiaro e senza fatica tutte le comunicazioni private e lo scambio di contenuti che avviene tra te e l'altro amico e nessuno dei due se ne accorgerebbe.<br />
<br />
===Assenza di plausible deniability===<br />
Quando usi messaggi firmati stai certificando a chi leggerà che il messaggio è stato scritto proprio da chi lo firma, e quindi se questo stesso messaggio venisse ricevuto anche da un malintenzionato (ad esempio un backup finito nelle mani sbagliate o una persona che usa il tuo pc o un man in the middle), l'autore non potrebbe negarne la paternità, è firmato con PGP/GPG dunque solo lui ne può essere l'autore e il responsabile.<br />
====Contromisure====<br />
Non date il vostro computer a cani porci e simili.<br />
Mettete i vostri backup solo in posti fidati.<br />
In casi estremi andate in vettovaglie a dare la vostra chiave publica e privata a tonino (quello che suona le pentole) in modo da poter dimostrare che chiunque avrebbe potuto firmare quel messaggio e non solo voi visto che la chiave privata e' compromessa (Invece di darla a tonino potreste pensare che sia efficace anche pubblicarla su un sito, pero' cosi' potrebbe anche andare a finire in mani smaliziate che potrebbero usarla per decifrare i vostri messaggi (mentre se la date a tonino non credo che lo faccia, pero' credo basti per dimostrare che qualcun'altro avrebbe potuto)) <br />
<br />
===Condivisione files===<br />
Se si vuole condividere un file privato solo con poche persone bisogna fare molta attenzione: in assenza di accortezze mirate è certo che nel giro di pochi minuti quel file potrà essere scaricato da un ampissimo numero di persone.<br />
<br />
Anche se il file in questione si trovasse in una cartella in cui è stato disabilitata l'opzione "Directory is accessible by anonymous tunnels from any friend" (che tradotto dal retrosharese vuol dire: il tizio della GdF che è amico dell'amico dell'amico che hai tra gli amici può trovare questo file tramite la funzione cerca e scaricarlo passando dagli amici in comune a te, non capirà che il file glielo passi tu (tu lo passi al tuo amico, che lo passa al suo amico che lo passa al finanziere), ma ne può leggere il contenuto) o se passi il file da dentro una chat, quando la persona a cui vuoi passare il file lo scaricherà questo file verrà salvato nella cartella Downloads, che di default è "accessible by anonymous tunnels from any friend" dunque chiunque al mondo riuscirebbe a trovarlo tramite la funzione cerca ed a scaricarlo. Paradossalmente era meglio allegarlo ad una email. <br />
<br />
Per essere sicuri che un file venga condiviso solo con una ristretta cerchia di amici, bisogna che TUTTI in quella ristretta cerchia di amici scarichino il file in una cartella visibile solo alla cerchia ristretta, e non nella cartella di Download (che e` il defualt e per default e' condivisa anche anonimamente(=chiunque puo` scaricare in modo anonimo quello che c'e` dentro)).<br />
<br />
===Diffusione di link retroshare://===<br />
RetroShare permette di ottenere dei link ai contenuti che assomigliano a questo<br />
retroshare://file?name=rapina-15-gennaio-2014-poste-via-del-pontiere.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
che può essere cifrato quanto volete ma nel testo del link riportato qui sopra è contenuto il nome del file, che spesso è indicatore del contenuto, per cui se volete condividere dei link compromettenti cambiategli la parte name visto che il file non viene identificato dal nome ma dalla dimensione e dall'hash, per esempio il link precedente diventerebbe<br />
retroshare://file?name=immanuel_casto-come_e_bella_la_cappella-lyrics.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
potete notare hash e size invariati, i vostri amici potranno successivamente rinominare il file<br />
<br />
===Chat lobby===<br />
Nelle chat lobbies pubbliche può entrare chiunque e con il nick che gli pare, per cui non ti puoi fidare di nessuno, i nickname che vedi potrebbero essere falsificati senza difficoltà. Due modi, come esempio: quando sei in una chat lobby puoi cambiare il tuo nickname in qualcos'altro di tuo gradimento; oppure puoi creare una nuova identità (una nuova chiave pgp/gpg) con il nome che desideri e poi entrare nella chat lobby spacciandoti per chi vuoi.<br />
<br />
===Tracciamento tramite DHT===<br />
Aprendo RetroShare di default partecipiamo ad una DHT (si puo' disabilitare), una tabella accessibile pubblicamente in cui pubblichiamo il nostro IP, per semplificare la connessione con gli altri peer. Questo rende molto più efficace la connessione con gli amici ma il fatto di pubblicare il nostro IP permette una geolocalizzazione ogni volta che apriamo RS. Per interrogare la DHT serve conoscere una certa stringa che ci identifica, pare che questa stringa venga comunicata solo agli amici. Il contenuto della DHT può anche essere modificato utilizzando 8 fonti che inseriscono informazioni false usando quella stringa identificativa, dunque possono scriverci dentro un ip sbagliato per farsi contattare dai tuoi amici (che poi non ci comunicano perché la chiave pgp non corrisponde) e segnarsi i loro IP. Gli IP pubblici e statici presenti nel sorgente di RS che servono per fare il bootstrap della DHT, cosa possono sapere su di noi? Quasi zero anche perche` la DHT che viene usata e` quella di bittorrent che potrebbe essere usata per altre 10000 applicazioni diverse quindi l'unica informazione che stai pubblicando e', "questo id DHT" corrisponde "a questo ip:porta".<br />
<br />
===Aggiunta di contatti non fidati===<br />
RetroShare è una rete friend2friend, il caso in cui aggiungi come contatto uno che non è tuo amico non è nemmeno contemplato tra le situazioni in cui difendersi. Se aggiungi un peer non fidato o se un peer clicca su "ricorda la password" quando fa il login su RS (e dunque salta buona parte della sicurezza) o se un peer perde la sua chiave privata di RS (ad esempio lasciando accedere ad altri ad un backup del suo pc) beh, questo contatto malvagio può sapere con chi comunichi, quando sei attivo alla tastiera, chi altro hai aggiunto come amico, può sfogliare parte dei tuoi files, può sapere a quali chat lobby, quali forum e quali canali sei iscritto etc etc.<br />
<br />
===Installazione di versioni di RetroShare compilate da estranei===<br />
All'interno di RS sono molto popolari canali in cui vengono condivise versioni precompilate di RS, ad esempio molti utenti windows utilizzano questi file per avere l'ultimissima versione di RS. Ovviamente chi compila può decidere di modificare RS per far fare al nostro pc qualsiasi cosa lui voglia.<br />
<br />
===Leak della chiave PGP/GPG e della password===<br />
Dobbiamo essere consapevoli che anche RetroShare può avere dei bug (che magari hanno le potenzialità di essere usarti come backdoor, come tutti i software, ma retroshare con la sua crescita [https://www.ohloh.net/p/retroshare/analyses/latest/languages_summary vertiginosa] potrebbe essere peggio) o [https://www.ohloh.net/p/retroshare/contributors sviluppatori] in malafede che introducono backdoors (come tutti i software?) o potremmo aver installato una versione compilata da sconosciuti che possono aver modificato il sorgente. In questo caso sia la chiave privata PGP/GPG che la password che la protegge potrebbero venirci rubati. Senza dubbio è consigliabile usare la chiave di RetroShare solo per RetroShare, in modo che in caso di furto i danni siano limitati e non venga compromessa la chiave principale (usata per decifrare mail, firmare mail, accedere a server etc).</div>Kibahttps://wiki.eigenlab.org/index.php?title=RetroShare&diff=486RetroShare2014-06-12T14:35:49Z<p>Kiba: /* Compilare RS con interfaccia grafica su Debian Linux o Ubuntu */</p>
<hr />
<div>RetroShare è un software per comunicare con pochi amici fidati (f2f) senza l'utilizzo di server centrali (distribuito, da portatile a portatile) e cifrato.<br />
<br />
* [http://retroshare.sourceforge.net/ homepage RetroShare]<br />
* [http://en.wikipedia.org/wiki/RetroShare wikipedia RetroShare]<br />
<br />
=Installazione=<br />
Alcune delle distribuzioni Linux (ad esempio OpenSUSE) lo distribuiscono direttamente sui loro repository, per altre distribuzioni Linux e per altri sistemi operativi si può scaricare l'eseguibile/pacchetto gia compilato direttamente dal [http://retroshare.sourceforge.net/downloads.html sito ufficiale], oppure lo si può compilare, ma non è semplicissimo.<br />
<br />
==Ottenere il sorgente==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/GetTheSource Qui] ci sono le indicazioni per scaricare il codice sorgente, MAI MAI MAI fidarsi ad installare versioni compilate da sconosciuti e/o trovate all'interno di RetroShare, fidarsi SOLO del sito ufficiale.<br />
<br />
sudo apt-get install subversion<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
oppure<br />
<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
per avere una versione meno recente ma più stabile.<br />
<br />
==Compilare su Linux==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Installa millemila dipendenze randomiche, dipendono da quale Linux hai, puoi provar ad installare la lista che c'è sotto per Debian/Ubuntu, poi durante la compilazione compariranno errori per ogni pacchetto necessario da cui capirai quali dipendenze ti mancano.<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/Compile Compilare su altri OS]<br />
<br />
[http://svn.code.sf.net/p/retroshare/code/trunk/README.txt Indicazioni per Linux] qui consigliano di compilarsi pure rsctrl e retroshare-nogui ma credo che alla maggior parte della gente non servano.<br />
<br />
===Compilare RS con interfaccia grafica su Debian Linux o Ubuntu===<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Questa guida è basata su [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt quella ufficiale], differisce per essere mirata alla compilazione di solo retroshare-GUI cioè del minimo che serve per avere un retroshare con interfaccia grafica.<br />
<br />
<br />
Per compilare:<br />
<br />
- installa il software da cui dipende retroshare. Su ubuntu e debian:<br />
sudo apt-get install subversion libglib2.0-dev libupnp-dev qt4-dev-tools libqt4-dev libssl-dev libxss-dev \<br />
libgnome-keyring-dev libbz2-dev libqt4-opengl-dev libqtmultimediakit1 qtmobility-dev libspeex-dev \<br />
libspeexdsp-dev libxslt1-dev libprotobuf-dev protobuf-compiler cmake libcurl4-openssl-dev tclsh libsqlite3-dev<br />
<br />
- crea una nuova cartella (es. ~/retroshare-trunk) e scarica il codice sorgente (se non già fatto, come indicato sopra)<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
oppure, se vuoi provare a compilare l'ultimissima, instabile versione:<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
- spostati nella nuova cartella<br />
cd retroshare-0.5.5<br />
<br />
- crea la cartella lib<br />
mkdir lib<br />
<br />
- c'è un altra dipendenza, sqlcipher, che bisogna compilare perchè non è stato ancora pacchettizato. È richiesto da GXS, il nuovo sistema di cache che avrà RetroShare, che userà sqlcipher per avere un database cifrato<br />
cd lib<br />
git clone git://github.com/sqlcipher/sqlcipher.git<br />
cd sqlcipher<br />
./configure --enable-tempstore=yes CFLAGS="-DSQLITE_HAS_CODEC" LDFLAGS="-lcrypto"<br />
make<br />
cd ../..<br />
<br />
A questo punto può avvenire la compilazione delle componenti di retroshare. Ci metterà un po', a seconda di quanto è veloce il computer.<br />
<br />
- libbitdht<br />
cd libbitdht/src && qmake && make clean && make -j 4 <br />
<br />
- openpgpsdk<br />
cd ../../openpgpsdk/src && qmake && make clean && make -j 4<br />
<br />
- supportlibs<br />
cd ../../supportlibs/pegmarkdown && qmake && make clean && make -j 4<br />
<br />
- libretroshare<br />
cd ../../libretroshare/src && qmake && make clean && make -j 4<br />
<br />
- retroshare gui<br />
cd ../../retroshare-gui/src && qmake && make clean && make -j 4<br />
<br />
<br />
<br />
Sono disponibili diversi plugin, FeedReader, LinksCloud e VOIP.<br />
<br />
Il plugin VOIP necessita di qtmobility. su debian<br />
sudo apt-get install qtmobility-dev<br />
<br />
Puoi compilare tutti i plugin insieme<br />
cd plugins && qmake && make clean && make<br />
oppure separatamente, spostandoti nelle relative cartelle<br />
qmake && make clean && make<br />
<br />
Il risultato della compilazione, i file lib*.so* vanno copiati nella cartella ~/.retroshare/extensions/<br />
<br />
Retroshare, come misura di sicurezza, mostra un avviso ogni volta che questi file cambiano, quindi se li hai appena copiato o aggiornato i file non preoccuparti<br />
<br />
===Compilare RS il plugin VOIP su Debian Linux===<br />
VOIP = Voice Over IP<br />
<br />
sudo apt-get install qtmobility-dev libspeexdsp-dev<br />
cd retroshare-trunk/src/plugins/VOIP<br />
qmake<br />
make<br />
mkdir -p ~/.retroshare/extensions<br />
cp -P libVOIP.so* ~/.retroshare/extensions/<br />
<br />
===Compilare RS con interfaccia testuale su Debian Linux===<br />
Prova a seguire le istruzioni presenti [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt qui] (ma perché non usano libssh pacchettizzato che c'è nei repository?).<br />
<br />
===Problemi di compilazione===<br />
Solitamente gli errori sono lamentele per pacchetti mancanti che dovrete installare, sono spesso una quantità [https://www.youtube.com/watch?v=GBACLpkon6Q snervante] di errori simili a questi:<br />
<br />
fatal error: bzlib.h: File o directory non esistente (cioè ti serve libbz2-dev)<br />
fatal error: gnome-keyring-1/gnome-keyring.h: File o directory non esistente (cioè ti serve libgnome-keyring-dev)<br />
make: /usr/bin/uic-qt4: Command not found (cioè ti serve libqt4-dev-bin)<br />
fatal error: QObject: File o directory non esistente (cioè ti serve libqt4-dev)<br />
fatal error: X11/extensions/scrnsaver.h: File o directory non esistente (cioè ti serve libxss-dev)<br />
<br />
In questo caso dovrete andar a scoprire in quale pacchetto della vostra distribuzione è contenuto il file mancante, ad esempio per Debian potete usare l'ultimo campo di ricerca in fondo a [http://packages.debian.org questa] pagina o per Ubuntu su [http://packages.ubuntu.com questa].<br />
<br />
Se alcuni errori non scompaiono dopo aver installato la dipendenza potete provar a ricominciare la compilazione dall'inizio con <br />
make clean<br />
che cancellerà tutti i file compilati, e dunque ricominciare.<br />
<br />
Se fin qui non vi siete bloccati per errori randomici (impossibile) potete lanciare RetroShare con<br />
<br />
===Lanciare RetroShare===<br />
<br />
Aprite la cartella retroshare-trunk/src/retroshare-gui e fate doppio click sul file "RetroShare" sennò potete aprire da terminale:<br />
retroshare-trunk/src/retroshare-gui/src/RetroShare 2> /dev/null &<br />
(il 2> /dev/null & serve per non avere troppo output inutile sul terminale).<br />
<br />
===Malfunzionamenti===<br />
Come quasi tutti i programmi che fanno uso della rete, molti problemi possono essere causati dall'avere l'orologio del pc non sincronizzato con gli orologi dei propri amici, per cui assicuratevi di aver configurato bene l'orologio e il fuso orario di sistema.<br />
<br />
=Utilizzo=<br />
<br />
La sicurezza di RetroShare è basata sul connettersi direttamente ( in modo non anonimo ) solo ad amici fidati certificando l'identità dei peers, qui sta il fulcro della sua "sicurezza", nell'essere certi di comunicare direttamente solo con persone fidate.<br />
<br />
Dunque RetroShare cerca di impedire che le tue comunicazioni vengano viste da peers di cui non ti fidi (GDF, D1g0s, etc). Se il processo di aggiunta degli amici viene fatto con troppa leggerezza (ad esempio usando le chiavi presenti su un [http://wiki.ninux.org/RetroShare wiki] modificabile da cani e porci) senza verificarne il fingerprint ci si gioca la propria sicurezza e l'utilizzo di RetroShare diventa completamente inutile producendo solo un senso di falsa sicurezza.<br />
<br />
Aggiungi solo chiavi [[PGP|PGP/GPG]] che sei sicuro/a essere di amici fidati. Per esser sicuri che una chiave [[PGP|PGP/GPG]] sia di un amico fidato dovresti chiedergli di persona il fingerprint (una stringa di una decina di caratteri e numeri) della sua chiave [[PGP|PGP/GPG]] e poi controllare di aggiungere solo la chiave col fingerprint corrispondente.<br />
<br />
==Rischi==<br />
<br />
Come in ogni programma e ancor di più in quelli che cercano di proteggere la vostra privacy, ciascuna funzione è concepita per esser utilizzata in un certo modo, non studiarne bene il funzionamento può compromettere seriamente la propria privacy. Come al solito non ci si può fidare di qualcosa che non si conosce perché potrebbe funzionare MOLTO diversamente da come ci si immagina.<br />
<br />
===Aggiunta di contatti fidati senza verificarne l'identità===<br />
Quando si aggiunge il certificato di un amico bisogna essere sicuri al 100% che il certificato sia il suo, il modo più naturale di fare ciò è controllare la catena di fiducia dalla propria chiave alla chiave dell'amico. Tradotto: se hai firmato la sua chiave pgp con la tua chiave pgp verificando di persona che quello che stavi firmando fosse proprio la sua chiave, allora ti puoi fidare; se hai firmato la chiave di un amico in comune che a sua volta ha firmato la chiave di chi stai aggiungendo (in questo modo indicandoti che ne ha verificato la corrispondenza persona-chiave) ti puoi fidare abbastanza (dipende da quanto ti fidi dell'amico in comune e da quanto questo abbia capito come funziona una rete di fiducia).<br />
<br />
Riassumendo: o si verificano le firme o si verifica di persona il fingerprint del certificato o il certificato stesso.<br />
<br />
Chiaramente se non si fa così ci si espone ad [https://it.wikipedia.org/wiki/Attacco_man_in_the_middle attacchi man in the middle], in cui un tizio malvagio legge in chiaro e senza fatica tutte le comunicazioni private e lo scambio di contenuti che avviene tra te e l'altro amico e nessuno dei due se ne accorgerebbe.<br />
<br />
===Assenza di plausible deniability===<br />
Quando usi messaggi firmati stai certificando a chi leggerà che il messaggio è stato scritto proprio da chi lo firma, e quindi se questo stesso messaggio venisse ricevuto anche da un malintenzionato (ad esempio un backup finito nelle mani sbagliate o una persona che usa il tuo pc o un man in the middle), l'autore non potrebbe negarne la paternità, è firmato con PGP/GPG dunque solo lui ne può essere l'autore e il responsabile.<br />
====Contromisure====<br />
Non date il vostro computer a cani porci e simili.<br />
Mettete i vostri backup solo in posti fidati.<br />
In casi estremi andate in vettovaglie a dare la vostra chiave publica e privata a tonino (quello che suona le pentole) in modo da poter dimostrare che chiunque avrebbe potuto firmare quel messaggio e non solo voi visto che la chiave privata e' compromessa (Invece di darla a tonino potreste pensare che sia efficace anche pubblicarla su un sito, pero' cosi' potrebbe anche andare a finire in mani smaliziate che potrebbero usarla per decifrare i vostri messaggi (mentre se la date a tonino non credo che lo faccia, pero' credo basti per dimostrare che qualcun'altro avrebbe potuto)) <br />
<br />
===Condivisione files===<br />
Se si vuole condividere un file privato solo con poche persone bisogna fare molta attenzione: in assenza di accortezze mirate è certo che nel giro di pochi minuti quel file potrà essere scaricato da un ampissimo numero di persone.<br />
<br />
Anche se il file in questione si trovasse in una cartella in cui è stato disabilitata l'opzione "Directory is accessible by anonymous tunnels from any friend" (che tradotto dal retrosharese vuol dire: il tizio della GdF che è amico dell'amico dell'amico che hai tra gli amici può trovare questo file tramite la funzione cerca e scaricarlo passando dagli amici in comune a te, non capirà che il file glielo passi tu (tu lo passi al tuo amico, che lo passa al suo amico che lo passa al finanziere), ma ne può leggere il contenuto) o se passi il file da dentro una chat, quando la persona a cui vuoi passare il file lo scaricherà questo file verrà salvato nella cartella Downloads, che di default è "accessible by anonymous tunnels from any friend" dunque chiunque al mondo riuscirebbe a trovarlo tramite la funzione cerca ed a scaricarlo. Paradossalmente era meglio allegarlo ad una email. <br />
<br />
Per essere sicuri che un file venga condiviso solo con una ristretta cerchia di amici, bisogna che TUTTI in quella ristretta cerchia di amici scarichino il file in una cartella visibile solo alla cerchia ristretta, e non nella cartella di Download (che e` il defualt e per default e' condivisa anche anonimamente(=chiunque puo` scaricare in modo anonimo quello che c'e` dentro)).<br />
<br />
===Diffusione di link retroshare://===<br />
RetroShare permette di ottenere dei link ai contenuti che assomigliano a questo<br />
retroshare://file?name=rapina-15-gennaio-2014-poste-via-del-pontiere.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
che può essere cifrato quanto volete ma nel testo del link riportato qui sopra è contenuto il nome del file, che spesso è indicatore del contenuto, per cui se volete condividere dei link compromettenti cambiategli la parte name visto che il file non viene identificato dal nome ma dalla dimensione e dall'hash, per esempio il link precedente diventerebbe<br />
retroshare://file?name=immanuel_casto-come_e_bella_la_cappella-lyrics.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
potete notare hash e size invariati, i vostri amici potranno successivamente rinominare il file<br />
<br />
===Chat lobby===<br />
Nelle chat lobbies pubbliche può entrare chiunque e con il nick che gli pare, per cui non ti puoi fidare di nessuno, i nickname che vedi potrebbero essere falsificati senza difficoltà. Due modi, come esempio: quando sei in una chat lobby puoi cambiare il tuo nickname in qualcos'altro di tuo gradimento; oppure puoi creare una nuova identità (una nuova chiave pgp/gpg) con il nome che desideri e poi entrare nella chat lobby spacciandoti per chi vuoi.<br />
<br />
===Tracciamento tramite DHT===<br />
Aprendo RetroShare di default partecipiamo ad una DHT (si puo' disabilitare), una tabella accessibile pubblicamente in cui pubblichiamo il nostro IP, per semplificare la connessione con gli altri peer. Questo rende molto più efficace la connessione con gli amici ma il fatto di pubblicare il nostro IP permette una geolocalizzazione ogni volta che apriamo RS. Per interrogare la DHT serve conoscere una certa stringa che ci identifica, pare che questa stringa venga comunicata solo agli amici. Il contenuto della DHT può anche essere modificato utilizzando 8 fonti che inseriscono informazioni false usando quella stringa identificativa, dunque possono scriverci dentro un ip sbagliato per farsi contattare dai tuoi amici (che poi non ci comunicano perché la chiave pgp non corrisponde) e segnarsi i loro IP. Gli IP pubblici e statici presenti nel sorgente di RS che servono per fare il bootstrap della DHT, cosa possono sapere su di noi? Quasi zero anche perche` la DHT che viene usata e` quella di bittorrent che potrebbe essere usata per altre 10000 applicazioni diverse quindi l'unica informazione che stai pubblicando e', "questo id DHT" corrisponde "a questo ip:porta".<br />
<br />
===Aggiunta di contatti non fidati===<br />
RetroShare è una rete friend2friend, il caso in cui aggiungi come contatto uno che non è tuo amico non è nemmeno contemplato tra le situazioni in cui difendersi. Se aggiungi un peer non fidato o se un peer clicca su "ricorda la password" quando fa il login su RS (e dunque salta buona parte della sicurezza) o se un peer perde la sua chiave privata di RS (ad esempio lasciando accedere ad altri ad un backup del suo pc) beh, questo contatto malvagio può sapere con chi comunichi, quando sei attivo alla tastiera, chi altro hai aggiunto come amico, può sfogliare parte dei tuoi files, può sapere a quali chat lobby, quali forum e quali canali sei iscritto etc etc.<br />
<br />
===Installazione di versioni di RetroShare compilate da estranei===<br />
All'interno di RS sono molto popolari canali in cui vengono condivise versioni precompilate di RS, ad esempio molti utenti windows utilizzano questi file per avere l'ultimissima versione di RS. Ovviamente chi compila può decidere di modificare RS per far fare al nostro pc qualsiasi cosa lui voglia.<br />
<br />
===Leak della chiave PGP/GPG e della password===<br />
Dobbiamo essere consapevoli che anche RetroShare può avere dei bug (che magari hanno le potenzialità di essere usarti come backdoor, come tutti i software, ma retroshare con la sua crescita [https://www.ohloh.net/p/retroshare/analyses/latest/languages_summary vertiginosa] potrebbe essere peggio) o [https://www.ohloh.net/p/retroshare/contributors sviluppatori] in malafede che introducono backdoors (come tutti i software?) o potremmo aver installato una versione compilata da sconosciuti che possono aver modificato il sorgente. In questo caso sia la chiave privata PGP/GPG che la password che la protegge potrebbero venirci rubati. Senza dubbio è consigliabile usare la chiave di RetroShare solo per RetroShare, in modo che in caso di furto i danni siano limitati e non venga compromessa la chiave principale (usata per decifrare mail, firmare mail, accedere a server etc).</div>Kibahttps://wiki.eigenlab.org/index.php?title=RetroShare&diff=485RetroShare2014-06-12T14:35:01Z<p>Kiba: /* Compilare RS con interfaccia grafica su Debian Linux o Ubuntu */</p>
<hr />
<div>RetroShare è un software per comunicare con pochi amici fidati (f2f) senza l'utilizzo di server centrali (distribuito, da portatile a portatile) e cifrato.<br />
<br />
* [http://retroshare.sourceforge.net/ homepage RetroShare]<br />
* [http://en.wikipedia.org/wiki/RetroShare wikipedia RetroShare]<br />
<br />
=Installazione=<br />
Alcune delle distribuzioni Linux (ad esempio OpenSUSE) lo distribuiscono direttamente sui loro repository, per altre distribuzioni Linux e per altri sistemi operativi si può scaricare l'eseguibile/pacchetto gia compilato direttamente dal [http://retroshare.sourceforge.net/downloads.html sito ufficiale], oppure lo si può compilare, ma non è semplicissimo.<br />
<br />
==Ottenere il sorgente==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/GetTheSource Qui] ci sono le indicazioni per scaricare il codice sorgente, MAI MAI MAI fidarsi ad installare versioni compilate da sconosciuti e/o trovate all'interno di RetroShare, fidarsi SOLO del sito ufficiale.<br />
<br />
sudo apt-get install subversion<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
oppure<br />
<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
per avere una versione meno recente ma più stabile.<br />
<br />
==Compilare su Linux==<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Installa millemila dipendenze randomiche, dipendono da quale Linux hai, puoi provar ad installare la lista che c'è sotto per Debian/Ubuntu, poi durante la compilazione compariranno errori per ogni pacchetto necessario da cui capirai quali dipendenze ti mancano.<br />
<br />
[http://retroshare.sourceforge.net/wiki/index.php/Compile Compilare su altri OS]<br />
<br />
[http://svn.code.sf.net/p/retroshare/code/trunk/README.txt Indicazioni per Linux] qui consigliano di compilarsi pure rsctrl e retroshare-nogui ma credo che alla maggior parte della gente non servano.<br />
<br />
===Compilare RS con interfaccia grafica su Debian Linux o Ubuntu===<br />
Sei davvero sicuro di volerci provare? Non ti basta la versione scaricabile da [http://retroshare.sourceforge.net/downloads.html qui]?<br />
<br />
Questa guida è basata su [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt quella ufficiale], differisce per essere mirata alla compilazione di solo retroshare-GUI cioè del minimo che serve per avere un retroshare con interfaccia grafica.<br />
<br />
<br />
Per compilare:<br />
<br />
- installa il software da cui dipende retroshare. Su ubuntu e debian:<br />
sudo apt-get install subversion libglib2.0-dev libupnp-dev qt4-dev-tools libqt4-dev libssl-dev libxss-dev \<br />
libgnome-keyring-dev libbz2-dev libqt4-opengl-dev libqtmultimediakit1 qtmobility-dev libspeex-dev \<br />
libspeexdsp-dev libxslt1-dev libprotobuf-dev protobuf-compiler cmake libcurl4-openssl-dev tclsh libsqlite3-dev<br />
<br />
- crea una nuova cartella (es. ~/retroshare-trunk) e scarica il codice sorgente (se non già fatto, come indicato sopra)<br />
svn co svn://svn.code.sf.net/p/retroshare/code/branches/v0.5.5 retroshare-0.5.5<br />
<br />
oppure, se vuoi provare a compilare l'ultimissima, instabile versione:<br />
svn co svn://svn.code.sf.net/p/retroshare/code/trunk retroshare-trunk<br />
<br />
- spostati nella nuova cartella<br />
cd retroshare-0.5.5<br />
<br />
- crea la cartella lib<br />
mkdir lib<br />
<br />
- c'è un altra dipendenza, sqlcipher, che bisogna compilare perchè non è stato ancora pacchettizato. È richiesto da GXS, il nuovo sistema di cache che avrà RetroShare, che userà sqlcipher per avere un database cifrato<br />
cd lib<br />
git clone git://github.com/sqlcipher/sqlcipher.git<br />
cd sqlcipher<br />
./configure --enable-tempstore=yes CFLAGS="-DSQLITE_HAS_CODEC" LDFLAGS="-lcrypto"<br />
make<br />
cd ../..<br />
<br />
A questo punto può avvenire la compilazione delle componenti di retroshare. Ci metterà un po', a seconda di quanto è veloce il computer.<br />
<br />
- libbitdht<br />
cd libbitdht/src && qmake && make clean && make -j 4 <br />
<br />
- openpgpsdk<br />
cd ../../openpgpsdk/src && qmake && make clean && make -j 4<br />
<br />
- supportlibs<br />
cd ../../supportlibs/pegmarkdown && qmake && make clean && make -j 4<br />
<br />
- libretroshare<br />
cd ../../libretroshare/src && qmake && make clean && make -j 4<br />
<br />
- retroshare gui<br />
cd ../../retroshare-gui/src && qmake && make clean && make -j 4<br />
<br />
<br />
<br />
Sono disponibili diversi plugin, FeedReader, LinksCloud e VOIP.<br />
<br />
Il plugin VOIP necessita di qtmobility. su debian<br />
sudo apt-get install qtmobility-dev<br />
<br />
Puoi compilare tutti i plugin insieme<br />
cd plugins && qmake && make clean && make<br />
oppure separatamente, spostandoti nelle relative cartelle<br />
qmake && make clean && make<br />
<br />
Il risultato della compilazione, i file lib*.so* vanno copiati nella cartella ~.retroshare/extensions/<br />
<br />
Retroshare, come misura di sicurezza, mostra un avviso ogni volta che questi file cambiano, quindi se li hai appena copiato o aggiornato i file non preoccuparti<br />
<br />
===Compilare RS il plugin VOIP su Debian Linux===<br />
VOIP = Voice Over IP<br />
<br />
sudo apt-get install qtmobility-dev libspeexdsp-dev<br />
cd retroshare-trunk/src/plugins/VOIP<br />
qmake<br />
make<br />
mkdir -p ~/.retroshare/extensions<br />
cp -P libVOIP.so* ~/.retroshare/extensions/<br />
<br />
===Compilare RS con interfaccia testuale su Debian Linux===<br />
Prova a seguire le istruzioni presenti [http://svn.code.sf.net/p/retroshare/code/trunk/README.txt qui] (ma perché non usano libssh pacchettizzato che c'è nei repository?).<br />
<br />
===Problemi di compilazione===<br />
Solitamente gli errori sono lamentele per pacchetti mancanti che dovrete installare, sono spesso una quantità [https://www.youtube.com/watch?v=GBACLpkon6Q snervante] di errori simili a questi:<br />
<br />
fatal error: bzlib.h: File o directory non esistente (cioè ti serve libbz2-dev)<br />
fatal error: gnome-keyring-1/gnome-keyring.h: File o directory non esistente (cioè ti serve libgnome-keyring-dev)<br />
make: /usr/bin/uic-qt4: Command not found (cioè ti serve libqt4-dev-bin)<br />
fatal error: QObject: File o directory non esistente (cioè ti serve libqt4-dev)<br />
fatal error: X11/extensions/scrnsaver.h: File o directory non esistente (cioè ti serve libxss-dev)<br />
<br />
In questo caso dovrete andar a scoprire in quale pacchetto della vostra distribuzione è contenuto il file mancante, ad esempio per Debian potete usare l'ultimo campo di ricerca in fondo a [http://packages.debian.org questa] pagina o per Ubuntu su [http://packages.ubuntu.com questa].<br />
<br />
Se alcuni errori non scompaiono dopo aver installato la dipendenza potete provar a ricominciare la compilazione dall'inizio con <br />
make clean<br />
che cancellerà tutti i file compilati, e dunque ricominciare.<br />
<br />
Se fin qui non vi siete bloccati per errori randomici (impossibile) potete lanciare RetroShare con<br />
<br />
===Lanciare RetroShare===<br />
<br />
Aprite la cartella retroshare-trunk/src/retroshare-gui e fate doppio click sul file "RetroShare" sennò potete aprire da terminale:<br />
retroshare-trunk/src/retroshare-gui/src/RetroShare 2> /dev/null &<br />
(il 2> /dev/null & serve per non avere troppo output inutile sul terminale).<br />
<br />
===Malfunzionamenti===<br />
Come quasi tutti i programmi che fanno uso della rete, molti problemi possono essere causati dall'avere l'orologio del pc non sincronizzato con gli orologi dei propri amici, per cui assicuratevi di aver configurato bene l'orologio e il fuso orario di sistema.<br />
<br />
=Utilizzo=<br />
<br />
La sicurezza di RetroShare è basata sul connettersi direttamente ( in modo non anonimo ) solo ad amici fidati certificando l'identità dei peers, qui sta il fulcro della sua "sicurezza", nell'essere certi di comunicare direttamente solo con persone fidate.<br />
<br />
Dunque RetroShare cerca di impedire che le tue comunicazioni vengano viste da peers di cui non ti fidi (GDF, D1g0s, etc). Se il processo di aggiunta degli amici viene fatto con troppa leggerezza (ad esempio usando le chiavi presenti su un [http://wiki.ninux.org/RetroShare wiki] modificabile da cani e porci) senza verificarne il fingerprint ci si gioca la propria sicurezza e l'utilizzo di RetroShare diventa completamente inutile producendo solo un senso di falsa sicurezza.<br />
<br />
Aggiungi solo chiavi [[PGP|PGP/GPG]] che sei sicuro/a essere di amici fidati. Per esser sicuri che una chiave [[PGP|PGP/GPG]] sia di un amico fidato dovresti chiedergli di persona il fingerprint (una stringa di una decina di caratteri e numeri) della sua chiave [[PGP|PGP/GPG]] e poi controllare di aggiungere solo la chiave col fingerprint corrispondente.<br />
<br />
==Rischi==<br />
<br />
Come in ogni programma e ancor di più in quelli che cercano di proteggere la vostra privacy, ciascuna funzione è concepita per esser utilizzata in un certo modo, non studiarne bene il funzionamento può compromettere seriamente la propria privacy. Come al solito non ci si può fidare di qualcosa che non si conosce perché potrebbe funzionare MOLTO diversamente da come ci si immagina.<br />
<br />
===Aggiunta di contatti fidati senza verificarne l'identità===<br />
Quando si aggiunge il certificato di un amico bisogna essere sicuri al 100% che il certificato sia il suo, il modo più naturale di fare ciò è controllare la catena di fiducia dalla propria chiave alla chiave dell'amico. Tradotto: se hai firmato la sua chiave pgp con la tua chiave pgp verificando di persona che quello che stavi firmando fosse proprio la sua chiave, allora ti puoi fidare; se hai firmato la chiave di un amico in comune che a sua volta ha firmato la chiave di chi stai aggiungendo (in questo modo indicandoti che ne ha verificato la corrispondenza persona-chiave) ti puoi fidare abbastanza (dipende da quanto ti fidi dell'amico in comune e da quanto questo abbia capito come funziona una rete di fiducia).<br />
<br />
Riassumendo: o si verificano le firme o si verifica di persona il fingerprint del certificato o il certificato stesso.<br />
<br />
Chiaramente se non si fa così ci si espone ad [https://it.wikipedia.org/wiki/Attacco_man_in_the_middle attacchi man in the middle], in cui un tizio malvagio legge in chiaro e senza fatica tutte le comunicazioni private e lo scambio di contenuti che avviene tra te e l'altro amico e nessuno dei due se ne accorgerebbe.<br />
<br />
===Assenza di plausible deniability===<br />
Quando usi messaggi firmati stai certificando a chi leggerà che il messaggio è stato scritto proprio da chi lo firma, e quindi se questo stesso messaggio venisse ricevuto anche da un malintenzionato (ad esempio un backup finito nelle mani sbagliate o una persona che usa il tuo pc o un man in the middle), l'autore non potrebbe negarne la paternità, è firmato con PGP/GPG dunque solo lui ne può essere l'autore e il responsabile.<br />
====Contromisure====<br />
Non date il vostro computer a cani porci e simili.<br />
Mettete i vostri backup solo in posti fidati.<br />
In casi estremi andate in vettovaglie a dare la vostra chiave publica e privata a tonino (quello che suona le pentole) in modo da poter dimostrare che chiunque avrebbe potuto firmare quel messaggio e non solo voi visto che la chiave privata e' compromessa (Invece di darla a tonino potreste pensare che sia efficace anche pubblicarla su un sito, pero' cosi' potrebbe anche andare a finire in mani smaliziate che potrebbero usarla per decifrare i vostri messaggi (mentre se la date a tonino non credo che lo faccia, pero' credo basti per dimostrare che qualcun'altro avrebbe potuto)) <br />
<br />
===Condivisione files===<br />
Se si vuole condividere un file privato solo con poche persone bisogna fare molta attenzione: in assenza di accortezze mirate è certo che nel giro di pochi minuti quel file potrà essere scaricato da un ampissimo numero di persone.<br />
<br />
Anche se il file in questione si trovasse in una cartella in cui è stato disabilitata l'opzione "Directory is accessible by anonymous tunnels from any friend" (che tradotto dal retrosharese vuol dire: il tizio della GdF che è amico dell'amico dell'amico che hai tra gli amici può trovare questo file tramite la funzione cerca e scaricarlo passando dagli amici in comune a te, non capirà che il file glielo passi tu (tu lo passi al tuo amico, che lo passa al suo amico che lo passa al finanziere), ma ne può leggere il contenuto) o se passi il file da dentro una chat, quando la persona a cui vuoi passare il file lo scaricherà questo file verrà salvato nella cartella Downloads, che di default è "accessible by anonymous tunnels from any friend" dunque chiunque al mondo riuscirebbe a trovarlo tramite la funzione cerca ed a scaricarlo. Paradossalmente era meglio allegarlo ad una email. <br />
<br />
Per essere sicuri che un file venga condiviso solo con una ristretta cerchia di amici, bisogna che TUTTI in quella ristretta cerchia di amici scarichino il file in una cartella visibile solo alla cerchia ristretta, e non nella cartella di Download (che e` il defualt e per default e' condivisa anche anonimamente(=chiunque puo` scaricare in modo anonimo quello che c'e` dentro)).<br />
<br />
===Diffusione di link retroshare://===<br />
RetroShare permette di ottenere dei link ai contenuti che assomigliano a questo<br />
retroshare://file?name=rapina-15-gennaio-2014-poste-via-del-pontiere.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
che può essere cifrato quanto volete ma nel testo del link riportato qui sopra è contenuto il nome del file, che spesso è indicatore del contenuto, per cui se volete condividere dei link compromettenti cambiategli la parte name visto che il file non viene identificato dal nome ma dalla dimensione e dall'hash, per esempio il link precedente diventerebbe<br />
retroshare://file?name=immanuel_casto-come_e_bella_la_cappella-lyrics.pdf&size=51795&hash=a79351527b56663357899a7211dd22d954c00110<br />
potete notare hash e size invariati, i vostri amici potranno successivamente rinominare il file<br />
<br />
===Chat lobby===<br />
Nelle chat lobbies pubbliche può entrare chiunque e con il nick che gli pare, per cui non ti puoi fidare di nessuno, i nickname che vedi potrebbero essere falsificati senza difficoltà. Due modi, come esempio: quando sei in una chat lobby puoi cambiare il tuo nickname in qualcos'altro di tuo gradimento; oppure puoi creare una nuova identità (una nuova chiave pgp/gpg) con il nome che desideri e poi entrare nella chat lobby spacciandoti per chi vuoi.<br />
<br />
===Tracciamento tramite DHT===<br />
Aprendo RetroShare di default partecipiamo ad una DHT (si puo' disabilitare), una tabella accessibile pubblicamente in cui pubblichiamo il nostro IP, per semplificare la connessione con gli altri peer. Questo rende molto più efficace la connessione con gli amici ma il fatto di pubblicare il nostro IP permette una geolocalizzazione ogni volta che apriamo RS. Per interrogare la DHT serve conoscere una certa stringa che ci identifica, pare che questa stringa venga comunicata solo agli amici. Il contenuto della DHT può anche essere modificato utilizzando 8 fonti che inseriscono informazioni false usando quella stringa identificativa, dunque possono scriverci dentro un ip sbagliato per farsi contattare dai tuoi amici (che poi non ci comunicano perché la chiave pgp non corrisponde) e segnarsi i loro IP. Gli IP pubblici e statici presenti nel sorgente di RS che servono per fare il bootstrap della DHT, cosa possono sapere su di noi? Quasi zero anche perche` la DHT che viene usata e` quella di bittorrent che potrebbe essere usata per altre 10000 applicazioni diverse quindi l'unica informazione che stai pubblicando e', "questo id DHT" corrisponde "a questo ip:porta".<br />
<br />
===Aggiunta di contatti non fidati===<br />
RetroShare è una rete friend2friend, il caso in cui aggiungi come contatto uno che non è tuo amico non è nemmeno contemplato tra le situazioni in cui difendersi. Se aggiungi un peer non fidato o se un peer clicca su "ricorda la password" quando fa il login su RS (e dunque salta buona parte della sicurezza) o se un peer perde la sua chiave privata di RS (ad esempio lasciando accedere ad altri ad un backup del suo pc) beh, questo contatto malvagio può sapere con chi comunichi, quando sei attivo alla tastiera, chi altro hai aggiunto come amico, può sfogliare parte dei tuoi files, può sapere a quali chat lobby, quali forum e quali canali sei iscritto etc etc.<br />
<br />
===Installazione di versioni di RetroShare compilate da estranei===<br />
All'interno di RS sono molto popolari canali in cui vengono condivise versioni precompilate di RS, ad esempio molti utenti windows utilizzano questi file per avere l'ultimissima versione di RS. Ovviamente chi compila può decidere di modificare RS per far fare al nostro pc qualsiasi cosa lui voglia.<br />
<br />
===Leak della chiave PGP/GPG e della password===<br />
Dobbiamo essere consapevoli che anche RetroShare può avere dei bug (che magari hanno le potenzialità di essere usarti come backdoor, come tutti i software, ma retroshare con la sua crescita [https://www.ohloh.net/p/retroshare/analyses/latest/languages_summary vertiginosa] potrebbe essere peggio) o [https://www.ohloh.net/p/retroshare/contributors sviluppatori] in malafede che introducono backdoors (come tutti i software?) o potremmo aver installato una versione compilata da sconosciuti che possono aver modificato il sorgente. In questo caso sia la chiave privata PGP/GPG che la password che la protegge potrebbero venirci rubati. Senza dubbio è consigliabile usare la chiave di RetroShare solo per RetroShare, in modo che in caso di furto i danni siano limitati e non venga compromessa la chiave principale (usata per decifrare mail, firmare mail, accedere a server etc).</div>Kibahttps://wiki.eigenlab.org/index.php?title=EigenNet&diff=367EigenNet2013-08-29T17:21:57Z<p>Kiba: </p>
<hr />
<div><br />
[[File:EigenNet.png|right]]<br />
==eigenNet==<br />
<br />
eigenNet è una rete wireless mesh libera e decentralizzata di Pisa. <br />
In altri termini il progetto di una rete wireless diffusa su una buona parte del centro di Pisa tramite da Access Point dislocati in vari punti della città. Questi dispositivi devono formare tra di loro una vera e propria [http://pisa.ninux.org rete] in cui le intersezioni o "nodi" sono in comunicazione wireless o via cavo tra di loro. La rete connette tutti quelli che si connettono e li tratta alla pari, permettendo a tutti di accedere ai [[EigenNet#I_servizi_offerti|servizi offerti]] da tutti. I dati sulla rete corrono da un capo all'altro della rete [[EigenNet#Il_firmware_di_EigenNet | calcolando]] il percorso migliore. <br />
<br />
Chiunque può connettersi alla nostra rete e chiunque può partecipare, anche indipendentemente da noi, al suo ampliamento, non ne vogliamo essere i padroni: infatti se tutti sono padroni di un pezzetto di rete allora nessuno avrà mai il potere per censurarla. Se ti chiedi quali ragionamenti ci hanno spinto a far partire un progetto così impegnativo dai un'occhiata agli [[EigenNet#Approfondimenti|approfondimenti]]. <br />
<br />
[[EigenNet#Come_partecipare|Come partecipare?]] Ad esempio mettendo una antenna adatta a casa propria!<br />
<br />
== Come funziona == <br />
I nodi partecipano alla rete tutti in modo '''paritario''' e sono connessi fra loro solitamente tramite wireless ma dove possibile anche tramite link [[ethernet]]. Stiamo pensando anche ai primi link in fibra ottica. I nodi sono formati fisicamente da '''antenne poste sui tetti delle case pisane''' e l'hardware da noi usato si compone di [[PicoStation|Ubiquity PicoStation M2 HP]] (da esterni, omnidirezionali, circa [http://www.wifistore.it/index.php/ubiquiti-picostation-m2-hp.html 70] euro, per una casa vicina ad un altro nodo della nostra rete dovrebbe bastare una di queste), [http://www.ubnt.com/downloads/datasheets/nanostationm/nsm_ds_web.pdf Ubiquiti NanoStation M5] (da esterni, settoriali, da [http://www.wifistore.it/index.php/ubiquiti-nanostation-locom5-5ghz.html 50] a [http://www.wifistore.it/index.php/ubiquiti-nanostationm5-5ghz-16dbi.html 65] euro, necessaria per collegare edifici lontani pochi km dal resto della rete), [http://www.ubnt.com/downloads/datasheets/airgridm/agmhp_datasheet_web.pdf Ubiquiti AirGrid M5 HP] (da esterni, direzionali, da [http://www.wifistore.it/index.php/ubiquiti-airgrid-m5-23-hp.html 47] a [http://www.wifistore.it/index.php/ubiquiti-airgrid-m5-27-hp.html 54] euro, collegamenti a lunghezze di parecchi km) e [[Fonera|Fonere]] (da interni, omnidirezionali, poche decine di euro) ma possiamo acquistare o riutilizzare una ampia gamma di antenne in caso di necessità specifiche. Su queste antenne viene installata una [[EigenNet#Il_firmware_di_EigenNet|versione modificata]] di [https://openwrt.org OpenWRT], pronta per essere usata con EigenNet. <br />
<br />
Se vuoi sapere subito come puoi partecipare vai alla sezione [[#Come partecipare]].<br />
<br />
==Status - Mappa di EigenNet== <br />
Al momento EigenNet è ancora in fase sperimentale, ma sta crescendo. <br />
La struttura della rete osservabile tramite il [http://pisa.ninux.org map server] messo a disposizione dagli amici di [http://ninux.org Ninux] (per capire il map server: <br />
*segnaposto arancioni = nodi potenziali, <br />
*verde = solo per struttura della rete, <br />
*blu = anche possibilità di connessione). <br />
==I servizi offerti== <br />
Avere internet gratis è solo uno dei tanti vantaggi che si acquista facendo parte di EigenNet, e non lo riteniamo il più importante, per quanto nonostante abbattere il digital divide sia una missione nobile.<br />
Rimandiamo agli approfondimenti chi vuole sapere perchè abbiamo creato EigenNet. <br />
EigenNet è concepita per dare servizi e contenere siti, non solo per dare accesso ad Internet. Chiunque può connettersi ad EigenNet e offrire, ad esempio, un nuovo sito senza esser censurato. <br />
Alcuni esempi di questi servizi sono: <br />
* poter usare l'ipv6 ossia poter sopravvivere alla [http://it.wikipedia.org/wiki/Saturazione_di_IPv4 fine degli ipv4]; <br />
* poter gestire liberamente su un proprio pc un sito o qualsiasi servizio che sarà accessibile dall'interno della rete (sfruttando l'alta velocità di trasferimento dati della nostra rete ed una bassa latenza: da 1 a 5 millisecondi per ogni antenna che i dati devono passare) ma anche dall'esterno da chi ha già un ipv6; <br />
* libero scambio di ogni tipo di dato (per avere la massima sicurezza nello scambio di file consigliamo l'uso del software [[RetroShare]] che utilizza la cifratura con [[PGP]]). <br />
== Features == <br />
Dettagli tecnici sulle features al momento implementate sulla nostra rete: EigenNet Mobile Ad Hoc Network <br />
* Native auto-configuration <br />
* Low cost infrastructure (60 - 200 each node) <br />
* Perfect integration with existent infrastructure <br />
* Can create [http://en.wikipedia.org/wiki/IEEE_802.1Q multiple separated] native layer 2 network on same mesh <br />
* [http://en.wikipedia.org/wiki/Scalability Highly Scalable] [3] <br />
* Native [http://en.wikipedia.org/wiki/Mobile_ad_hoc_network Mobility] and [http://en.wikipedia.org/wiki/Wireless_LAN#Roaming client Roaming] support <br />
* [http://en.wikipedia.org/wiki/OSI_model Layer 3] agnostic ( EigenNet doesn't need to regard about ipv6 ipv4 etc etc, EigenNet is transparent for communication at layers upper 2 ) <br />
* Routing Scheme agnostic ( eigenNet is transparent for communication at layers upper 2 ).See also [[Routing EigenNet]].<br />
* Routing managed at level 2 by [http://www.open-mesh.org/projects/batman-adv/wiki B.A.T.M.A.N. Advanced] and at level 3 by [http://www.pps.jussieu.fr/~jch/software/babel/ Babeld] <br />
* No need of centralized or external control <br />
* Distributed network (no one possess the entire network, no one is responsible of all network) <br />
* Due to his distributed nature no cost/licenses/fees related to the use of open spectrum <br />
* High [http://en.wikipedia.org/wiki/Resilience_(network) resilience] due the [http://en.wikipedia.org/wiki/Wireless_mesh_networks mesh] nature <br />
* Used frequencies are 2.4GHz (802.11g, mostly) and 5GHz (802.11a) <br />
* We have a /48 subnet of IPv6 <br />
* No cost for software licenses/fees everything used is released under [http://en.wikipedia.org/wiki/GNU_General_Public_License GPL] or less restrictive Licenses<br />
<br />
== Il firmware di EigenNet == <br />
Il firmware è il sistema operativo che viene flashato nelle antenne, noi siamo partiti dall'ottimo [http://openwrt.org OpenWRT] per realizzare il [http://gitorious.org/eigennet nostro firmware]. <br />
In particolare implementa un modulo nel kernel linux, [http://www.open-mesh.org/projects/batman-adv/wiki Batman adv], che serve per gestire il routing tra le antenne (ossia che percorso far fare ai dati) ed ha la peculiarità di lavorare a Layer 2. <br />
Il firmware eigenNet con il suo modulo eigennet-autoconf, si occupa di far sì che i dispositivi possano immediatamente entrare a far parte della nostra rete configurandoli automaticamente. Ulteriori informazioni sull'auto-configurazione si trovano [[Firmware_eigenNet|qui]] e [http://wiki.ninux.org/ScriptAutoConfig qui].<br />
<br />
== Come partecipare == <br />
Per entrare a far parte della rete bisogna innanzitutto aggiungere un segnaposto sul [http://pisa.eigenlab.org map server] ed è caldamente consigliata l'iscrizione alla apposita mailing list locale: [http://ml.ninux.org/mailman/listinfo/nodi-pisa mailing list eigenNet] ed a quella nazionale: [http://ml.ninux.org/mailman/listinfo/wireless mailing list Ninux].<br />
=== Chiedendo aiuto alla comunita' === <br />
Noi siamo ben disposti ad aiutarvi a montarr una antenna che estenda eigenNet, prima di tutto [https://eigenlab.org/contatti contattateci], possibilmente fatevi conoscere di persona passando al [[Mappa Laboratorio | casottino]] altrimenti possiamo direttamente venire da voi per un sopralluogo (se dal [http://pisa.ninux.org mapserver] sembra possibile fare il collegamento). E' richiesto il pagamento dell'attrezzatura necessaria al montaggio fisico del nodo e dei componenti (indicativamente: sugli 70-80 euro di antenna Ubiquity [[PicoStation]] o NanoStation, qualche decina di euro per cavo di rete FTP cat5 e per il corrugato). Chiaramente è possibile entrare nella rete anche con un access point wireless già in vostro possesso, controllate che sia [http://wiki.openwrt.org/toh/start compatibile con OpenWrt] e che abbia almeno 4 MB di memoria Flash. Il servizio è gratuito (siamo volontari) e il supporto tecnico è offerto da eigenLab ( ma coerentemente con la nostra filosofia di AutoFormazione vi incoraggiamo a sperimentare e a cercar di risolvere i problemi che potrebbero sorgere, anche se solitamente si risolvono staccando e riattaccando la presa di corrente dell'antenna ). Da non dimenticare che fortemente consigliato il posizionamento dell'antenna sul tetto, dunque è necessario poterci salire ( siamo atletici ma non possiamo nè volare nè andare contro il parere del condominio ) ed è necessario trovare il modo di alimentare l'antenna, basta un cavo sottile che parta dal sottotetto (se di proprietà) o da casa vostra, nel sopralluogo studieremo le possibilità, nel caso peggiore potremo posizionare l'antenna fuori da una finestra o in altri luoghi più convenienti.<br />
<br />
=== Installandosi un' antenna da soli === <br />
Una volta segnalata la propria posizione sul [http://pisa.ninux.org mapserver] bisogna trovare/acquistare un access point [http://wiki.openwrt.org/toh/start compatibile con OpenWRT] ed almeno 4 MB di memoria Flash (non di quella RAM). Abbiamo scritto alcune istruzioni per l'hardware che usiamo solitamente: [[Fonera]] (poche decine di euro, da interni), [[PicoStation]] (circa [http://www.wifistore.it/index.php/ubiquiti-picostation-m2-hp.html 70] euro, da esterni) e NanoStation (da [http://www.wifistore.it/index.php/ubiquiti-nanostation-locom5-5ghz.html 50] a [http://www.wifistore.it/index.php/ubiquiti-nanostationm5-5ghz-16dbi.html 65] euro, da esterni). <br />
Dunque c'è da individuare quale "target" è adatto ad essere installato sulla nostra antenna (informazione spesso recuperabile sempre nella tabella dell'hardware compatibile con OpenWRT). Se il target è atheros o ar71xx le immagini già compilate possono esser trovate [http://efesto.eigenlab.org/~gioacchino/openwrt/pisaAttitude/ar71xx/ qui]. <br />
Altrimenti è necessario compilare il firmware seguendo le istruzioni reperibili [[Flashing]] (conoscendo l'inglese ed avendo Linux) e [http://wiki.ninux.org/FirmwareEigenNet qui]. <br />
La compilazione può durare delle ore, dipende dalla macchina su cui si compila. Per l'installazione del firmware (ossia il flashing) ottenuto si può far riferimento alle istruzioni valide per l'installazione di OpenWRT sul proprio access point.Dopo aver completato la [[#Configurazione dell'antenna]] questa sarà da fissare sul tetto di casa (ma solo se l'antenna è da esterni) e dovrà essere alimentata. Nel caso delle [[PicoStation]] è possibile posizionare nel sottotetto o dentro casa vostra il [http://it.wikipedia.org/wiki/Power_over_Ethernet POE] collegato alla 220V da cui parte un cavo di rete che porta 12V fino all'antenna all'esterno. Per diminuire i problemi elettrici che possono rovinare l'antenna sul tetto è preferibile utilizzare un cavo schermato FTP per collegare il POE all'antenna in modo da avere anche la messa a terra. Per maggiori dettagli: [[Montaggio delle antenne]]. Infine [https://eigenlab.org/contatti inviateci] i dati necessari a compilare la scheda del vostro nodo sul [http://pisa.ninux.org mapserver] (dovrebbe essere sufficiente l'output del comando ''ip address show'' che potete lanciare alla fine della [[#Configurazione_dell'antenna|configurazione]]).<br />
<br />
=== Senza antenna, tunnel VPN, solo per nerds === <br />
Se si è curiosi di sperimentare i servizi interni alla nostra rete ma non si ha la possibilità di raggiungerla fisicamente è possibile collegarsi tramite una [[VPN | VPN]] ([http://it.wikipedia.org/wiki/Virtual_Private_Network VPN su Wikipedia]) ad uno dei nostri server. Ecco le istruzioni per connettersi alla nostra [[VPN ]]. <br />
== Configurazione dell'antenna == <br />
=== Connettersi all'antenna === <br />
Una volta installato il firmware ci si può connettere all'antenna via cavo ethernet in ipv6, per scoprire l'ip dell'antenna date<br />
ping6 ff02::1%(interfaccia usata per la connessione)<br />
ie<br />
ping6 ff02::1%eth0<br />
Per pingare in broadcast e, guardando il mac address dell'antenna, potete trovare l'antenna <br />
<br />
Per connettersi all'antenna bisogna possedere la chiave dei nodi (se avete compilato l'immagine con firmware branch pisa) col comando<br />
ssh -i [patch della chiave dei nodi] root@[ipv6 dell'antenna]%[interfaccia usata per la connessione]<br />
<br />
<br />
Ecco come ricavare l'ipv6 della propria antenna dal mac address: <br />
iwlist scan |grep -B 5 -i eigen <br />
la stringa dopo Address è il mac address dell'antenna. Come esempio prendiamo 1a:2b:3c:4d:5e:6f. <br />
Dopo aver tolto dal mac address metà dei due punti c'è da aggiungere il prefisso 2001:1418:1a9:eeab: così da avere qualcosa tipo 2001:1418:1a9:eeab:1a2b:3c4d:5e6f. Ora ci si potrà connettere con: <br />
ssh root@2001:470:ca42:ee:ab:1a2b:3c4d:5e6f <br />
una volta connessi all'antenna è possibile, tra le altre cose, verificare quali altre antenne riesce a raggiungere direttamente o passando da altre antenne e con quale qualità usando il comando: <br />
batctl o <br />
=== I file di configurazione === <br />
Il file di configurazione principale del nostro firmware può esser modificato (una volta entrati nell'antenna usando ssh) con: <br />
vi /etc/config/eigennet <br />
premere "i" per iniziare le modifiche, premere "alt + :" e poi "wq" invio per salvare e chiudere il file. <br />
Per applicare ogni modifica, sempre nel file di configurazione va impostata <br />
option 'bootmode' '1' <br />
e riavviata l'antenna con <br />
reboot && exit <br />
Le opzioni più interessanti che si possono modificare sono: <br />
option 'wifi_clients' 'true' <br />
che permette di connettersi alla antenna via wireless e fa annunciare una rete accessibile di nome "eigenNet" (scrivendo false l'antenna funzionerà solo da collegamento tra più punti della rete ed annuncerà solo una rete non accessibile di nome "www.eigenlab.org-www.ninux.org"). <br />
option 'apSSID' 'eigenNet' <br />
il nome della rete accessibile. <br />
list 'resolvers' '2001:470:ca42:ee:ab::1000 8.8.8.8' <br />
è l'elenco dei DNS, siete lberi di usarne di diversi, ad esempio un vostro DNS, purchè non ci siano collisioni con il nostro.<br />
<br />
Altre informazioni possono essere reperite [[Firmware_eigenNet|qui]] e [http://wiki.ninux.org/ScriptAutoConfig qui].<br />
<br />
== Approfondimenti == <br />
* [https://eigenlab.org/articoli-e-comunicati/approfondimenti/102-eigennet-la-nuova-frontiera-delle-reti La nuova frontiera delle reti] Articolo con le motivazioni che ci hanno spinto a creare EigenNet. <br />
* [https://eigenlab.org/eigennet/cose-e-come-partecipare EigenNet] Pagina informativa su EigenNet, molto meno tecnica di questa. <br />
* [https://eigenlab.org/articoli-e-comunicati/approfondimenti/130-qpezzo-agcomq Articolo] di opinione sulla delibera AGCom del 2011. <br />
* [https://eigenlab.org/articoli-e-comunicati/approfondimenti/145-la-prima-guerra-mondiale-del-web-spunti-per-una-discussione-sulla-rete-come-bene-comune La prima guerra mondiale del Web - Spunti per una discussione sulla rete come bene comune] Spunti di riflessione sui tentativi di censura. <br />
* [https://eigenlab.org/articoli-e-comunicati/approfondimenti/149-prospettive-di-liberta-in-rete-appunti-per-la-costruzione-di-una-rete-libera-da-controllo-e-censura Prospettive di libertà in rete: appunti per la costruzione di una rete libera da controllo e censura] Sulla storia dei tentativi (e successi) di censura e controllo di internet.<br />
<br />
== Voci correlate ==<br />
[[BitArno]]<br />
[[Ethernet]]<br />
[[Flashing]]<br />
[[Firmware eigenNet]]<br />
[[Glossario]]<br />
[[HowToRete]]<br />
[[HowToBatman]]<br />
[[Lista Servers eigenNet]]<br />
[[Owncloud]]<br />
[[PicoStation]]<br />
[[RetroShare]]<br />
[[Routing Babeld]]<br />
[[Trashware]]</div>Kibahttps://wiki.eigenlab.org/index.php?title=LXC&diff=366LXC2013-08-29T17:00:26Z<p>Kiba: </p>
<hr />
<div>Per migliorare l'organizzazione della macchina di EigenLab che offre più servizi e per aumentare la sicurezza abbiamo deciso di ricorrere alla virtualizzazione con [http://lxc.sourceforge.net/ LXC] (LinuX Containers).<br />
<br />
<br />
== Creazione della macchina ==<br />
per creare una nuova macchina:<br />
cd /home/lxc <br />
in questa cartella risiederanno i filesystems di root delle macchine virtuali<br />
/usr/src/lxc-gentoo/lxc-gentoo/lxc-gentoo create<br />
presenta un menù interattivo nel quale specificare architettura e nome della macchina;<br />
editare il $NOME.conf secondo le proprie esigenze.<br />
<br />
Per avviare la nuova macchina (e avere una shell di root in essa)<br />
lxc-start -n $NOME.conf -f $FILEDICONFIGURAZIONE<br />
Per avviarla in background:<br />
lxc-start -n $NOME.conf -f $FILEDICONFIGURAZIONE -d<br />
Per spegnerla (meglio non usare lxc-stop)<br />
lxc-shutdown -n $NOME<br />
È utile usare init per gestire automaticamente l'avvio del container<br />
cd /etc/init.d/<br />
ln -s lxc /etc/init.d/lxc.$NOME<br />
rc-update add lxc.$NOME default<br />
<br />
<br />
Per riavviarla:<br />
'''NON''' usare reboot (o simili) dall'interno del container altrimenti la macchina si stoppa e basta.<br />
Per riavviare il proprio container bisogna connettersi via ssh a idra con utente reboot e seguire le istruzioni a schermo.<br />
<br />
Se al riavvio appaiono errori esoterici riguardanti cgroup '''DON'T PANIC''', conta fino a 180 e prova a riavviarla di nuovo.</div>Kibahttps://wiki.eigenlab.org/index.php?title=HowToRete&diff=365HowToRete2013-08-29T16:50:05Z<p>Kiba: </p>
<hr />
<div>Bene, hai un'antenna sul tetto ed ora?<br />
<br />
Se tutto è andato a buon fine appena collegato alla rete il tuo computer riceverà delle informazioni come IP, rotte, DNS servers, ... vediamo un po' cosa sono, se funziona tutto e se hai accesso alla rete...<br />
<br />
In questa guida si assume che tu abbia Linux.<br />
<br />
Se invece sei utente Windows o Mac probabilmente ti "basta che funzioni", salta direttamente a: [[#Riavviare|Riavviare]], se non funziona passa a [[#Riavviare|Riavviare]]. Se invece fossi interessato a capire ed a smanettare ti invitiamo a creare una nuova guida su questo wiki che tratti anche altri sistemi operativi!<br />
<br />
<br />
== Overview ==<br />
<br />
Quando ti connetti ad una rete di computers stai usando un insieme di protocolli ed elementi fisici, le loro interazioni sono schematizzate in uno standard chiamato [http://it.wikipedia.org/wiki/Open_Systems_Interconnection OSI]. Per avere un'idea del funzionamento della rete eigenNet, ma non solo, possiamo partire descrivendo il percorso che faranno i dati dalla sorgente alla destinazione, partiamo dal computer (il tuo) passo passo:<br />
#Dei dati devono essere spediti dal computer client, per esempio il tuo, ad un server, per esempio uno dei server di wikipedia<br />
#Il computer richiede ad un server DNS qual è l'IP del server di wikipedia (don't panic, è tutto spiegato più sotto)<br />
#Una volta ottenuto l'IP il computer proverà a connettersi al server per ricevere i dati, i testi, le immagini<br />
#Per fare questo creerà dei piccoli pacchetti di bits che verranno spediti alla scheda di rete (sia questa wireless o via cavo) contenenti la richiesta di questo o quel contenuto presente su wikipedia<br />
#La scheda di rete si occuperà di trasmettere i pacchetti al passo successivo, nel caso della nostra rete i pacchetti verranno trasmessi fino all'antenna che è sul tuo tetto o sul tetto più vicino e da lì inizierà il percorso fino al gateway più vicino, dal quale raggiungerà il sito richiesto.<br />
#Per il ritorno basta seguire il percorso inverso ma questa volta non serve il passaggio del DNS visto che i pacchetti contengono già nei loro header gli IP corretti (come una raccomandata a/r).<br />
<br />
Un po' di spiegazioni dei termini usati:<br />
<br />
<br />
*Un IP è un indirizzo numerico (ad esempio 123.4.56.78) che identifica un PC in una rete, se il PC viene spostato su una rete diversa il suo IP sarà diverso. Ci sono due tipi di IP: quello classico (IPv4) e quello nuovissimo (IPv6).<br />
**Un IPv4 è un indirizzo formato da 4 campi di 8 bit ciascuno, in decimale i valori oscillano da 0 a 255 (ad esempio 123.4.56.78)<br /><br />
::https://en.wikipedia.org/wiki/IPv4<br /><br />
:*Un IPv6 è un indirizzo formato da 8 campi di 16 bit ciascuno, in base16 i valori oscillano da 0000 a FFFF (ad esempio 2a00:1508:1:f010:abcd:1234:ef56:7890)<br /><br />
::https://en.wikipedia.org/wiki/IPv6<br /><br />
<br />
<br />
*Quando ci si connette ad una rete o si imposta sul proprio PC un IP statico o si chiede al DHCP che ci dia lui un IP.<br />
:Il [http://it.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol DHCP] è protocollo che permette di avere assegnati i parametri corretti al momento della connessione, esso provvederà (se correttamente configurato lato server) a fornirci principalmente IP, rotte e DNS.<br />
<br />
<br />
*Il gateway è chi (il modem di casa, il router wireless, un server...) ci permette di raggiungere internet, è l'apparecchio che inoltrerà i nostri pacchetti verso il resto del mondo e da cui passeranno le risposte.<br />
<br />
<br />
*Un pacchetto è un blocco di 1 e 0 che viaggia su una linea di comunicazione. Chi vuole inviare dei dati li traduce in uni e zeri, li divide in pacchetti (di solito la dimensione massima di un pacchetto è circa un kilobyte e mezzo) e aggiunge all'inizio del pacchetto (header) delle informazioni come l'IP di destinazione e l'IP del mittente.<br />
<br />
<br />
*Una interfaccia di rete rappresenta la componente fisica (di solito, ma non solo) con cui il PC si interfaccia col mondo esterno, ad esempio una interfaccia di rete può essere la porta a cui attacchi il cavo di rete (porta ethernet, su Linux solitamente si chiama eth0) oppure la scheda wireless del portatile (solitamente si chiama wlan0).<br />
<br />
<br />
*Le rotte sono delle indicazioni che istruiscono il computer riguardo a come fare per poter raggiungere un certo computer in base al suo IP. Ad esempio una rotta può essere qualcosa tipo: "per comunicare tutti i pc che hanno un IP che inizia con 12.34. (la destnazione, può riferirsi ad un IP solo o a un grosso gruppo di IP che iniziano tutti nello stesso modo) devi passare tramite il pc che ha IP 11.22.33.44 (il gateway)".<br /><br />
:Perciò ogni rotta è un'indicazione "stradale" ed è strutturata così:<br />
:{| border=1<br />
| primo campo<br />
| destinazione (default = 0.0.0.0/0 ovvero tutto)<br />
| es. 192.168.1.0/24<br />
|-<br />
| secondo campo<br />
| gateway ovvero colui che ti permette di raggiungere la destinazione<br />
| es. via 192.168.1.1<br />
|-<br />
| campo dev<br />
| indica l'interfaccia di rete (ad es. wireless o cavo o vpn) attraverso la quale si raggiunge la destinazione<br />
| es. dev wlan0<br />
|}<br />
<br />
Usando il terminale su Linux vediamo la configurazione delle rotte sul nostro pc per esempio con il commando "ip route show", ottenendo qualcosa di simile a:<br />
<br />
user@computer $ ip route show<br />
default via 10.175.0.101 dev wlan0 proto static <br />
10.0.0.0/8 via 172.18.0.1 dev eigennet <br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
172.16.0.0/12 via 172.18.0.1 dev eigennet <br />
172.18.0.0/24 dev eigennet proto kernel scope link src 172.18.0.213 <br />
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.111 <br />
<br />
*:"10.0.0.0/8 via 172.18.0.1 dev eigennet" vuol dire che tutti i computer con IP 10.X.Y.Z sono raggiungibili attraverso il gateway avente IPv4 172.18.0.1 e l'interfaccia di rete "eigennet" (in questo caso non si tratta di interfaccia fisica, come quella via cavo o wireless bensì di una interfaccia che comunica con una [[VPN]], argomento molto più avanzato).<br /><br />
<br />
*:"10.174.0.0/15 dev wlan0" vuol dire che tutti i computer con IP 10.17{cifra che può essere 4 o 5}.X.Y sono raggiungibili direttamente (cioè senza dover passare da un gateway) attraverso l'interfaccia wireless chiamata "wlan0"<br />
<br />
<br />
*I DNS (Domain Name Server) sono dei server che conoscono le associazioni "nome del sito" <-> "indirizzo IP del server su cui sta il sito". Il punto è che la comunicazione avviene tra l'IP del PC e l'IP del server, dunque non si può contattare un sito, esempio "eigenlab.org" senza prima conoscerne l'indirizzo IP. Quando noi cerchiamo di contattare un sito scrivendone il nome (come eigenlab.org) il nostro PC farà una domanda ad un DNS (del quale conosciamo già l'IP perchè ce lo ha detto il DHCP server) il quale ci risponderà con l'indirizzo IP associato a quel nome (nel nostro caso ad esempio l'associazione sarà eigenlab.org->10.175.0.85).<br />
:Se ti interessa approfondire cos'è un server DNS puoi dare un'occhiata <br /><br />
:https://en.wikipedia.org/wiki/Domain_Name_System<br /><br />
:Per vedere come funzionano i DNS distribuiti nella rete eigenNet dai un occhiata a<br />
:https://wiki.eigenlab.org/index.php/ConfigureBackUpAnycastDNS<br />
<br />
Bene innanzitutto vediamo se tutto è ok<br />
<br />
Prova ad aprire un terminale (in Linux ha l'icona di un quadrato nero, spesso sta in:programmi->accessori->console/terminale) <br />
<br />
ed a scrivere: <br />
<br />
ping 10.174.0.100 [invio]<br />
<br />
Questo farà in modo che il tuo computer provi a parlare con uno dei server interni alla rete, quello che farà sarà mandare tanti piccoli pacchetti con scritto PING ed aspetterà altrettanti PONG in risposta dal server che ha IPv4 10.174.0.100.<br />
<br />
Se compare qualcosa simile a:<br />
<br />
user@computer $ ping 10.174.0.100<br />
PING 10.174.0.100 (10.174.0.100) 56(84) bytes of data.<br />
64 bytes from 10.174.0.100: icmp_seq=1 ttl=63 time=247 ms<br />
64 bytes from 10.174.0.100: icmp_seq=5 ttl=63 time=70.9 ms<br />
64 bytes from 10.174.0.100: icmp_seq=7 ttl=63 time=124 ms<br />
64 bytes from 10.174.0.100: icmp_seq=8 ttl=63 time=80.9 ms<br />
<br />
Allora stai comunicando con il server e sei dentro la rete :-)<br />
<br />
Per interrompere il comando premi “Ctrl+C” (come per fare copia) che nella shell Linux termina un programma<br />
<br />
--- 10.174.0.100 ping statistics ---<br />
8 packets transmitted, 4 received, 50% packet loss, time 7029ms<br />
rtt min/avg/max/mdev = 70.992/130.862/247.472/70.216 ms<br />
<br />
Questa sezione da qualche informaziona aggiuntiva ovvero quanti PING non hanno ricevuto un PONG, il minor tempo di risposta, quello medio, quello massimo e la deviazione standard dei tempi.<br />
<br />
Altrimenti se il risultato è <br />
<br />
user@computer $ ping 10.174.0.100<br />
PING 10.174.0.100 (10.174.0.100) 56(84) bytes of data.<br />
^C (ovvero Ctrl+C per interrompere)<br />
--- 10.174.0.100 ping statistics ---<br />
*70 packets transmitted, 0 received, 100% packet loss, time 69058ms*<br />
<br />
Vuol dire che non sei collegato alla rete, dobbiamo iniziare a fare un po' di indagini. Intanto capiamo come è configurato il tuo computer.<br />
<br />
== Trubleshooting ==<br />
Cominciamo col controllare un elemento per volta fra quelli coinvolti solitamente nei problemi dal lato client.<br />
<br />
=== Controllo Dell'IP===<br />
<br />
Sempre da un terminale prova a scrivere<br />
<br />
Se sei connesso in wireless <br />
ip address show dev wlan0 (o il nome dell'interfaccia wireless, ad es. potrebbe essere wlan1, eth1, ath0, ra0) [invio]<br />
<br />
Se sei connesso via cavo <br />
<br />
ip address show dev eth0 (o il nome dell'interfaccia via cavo) [invio]<br />
<br />
se il risultato è simile a<br />
user@computer $ ip address show dev [nome interfaccia]<br />
3: [interfaccia]: : <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc pfifo_fast state UNKNOWN qlen 500<br />
link/ether e6:b9:06:73:14:1a brd ff:ff:ff:ff:ff:ff<br />
inet 10.175.0.213/15 brd 10.175.0.255 scope global <br />
valid_lft forever preferred_lft forever<br />
inet6 2001:1418:1a9:eebb:10:175:0:213/64 scope global <br />
valid_lft forever preferred_lft forever<br />
inet6 fe80::e4b9:6ff:fe73:141a/64 scope link <br />
valid_lft forever preferred_lft forever<br />
<br />
<br />
Allora hai un indirizzo ipv4 e ipv6 impostati. Non stupirti se vedi tutti questi indirizzi IP diversi, ne puoi avere quanti vuoi anche sulla stessa interfaccia di rete (anche se normalmente sono pochi).<br />
<br />
Cosa guardare:<br />
<BROADCAST,MULTICAST,UP,LOWER_UP> <br />
*è lo stato dell'interfaccia le cose importanti sono UP, LOWER_UP che ci dicono che l'interfaccia è attiva (potrebbe essere disattivata via software, via hardware ad esempio col bottoncino della wireless fisicamente presente sul portatile oppure semplicemente potrebbe esserci il cavo di rete staccato o rovinato (nel caso di scritta NO-CARRIER)).<br />
<br />
inet 10.175.0.213/15 brd 10.175.0.255 scope global <br />
<br />
*10.175.0.213 è l'IPv4 dell'interfaccia: la nostra subnet (cioè il nostro gruppo di IP, quelli che il tuo computer, essendo collegato ad eigenNet, può contattare direttamente senza passare da un gateway) inizia con *10.17{5,4}* se hai un IP che comincia in quel modo è uno dei nostri; lo slash in fondo è la dimensione subnet, 15 è corretto.<br />
<br />
inet6 2001:1418:1a9:eebb:10:175:0:213/64 scope global <br />
*questo è l'IPv6 dell'interfaccia: la nostra subnet inizia con *2001:1418:1a9:eebb* se hai un IP che comincia in quel modo è uno dei nostri, come prima lo slash in fondo indica la subnet, 64 è corretto. Ignora la riga "inet6 fe80[...]/64 scope link" che riguarda un indirizzo presente anche se non si è davvero connessi. <br />
<br />
==== Nessun IP ====<br />
Se non hai gli IP impostati possiamo guardare le interfacce, ci viene in aiuto il comando <br />
<br />
ip link<br />
<br />
user@computer $ ip link <br />
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT <br />
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br />
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN mode DEFAULT qlen 1000<br />
link/ether 00:23:8b:0b:b5:39 brd ff:ff:ff:ff:ff:ff<br />
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000<br />
link/ether 00:23:4d:69:d5:f7 brd ff:ff:ff:ff:ff:ff<br />
<br />
Anche qui possiamo vedere che ad esempio l'intefaccia eth0 <br />
<NO-CARRIER,BROADCAST,MULTICAST,UP> <br />
Dice NO-CARRIER ovvero non collegato, potrebbe essere il caso di controllare l'attacco del cavo ethernet (cavo staccato o cavo rovinato)<br />
<br />
E con state DOWN ci informa che l'interfaccia eth0 è spenta<br />
<br />
Mentre l'interfaccia wlan0 <br />
<BROADCAST,MULTICAST,UP,LOWER_UP><br />
Dice che è collegata e tutto funziona<br />
<br />
Una possibile soluzione nel caso che una delle interfacce avesse come state DOWN è la seguente:<br />
sudo ip link set dev <interfaccia> up<br />
<br />
Dopodichè ricontrollare se l'interfaccia è UP e provare a riconnettersi alla rete per vedere se viene assegnato un IP.<br />
<br />
Altre cose ''esotiche'' che potrebbero impedire ad una interfaccia di rete di essere UP: il bottoncino della wireless sul portatile è su off, è necessario sbloccare l'interfaccia wireless via software con <br />
rfkill unblock all<br />
oppure raramente può esser necessario ricaricate i driver della scheda di rete, trovate il nome del driver con<br />
lspci -k<br />
sotto "Network controller" o "Ethernet controller", dopo "Kernel driver in use:", lo rimuovete e ricaricate con<br />
sudo rmmod <nome del driver>; sudo modprobe <nome del driver><br />
<br />
Nel caso l'interfaccia indicasse UP per un certo tempo ma non si ricevesse un IP dal server DHCP è possibile capire cosa stia succedendo:<br />
*Se usate NetworkManager controllate se siete associati all'Access Point (AP) di eigennet con<br />
nm-tool<br />
*Altrimenti provate con<br />
iwconfig<br />
* O ancora <br />
iw dev <interfaccia> link<br />
<br />
Che vi daranno informazioni sulla connessione wireless, sopratutto i primi campi. Se risultate associati all'access point (cioè c'è scritto il nome della rete, ad esempio "eigenNet") allora provate a dare<br />
sudo dhcpcd wlan0 <br />
oppure, se lamenta che dhcpcd non esiste<br />
sudo dhclient -v wlan0<br />
Che cercherà nuovamente di ottenere i parametri (IP, rotte, DNS...) chiedendo se nella rete sono presenti dei server DHCP. In base all'output (il testo che esce dai comandi sopra riportati) capirete se ci sono altri problemi e potrete contattarci per segnalarlo ed aiutarci.<br />
<br />
=== Controllo Delle Rotte ===<br />
<br />
A questo punto controlliamo le rotte. Le possiamo controllare usando il comando <br />
<br />
ip route show<br />
<br />
Ottenendo qualcosa di simile a<br />
<br />
user@computer $ ip route show<br />
default via 10.175.0.101 dev wlan0 proto static <br />
10.0.0.0/8 via 172.18.0.1 dev eigennet <br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
172.16.0.0/12 via 172.18.0.1 dev eigennet <br />
172.18.0.0/24 dev eigennet proto kernel scope link src 172.18.0.213 <br />
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.111 <br />
<br />
==== Nessuna rotta ====<br />
Per navigare dentro eigennet non serve una rotta global (0.0.0.0/0) perchè è una rete locale e, una volta connessi, si può raggiungere ogni risorsa dall'interno. <br />
<br />
Se quindi il comando vi restituisce qualcosa di simile a <br />
user@computer $ ip route show<br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
<br />
Vuol dire che avete la possibilità di raggiungere tutte le risorse interne ma che non potete raggiungere internet. Questo può essere a causa di qualche problema con i gateway o un problema nel raggiungerli. Se conoscete l'IP della macchina che dovrebbe farvi da gateway per il mondo provate a pingarla (ovvero fare un ping al suo indirizzo) per vedere se la raggiungete. Nel caso non riusciste fatecelo sapere, qualcosa sta succedendo sulla rete.<br />
<br />
==== Rotta presente ma comunque non raggiungo internet ====<br />
<br />
Nel caso ci sia una rotta definita anche per default ma non foste comunque in grado di connettervi potete aiutarci nel risolvere il problema digitando in un terminale il comando<br />
traceroute wikipedia.org<br />
o <br />
tracepath wikipedia.org<br />
<br />
questo dovrebbe dare un risultato similie a <br />
<br />
user@computer $ tracepath wikipedia.org<br />
1: etherpad.eigenlab.org 0.090ms pmtu 1500<br />
1: 10.175.0.101 0.811ms <br />
1: 10.175.0.101 0.496ms <br />
2: 131.114.186.1 0.946ms <br />
3: fib-ser.unipi.it 0.945ms asymm 4 <br />
4: ru-unipi-rx1-pi1.pi1.garr.net 0.970ms <br />
5: rx1-pi1-rx1-rm2.rm2.garr.net 9.030ms <br />
6: r-rm2-rx1-rm2.rm2.garr.net 5.639ms asymm 7 <br />
7: no reply alcuni server nascondono il loro nome<br />
8: no reply <br />
9: tiscali.mil01.atlas.cogentco.com 18.962ms asymm 10 <br />
10: xe-9-2-0.was10.ip4.tinet.net 113.285ms asymm 15 <br />
11: no reply<br />
12: no reply<br />
13: no reply<br />
14: no reply<br />
15: no reply<br />
16: 208.80.152.201 152.453ms reached<br />
<br />
<br />
Questo comando restituisce il percorso che hanno fatto i nostri pacchetti per raggiungere la destinazione, nel caso non riusciste a vedere un ""reached"" in fondo all'output del comando segnalatecelo includendo anche l'ultimo ip che vedete.<br />
<br />
Per servizi interni alla rete, per come essa è strutturata, questo comando non funziona<br />
<br />
=== Controllo dei DNS === <br />
Se tutto è andato bene ma non riuscite comunque a navigare potrebbe essere un problema di DNS per vedere quali avete impostati controllate il file /etc/resolv.conf<br />
cat /etc/resolv.conf<br />
<br />
Il risultato dovrebbe essere simile a questo:<br />
<br />
user@computer $ cat /etc/resolv.conf <br />
nameserver 10.174.0.101<br />
nameserver 10.174.0.100<br />
<br />
queste due righe indicano gli IP dei server DNS, se il file è vuoto lancia questo comando da shell<br />
<br />
echo -e "nameserver 10.174.0.100\nnameserver 10.174.0.101">/etc/resolv.conf<br />
<br />
Che sovrascrive in /etc/resolv.conf con le due righe corrette.<br />
<br />
Un sintomo del fatto che i DNS non funzionino può essere che facendo<br />
ping google.it<br />
<br />
il terminale non reagisce (come succedeva all'inizio della pagina ) ma<br />
ping 8.8.8.8<br />
<br />
Invece funziona.<br />
<br />
Per fare manualmente la richiesta dell'IP associato ad un nome<br />
<br />
dig nomesi.to<br />
<br />
o se volete chiedere ad un server particolare (ad esempio a 8.8.8.8, un dns di google)<br />
<br />
dig @8.8.8.8 nomesi.to<br />
<br />
Dig solitamente è installato di default, se non lo fosse cercate su internet il nome della vostra distribuzione più dig (solitamente sta in qualche programma chiamato dnsutils, bindtools...)<br />
<br />
=== Entrare nelle antenne ===<br />
<br />
Istruzioni? Eh... C'è da usare ssh...<br />
<br />
=== Ma la mia antenna funziona/è accesa? ===<br />
<br />
Per controllare che l'antenna sia accesa si possono sfruttare un paio di cose:<br />
<br />
* Prima di tutto collegarsi via cavo all'antenna usando il cavo ethernet che arriva in casa o attaccandosi al POE (Power Over Ethernet ovvero lo scatolino nero che alimenta l'antenna usando la porta con scritto LAN, NON POE (perchè altrimenti forse si frigge la scheda di rete)<br />
<br />
* controllare che sull'interfaccia cablata '''non''' compaia NO-CARRIER col comando<br />
<br />
ip link show dev <interfaccia><br />
<br />
*provare a fare dei ping IPv6 link local ovvero provare a pingare un indirizzo che viene tradotto dal protocollo ipv6 in “ ogni scheda attaccata direttamente all'interfaccia “ questo si può fare digitando il comando<br />
<br />
ping6 ff02::1%<nome dell'interfaccia di rete cablata ad esempio eth0><br />
<br />
Se si riceve risposta bisogna prendere nota dell'IPv6 locale della propria scheda di rete ethernet in modo da poter vedere se l'antenna risponde ai ping. Questo si fa facilemnte con<br />
<br />
ip -6 address show dev eth0<br />
<br />
e guardando l'ip che comincia con fe80:: , se ai ping risponde anche un'altro IP l'antenna è accesa e risponde<br />
<br />
=== Riavviare ===<br />
Una cosa buona se l'antenna per qualche motivo non si comporta bene è riavviarla, per farlo basta staccare il cavo attaccato allo scatolino nero alla porta con scritto POE oppure togliere la corrente se per caso il montaggio è stato fatto portando la corrente sul tetto, aspettare 12 secondi contando<br />
* Prealpi Trivenete 1 <br />
* Alpi Giulie 2<br />
* Alpi Carniche 3<br />
* ...<br />
* Alpi Liguri e Alpi Marittime 12<br />
<br />
Se comunque non sei riuscito a risolvere [https://eigenlab.org/index.php/dove-siamo contattaci].<br />
<br />
<br />
Su eigenNet ci sono diversi servizi, li puoi scoprire qui:<br />
<br />
http://eigenlab.org/index.php/eigennet/servizi</div>Kibahttps://wiki.eigenlab.org/index.php?title=HowToBatman&diff=364HowToBatman2013-08-28T13:05:04Z<p>Kiba: Creata pagina con "Con queste istruzioni si può creare una mesh di prova fra diversi pc oppure collegarsi ad EigenNet, utilizzando batman-adv e antenna wireless integrata. Prima di inzia..."</p>
<hr />
<div>Con queste istruzioni si può creare una mesh di prova fra diversi pc oppure collegarsi ad [[EigenNet]], utilizzando batman-adv e antenna wireless integrata.<br />
<br />
<br />
<br />
Prima di inziare fermiamo il nostro network manager, potrebbe interferire.<br />
<br />
/etc/init.d/network-manager stop<br />
<br />
<br />
Dobbiamo impostare la modalità della nostra scheda wireless. Può essere Managed (client che si connette ad access point), Master (agisce da access point), Ad-Hoc (nodi che si collegano fra loro senza access point). Quindi scegliamo la modalità Ad-Hoc.<br />
<br />
iwconfig wlan0 mode Ad-Hoc<br />
<br />
<br />
Batman incapsula il traffico aggiungendo un header di 28 bytes in ogni pacchetto, quindi bisogna aumentare la dimensione massima dei pacchetti che possono essere trasmessi sull'interfaccia fisica da 1500 a 1528 (in modo che possano passare i pacchetti originariamente grandi 1500)<br />
<br />
ifconfig wlan0 mtu 1528<br />
<br />
<br />
Possiamo scegliere il canale su cui operare. Saltando questo passaggio si usa il canale 1<br />
<br />
iwconfig wlan0 channel [n]<br />
<br />
<br />
L'essid serve ad identificare gli altri nodi della mesh<br />
<br />
iwconfig wlan0 essid "lamiamesh"<br />
<br />
<br />
Impostiamo anche lo stesso bssid perchè alcuni driver wifi hanno problemi quando ci sono molti nodi con bssid diversi e non si associano.<br />
<br />
iwconfig wlan0 ap 02:aa:bb:cc:dd:ee<br />
<br />
<br />
A questo punto possiamo tirare su l'interfaccia<br />
<br />
ip link set wlan0 up<br />
<br />
<br />
Molto probabilmente avremo già il modulo batman-adv, in caso contrario lo scarichiamo e installiamo da http://www.open-mesh.org . Per caricarlo<br />
<br />
modprobe batman-adv<br />
<br />
<br />
Batman opera in kernel space per evitare il sovraccarico di read() e write() che avrebbe processando i pacchetti in user space.<br />
Per configurare il modulo batman-adv si usa il programma batctl.<br />
<br />
<br />
Adesso aggiungiamo le interfacce su cui vogliamo fare la mesh<br />
batctl if add wlan0<br />
<br />
e batman crea automagicamente una nuova interfaccia virtuale bat0 inconsapevole del layer inferiore, che ci collega a tutti gli altri partecianti alla mesh.<br />
<br />
<br />
Configuriamo il layer 3. Tutti i partecipanti possono assegnarsi un ip oppure uno può attivare un server dhcp su bat0<br />
<br />
ip a add 192.168.1.1/24 dev bat0<br />
<br />
<br />
per l'accesso ad internet uno dei nodi può agire da gateway:<br />
iptables -t nat -A POSTROUTING -o intefaccia_con_internet -j MASQUERADE<br />
e sui client<br />
ip r add default via ip_del_gateway dev bat0<br />
<br />
<br />
per dare la possibilità ad altri di partecipare alla mesh, senza usare batman e collegandosi alla porta ethernet del pc, si usano i bridge.<br />
<br />
brctl addbr mesh-bridge<br />
brctl addif mesh-bridge eth0<br />
brctl addif mesh-bridge bat0<br />
<br />
<br />
<br />
== e per openwrt? ==<br />
<br />
git clone git://git.openwrt.org/12.09/openwrt.git<br />
make menuconfig e classica configurazione. kmod-batman-adv si trova sotto Kernel modules -> Network Support<br />
<br />
Si usano appositi file di configurazione<br />
in /etc/config/wireless<br />
config wifi-iface 'wmesh'<br />
option device 'device fisico'<br />
option ifname 'adhoc0'<br />
option network 'mesh'<br />
option mode 'adhoc'<br />
option ssid 'lamiamesh'<br />
option bssid '02:aa:bb:cc:dd:ee'<br />
in /etc/config/network<br />
config interface 'mesh'<br />
option ifname 'adhoc0'<br />
option mtu '1528'<br />
option proto 'batadv'<br />
option mesh 'bat0'</div>Kibahttps://wiki.eigenlab.org/index.php?title=HowToRete&diff=363HowToRete2013-08-28T12:43:46Z<p>Kiba: </p>
<hr />
<div>Bene, hai un'antenna sul tetto ed ora?<br />
<br />
Se tutto è andato a buon fine appena collegato alla rete il tuo computer riceverà delle informazioni come IP, rotte, DNS servers, ... vediamo un po' cosa sono, se funziona tutto e se hai accesso alla rete...<br />
<br />
In questa guida si assume che tu abbia Linux.<br />
<br />
Se invece sei utente Windows o Mac probabilmente ti "basta che funzioni", salta direttamente a: [[#Riavviare|Riavviare]], se non funziona passa a [[#Riavviare|Riavviare]]. Se invece fossi interessato a capire ed a smanettare ti invitiamo a creare una nuova guida su questo wiki che tratti anche altri sistemi operativi!<br />
<br />
<br />
== Overview ==<br />
<br />
Quando ti connetti ad una rete di computers stai usando un insieme di protocolli ed elementi fisici, le loro interazioni sono schematizzate in uno standard chiamato [http://it.wikipedia.org/wiki/Open_Systems_Interconnection OSI]. Per avere un'idea del funzionamento della rete eigenNet, ma non solo, possiamo partire descrivendo il percorso che faranno i dati dalla sorgente alla destinazione, partiamo dal computer (il tuo) passo passo:<br />
#Dei dati devono essere spediti dal computer client, per esempio il tuo, ad un server, per esempio uno dei server di wikipedia<br />
#Il computer richiede ad un server DNS qual è l'IP del server di wikipedia (don't panic, è tutto spiegato più sotto)<br />
#Una volta ottenuto l'IP il computer proverà a connettersi al server per ricevere i dati, i testi, le immagini<br />
#Per fare questo creerà dei piccoli pacchetti di bits che verranno spediti alla scheda di rete (sia questa wireless o via cavo) contenenti la richiesta di questo o quel contenuto presente su wikipedia<br />
#La scheda di rete si occuperà di trasmettere i pacchetti al passo successivo, nel caso della nostra rete i pacchetti verranno trasmessi fino all'antenna che è sul tuo tetto o sul tetto più vicino e da lì inizierà il percorso fino al gateway più vicino, dal quale raggiungerà il sito richiesto.<br />
#Per il ritorno basta seguire il percorso inverso ma questa volta non serve il passaggio del DNS visto che i pacchetti contengono già nei loro header gli IP corretti (come una raccomandata a/r).<br />
<br />
Un po' di spiegazioni dei termini usati:<br />
<br />
<br />
*Un IP è un indirizzo numerico (ad esempio 123.4.56.78) che identifica un PC in una rete, se il PC viene spostato su una rete diversa il suo IP sarà diverso. Ci sono due tipi di IP: quello classico (IPv4) e quello nuovissimo (IPv6).<br />
**Un IPv4 è un indirizzo formato da 4 campi di 8 bit ciascuno, in decimale i valori oscillano da 0 a 255 (ad esempio 123.4.56.78)<br /><br />
::https://en.wikipedia.org/wiki/IPv4<br /><br />
:*Un IPv6 è un indirizzo formato da 8 campi di 16 bit ciascuno, in base16 i valori oscillano da 0000 a FFFF (ad esempio 2a00:1508:1:f010:abcd:1234:ef56:7890)<br /><br />
::https://en.wikipedia.org/wiki/IPv6<br /><br />
<br />
<br />
*Quando ci si connette ad una rete o si imposta sul proprio PC un IP statico o si chiede al DHCP che ci dia lui un IP.<br />
:Il [http://it.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol DHCP] è protocollo che permette di avere assegnati i parametri corretti al momento della connessione, esso provvederà (se correttamente configurato lato server) a fornirci principalmente IP, rotte e DNS.<br />
<br />
<br />
*Il gateway è chi (il modem di casa, il router wireless, un server...) ci permette di raggiungere internet, è l'apparecchio che inoltrerà i nostri pacchetti verso il resto del mondo e da cui passeranno le risposte.<br />
<br />
<br />
*Un pacchetto è un blocco di 1 e 0 che viaggia su una linea di comunicazione. Chi vuole inviare dei dati li traduce in uni e zeri, li divide in pacchetti (di solito la dimensione massima di un pacchetto è circa un kilobyte e mezzo) e aggiunge all'inizio del pacchetto (header) delle informazioni come l'IP di destinazione e l'IP del mittente.<br />
<br />
<br />
*Una interfaccia di rete rappresenta la componente fisica (di solito, ma non solo) con cui il PC si interfaccia col mondo esterno, ad esempio una interfaccia di rete può essere la porta a cui attacchi il cavo di rete (porta ethernet, su Linux solitamente si chiama eth0) oppure la scheda wireless del portatile (solitamente si chiama wlan0).<br />
<br />
<br />
*Le rotte sono delle indicazioni che istruiscono il computer riguardo a come fare per poter raggiungere un certo computer in base al suo IP. Ad esempio una rotta può essere qualcosa tipo: "per comunicare tutti i pc che hanno un IP che inizia con 12.34. (la destnazione, può riferirsi ad un IP solo o a un grosso gruppo di IP che iniziano tutti nello stesso modo) devi passare tramite il pc che ha IP 11.22.33.44 (il gateway)".<br /><br />
:Perciò ogni rotta è un'indicazione "stradale" ed è strutturata così:<br />
:{| border=1<br />
| primo campo<br />
| destinazione (default = 0.0.0.0/0 ovvero tutto)<br />
| es. 192.168.1.0/24<br />
|-<br />
| secondo campo<br />
| gateway ovvero colui che ti permette di raggiungere la destinazione<br />
| es. via 192.168.1.1<br />
|-<br />
| campo dev<br />
| indica l'interfaccia di rete (ad es. wireless o cavo o vpn) attraverso la quale si raggiunge la destinazione<br />
| es. dev wlan0<br />
|}<br />
<br />
Usando il terminale su Linux vediamo la configurazione delle rotte sul nostro pc per esempio con il commando "ip route show", ottenendo qualcosa di simile a:<br />
<br />
user@computer $ ip route show<br />
default via 10.175.0.101 dev wlan0 proto static <br />
10.0.0.0/8 via 172.18.0.1 dev eigennet <br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
172.16.0.0/12 via 172.18.0.1 dev eigennet <br />
172.18.0.0/24 dev eigennet proto kernel scope link src 172.18.0.213 <br />
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.111 <br />
<br />
*:"10.0.0.0/8 via 172.18.0.1 dev eigennet" vuol dire che tutti i computer con IP 10.X.Y.Z sono raggiungibili attraverso il gateway avente IPv4 172.18.0.1 e l'interfaccia di rete "eigennet" (in questo caso non si tratta di interfaccia fisica, come quella via cavo o wireless bensì di una interfaccia che comunica con una [[VPN]], argomento molto più avanzato).<br /><br />
<br />
*:"10.174.0.0/15 dev wlan0" vuol dire che tutti i computer con IP 10.17{cifra che può essere 4 o 5}.X.Y sono raggiungibili direttamente (cioè senza dover passare da un gateway) attraverso l'interfaccia wireless chiamata "wlan0"<br />
<br />
<br />
*I DNS (Domain Name Server) sono dei server che conoscono le associazioni "nome del sito" <-> "indirizzo IP del server su cui sta il sito". Il punto è che la comunicazione avviene tra l'IP del PC e l'IP del server, dunque non si può contattare un sito, esempio "eigenlab.org" senza prima conoscerne l'indirizzo IP. Quando noi cerchiamo di contattare un sito scrivendone il nome (come eigenlab.org) il nostro PC farà una domanda ad un DNS (del quale conosciamo già l'IP perchè ce lo ha detto il DHCP server) il quale ci risponderà con l'indirizzo IP associato a quel nome (nel nostro caso ad esempio l'associazione sarà eigenlab.org->10.175.0.85).<br />
:Se ti interessa approfondire cos'è un server DNS puoi dare un'occhiata <br /><br />
:https://en.wikipedia.org/wiki/Domain_Name_System<br /><br />
:Per vedere come funzionano i DNS distribuiti nella rete eigenNet dai un occhiata a<br />
:https://wiki.eigenlab.org/index.php/ConfigureBackUpAnycastDNS<br />
<br />
Bene innanzitutto vediamo se tutto è ok<br />
<br />
Prova ad aprire un terminale (in Linux ha l'icona di un quadrato nero, spesso sta in:programmi->accessori->console/terminale) <br />
<br />
ed a scrivere: <br />
<br />
ping 10.174.0.100 [invio]<br />
<br />
Questo farà in modo che il tuo computer provi a parlare con uno dei server interni alla rete, quello che farà sarà mandare tanti piccoli pacchetti con scritto PING ed aspetterà altrettanti PONG in risposta dal server che ha IPv4 10.174.0.100.<br />
<br />
Se compare qualcosa simile a:<br />
<br />
user@computer $ ping 10.174.0.100<br />
PING 10.174.0.100 (10.174.0.100) 56(84) bytes of data.<br />
64 bytes from 10.174.0.100: icmp_seq=1 ttl=63 time=247 ms<br />
64 bytes from 10.174.0.100: icmp_seq=5 ttl=63 time=70.9 ms<br />
64 bytes from 10.174.0.100: icmp_seq=7 ttl=63 time=124 ms<br />
64 bytes from 10.174.0.100: icmp_seq=8 ttl=63 time=80.9 ms<br />
<br />
Allora stai comunicando con il server e sei dentro la rete :-)<br />
<br />
Per interrompere il comando premi “Ctrl+C” (come per fare copia) che nella shell Linux termina un programma<br />
<br />
--- 10.174.0.100 ping statistics ---<br />
8 packets transmitted, 4 received, 50% packet loss, time 7029ms<br />
rtt min/avg/max/mdev = 70.992/130.862/247.472/70.216 ms<br />
<br />
Questa sezione da qualche informaziona aggiuntiva ovvero quanti PING non hanno ricevuto un PONG, il minor tempo di risposta, quello medio, quello massimo e la deviazione standard dei tempi.<br />
<br />
Altrimenti se il risultato è <br />
<br />
user@computer $ ping 10.174.0.100<br />
PING 10.174.0.100 (10.174.0.100) 56(84) bytes of data.<br />
^C (ovvero Ctrl+C per interrompere)<br />
--- 10.174.0.100 ping statistics ---<br />
*70 packets transmitted, 0 received, 100% packet loss, time 69058ms*<br />
<br />
Vuol dire che non sei collegato alla rete, dobbiamo iniziare a fare un po' di indagini. Intanto capiamo come è configurato il tuo computer.<br />
<br />
== Trubleshooting ==<br />
Cominciamo col controllare un elemento per volta fra quelli coinvolti solitamente nei problemi dal lato client.<br />
<br />
=== Controllo Dell'IP===<br />
<br />
Sempre da un terminale prova a scrivere<br />
<br />
Se sei connesso in wireless <br />
ip address show dev wlan0 (o il nome dell'interfaccia wireless, ad es. potrebbe essere wlan1, eth1, ath0, ra0) [invio]<br />
<br />
Se sei connesso via cavo <br />
<br />
ip address show dev eth0 (o il nome dell'interfaccia via cavo) [invio]<br />
<br />
se il risultato è simile a<br />
user@computer $ ip address show dev [nome interfaccia]<br />
3: [interfaccia]: : <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc pfifo_fast state UNKNOWN qlen 500<br />
link/ether e6:b9:06:73:14:1a brd ff:ff:ff:ff:ff:ff<br />
inet 10.175.0.213/15 brd 10.175.0.255 scope global <br />
valid_lft forever preferred_lft forever<br />
inet6 2001:1418:1a9:eebb:10:175:0:213/64 scope global <br />
valid_lft forever preferred_lft forever<br />
inet6 fe80::e4b9:6ff:fe73:141a/64 scope link <br />
valid_lft forever preferred_lft forever<br />
<br />
<br />
Allora hai un indirizzo ipv4 e ipv6 impostati. Non stupirti se vedi tutti questi indirizzi IP diversi, ne puoi avere quanti vuoi anche sulla stessa interfaccia di rete (anche se normalmente sono pochi).<br />
<br />
Cosa guardare:<br />
<BROADCAST,MULTICAST,UP,LOWER_UP> <br />
*è lo stato dell'interfaccia le cose importanti sono UP, LOWER_UP che ci dicono che l'interfaccia è attiva (potrebbe essere disattivata via software, via hardware ad esempio col bottoncino della wireless fisicamente presente sul portatile oppure semplicemente potrebbe esserci il cavo di rete staccato o rovinato (nel caso di scritta NO-CARRIER)).<br />
<br />
inet 10.175.0.213/15 brd 10.175.0.255 scope global <br />
<br />
*10.175.0.213 è l'IPv4 dell'interfaccia: la nostra subnet (cioè il nostro gruppo di IP, quelli che il tuo computer, essendo collegato ad eigenNet, può contattare direttamente senza passare da un gateway) inizia con *10.17{5,4}* se hai un IP che comincia in quel modo è uno dei nostri; lo slash in fondo è la dimensione subnet, 15 è corretto.<br />
<br />
inet6 2001:1418:1a9:eebb:10:175:0:213/64 scope global <br />
*questo è l'IPv6 dell'interfaccia: la nostra subnet inizia con *2001:1418:1a9:eebb* se hai un IP che comincia in quel modo è uno dei nostri, come prima lo slash in fondo indica la subnet, 64 è corretto. Ignora la riga "inet6 fe80[...]/64 scope link" che riguarda un indirizzo presente anche se non si è davvero connessi. <br />
<br />
==== Nessun IP ====<br />
Se non hai gli IP impostati possiamo guardare le interfacce, ci viene in aiuto il comando <br />
<br />
ip link<br />
<br />
user@computer $ ip link <br />
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT <br />
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br />
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN mode DEFAULT qlen 1000<br />
link/ether 00:23:8b:0b:b5:39 brd ff:ff:ff:ff:ff:ff<br />
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000<br />
link/ether 00:23:4d:69:d5:f7 brd ff:ff:ff:ff:ff:ff<br />
<br />
Anche qui possiamo vedere che ad esempio l'intefaccia eth0 <br />
<NO-CARRIER,BROADCAST,MULTICAST,UP> <br />
Dice NO-CARRIER ovvero non collegato, potrebbe essere il caso di controllare l'attacco del cavo ethernet (cavo staccato o cavo rovinato)<br />
<br />
E con state DOWN ci informa che l'interfaccia eth0 è spenta<br />
<br />
Mentre l'interfaccia wlan0 <br />
<BROADCAST,MULTICAST,UP,LOWER_UP><br />
Dice che è collegata e tutto funziona<br />
<br />
Una possibile soluzione nel caso che una delle interfacce avesse come state DOWN è la seguente:<br />
sudo ip link set dev <interfaccia> up<br />
<br />
Dopodichè ricontrollare se l'interfaccia è UP e provare a riconnettersi alla rete per vedere se viene assegnato un IP.<br />
<br />
Altre cose ''esotiche'' che potrebbero impedire ad una interfaccia di rete di essere UP: il bottoncino della wireless sul portatile è su off, è necessario sbloccare l'interfaccia wireless via software con <br />
rfkill unblock all<br />
oppure raramente può esser necessario ricaricate i driver della scheda di rete, trovate il nome del driver con<br />
lspci -k<br />
sotto "Network controller" o "Ethernet controller", dopo "Kernel driver in use:", lo rimuovete e ricaricate con<br />
sudo rmmod <nome del driver>; sudo modprobe <nome del driver><br />
<br />
Nel caso l'interfaccia indicasse UP per un certo tempo ma non si ricevesse un IP dal server DHCP è possibile capire cosa stia succedendo:<br />
*Se usate NetworkManager controllate se siete associati all'Access Point (AP) di eigennet con<br />
nm-tool<br />
*Altrimenti provate con<br />
iwconfig<br />
* O ancora <br />
iw dev <interfaccia> link<br />
<br />
Che vi daranno informazioni sulla connessione wireless, sopratutto i primi campi. Se risultate associati all'access point (cioè c'è scritto il nome della rete, ad esempio "eigenNet") allora provate a dare<br />
sudo dhcpcd wlan0 <br />
oppure, se lamenta che dhcpcd non esiste<br />
sudo dhclient -v wlan0<br />
Che cercherà nuovamente di ottenere i parametri (IP, rotte, DNS...) chiedendo se nella rete sono presenti dei server DHCP. In base all'output (il testo che esce dai comandi sopra riportati) capirete se ci sono altri problemi e potrete contattarci per segnalarlo ed aiutarci.<br />
<br />
=== Controllo Delle Rotte ===<br />
<br />
A questo punto controlliamo le rotte. Le possiamo controllare usando il comando <br />
<br />
ip route show<br />
<br />
Ottenendo qualcosa di simile a<br />
<br />
user@computer $ ip route show<br />
default via 10.175.0.101 dev wlan0 proto static <br />
10.0.0.0/8 via 172.18.0.1 dev eigennet <br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
172.16.0.0/12 via 172.18.0.1 dev eigennet <br />
172.18.0.0/24 dev eigennet proto kernel scope link src 172.18.0.213 <br />
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.111 <br />
<br />
==== Nessuna rotta ====<br />
Per navigare dentro eigennet non serve una rotta global (0.0.0.0/0) perchè è una rete locale e, una volta connessi, si può raggiungere ogni risorsa dall'interno. <br />
<br />
Se quindi il comando vi restituisce qualcosa di simile a <br />
user@computer $ ip route show<br />
10.174.0.0/15 dev wlan0 proto kernel scope link src 10.174.0.178 <br />
<br />
Vuol dire che avete la possibilità di raggiungere tutte le risorse interne ma che non potete raggiungere internet. Questo può essere a causa di qualche problema con i gateway o un problema nel raggiungerli. Se conoscete l'IP della macchina che dovrebbe farvi da gateway per il mondo provate a pingarla (ovvero fare un ping al suo indirizzo) per vedere se la raggiungete. Nel caso non riusciste fatecelo sapere, qualcosa sta succedendo sulla rete.<br />
<br />
==== Rotta presente ma comunque non raggiungo internet ====<br />
<br />
Nel caso ci sia una rotta definita anche per default ma non foste comunque in grado di connettervi potete aiutarci nel risolvere il problema digitando in un terminale il comando<br />
traceroute wikipedia.org<br />
o <br />
tracepath wikipedia.org<br />
<br />
questo dovrebbe dare un risultato similie a <br />
<br />
user@computer $ tracepath wikipedia.org<br />
1: etherpad.eigenlab.org 0.090ms pmtu 1500<br />
1: 10.175.0.101 0.811ms <br />
1: 10.175.0.101 0.496ms <br />
2: 131.114.186.1 0.946ms <br />
3: fib-ser.unipi.it 0.945ms asymm 4 <br />
4: ru-unipi-rx1-pi1.pi1.garr.net 0.970ms <br />
5: rx1-pi1-rx1-rm2.rm2.garr.net 9.030ms <br />
6: r-rm2-rx1-rm2.rm2.garr.net 5.639ms asymm 7 <br />
7: no reply alcuni server nascondono il loro nome<br />
8: no reply <br />
9: tiscali.mil01.atlas.cogentco.com 18.962ms asymm 10 <br />
10: xe-9-2-0.was10.ip4.tinet.net 113.285ms asymm 15 <br />
11: no reply<br />
12: no reply<br />
13: no reply<br />
14: no reply<br />
15: no reply<br />
16: 208.80.152.201 152.453ms reached<br />
<br />
<br />
Questo comando restituisce il percorso che hanno fatto i nostri pacchetti per raggiungere la destinazione, nel caso non riusciste a vedere un ""reached"" in fondo all'output del comando segnalatecelo includendo anche l'ultimo ip che vedete.<br />
<br />
Per servizi interni alla rete, per come essa è strutturata, questo comando non funziona<br />
<br />
=== Controllo dei DNS === <br />
Se tutto è andato bene ma non riuscite comunque a navigare potrebbe essere un problema di DNS per vedere quali avete impostati controllate il file /etc/resolv.conf<br />
cat /etc/resolv.conf<br />
<br />
Il risultato dovrebbe essere simile a questo:<br />
<br />
user@computer $ cat /etc/resolv.conf <br />
nameserver 10.174.0.101<br />
nameserver 10.174.0.100<br />
<br />
queste due righe indicano gli IP dei server DNS, se il file è vuoto lancia questo comando da shell<br />
<br />
echo -e "nameserver 10.174.0.100\nnameserver 10.174.0.101">/etc/resolv.conf<br />
<br />
Che sovrascrive in /etc/resolv.conf con le due righe corrette.<br />
<br />
Un sintomo del fatto che i DNS non funzionino può essere che facendo<br />
ping google.it<br />
<br />
il terminale non reagisce (come succedeva all'inizio della pagina ) ma<br />
ping 8.8.8.8<br />
<br />
Invece funziona.<br />
<br />
Per fare manualmente la richiesta dell'IP associato ad un nome<br />
<br />
dig nomesi.to<br />
<br />
o se volete chiedere ad un server particolare (ad esempio a 8.8.8.8, un dns di google)<br />
<br />
dig @8.8.8.8 nomesi.to<br />
<br />
Dig solitamente è installato di default, se non lo fosse cercate su internet il nome della vostra distribuzione più dig (solitamente sta in qualche programma chiamato dnsutils, bindtools...)<br />
<br />
=== Entrare nelle antenne ===<br />
<br />
Istruzioni? Eh... C'è da usare ssh...<br />
<br />
=== Ma la mia antenna funziona/è accesa? ===<br />
<br />
Per controllare che l'antenna sia accesa si possono sfruttare un paio di cose:<br />
<br />
* Prima di tutto collegarsi via cavo all'antenna usando il cavo ethernet che arriva in casa o attaccandosi al POE (Power Over Ethernet ovvero lo scatolino nero che alimenta l'antenna usando la porta con scritto LAN, NON POE (perchè altrimenti forse si frigge la scheda di rete)<br />
<br />
* controllare che sull'interfaccia cablata '''non''' compaia NO-CARRIER col comando<br />
<br />
ip link show dev <interfaccia><br />
<br />
*provare a fare dei ping IPv6 link local ovvero provare a pingare un indirizzo che viene tradotto dal protocollo ipv6 in “ ogni scheda attaccata direttamente all'interfaccia “ questo si può fare digitando il comando<br />
<br />
ping6 ff02::1%<nome dell'interfaccia di rete cablata ad esempio eth0><br />
<br />
Se si riceve risposta bisogna prendere nota dell'IPv6 locale della propria scheda di rete ethernet in modo da poter vedere se l'antenna risponde ai ping. Questo si fa facilemnte con<br />
<br />
ip -6 address show dev eth0<br />
<br />
e guardando l'ip che comincia con fe80:: , se ai ping risponde anche un'altro IP l'antenna è accesa e risponde<br />
<br />
=== Riavviare ===<br />
Una cosa buona se l'antenna per qualche motivo non si comporta bene è riavviarla, per farlo basta staccare il cavo attaccato allo scatolino nero alla porta con scritto POE oppure togliere la corrente se per caso il montaggio è stato fatto portando la corrente sul tetto, aspettare 12 secondi contando<br />
* Prealpi Trivenete 1 <br />
* Alpi Giulie 2<br />
* Alpi Carniche 3<br />
* ...<br />
* Alpi Liguri e Alpi Marittime 12<br />
<br />
Se comunque non sei riuscito a risolvere contattaci[https://eigenlab.org/index.php/dove-siamo].<br />
<br />
<br />
Su eigenNet ci sono diversi servizi, li puoi scoprire qui:<br />
<br />
http://eigenlab.org/index.php/eigennet/servizi</div>Kibahttps://wiki.eigenlab.org/index.php?title=Discussioni_utente:Svalo&diff=229Discussioni utente:Svalo2013-03-05T19:12:48Z<p>Kiba: </p>
<hr />
<div>Io mi pensavo quella pagina come una bozza per tirare giù tutti gli argomenti da trattare e dicutere insieme il modo e la profondità per argomento.<br />
Chiunque abbia dubbi su *qualsiasi cosa* non si faccia problemi, anche e sopratutto se è qualcosa di cui parliamo spesso.[[Utente:Svalo|Svalo]] ([[Discussioni utente:Svalo|discussioni]]) 09:36, 5 mar 2013 (UTC)<br />
<br />
Hai fatto bene, però secondo la prassi di kiwipedia, per le prove si usano sottopagine delle pagine utente, ad esempio Utente:Svalo/eigenGuida , in modo da tenere le discussioni relative all'utente separate dalle pagine di prova (che possono essere più di una, con relative discussioni) --[[Utente:Kiba|Kiba]] ([[Discussioni utente:Kiba|discussioni]]) 19:12, 5 mar 2013 (UTC)</div>Kiba