aggiornamenti all’infrastruttura
[english version below]
Nel corso degli ultimi mesi siamo stati impegnati dietro le quinte (tra le altre cose) a fare aggiornamenti e manutenzioni all’infrastruttura di A/I. Di seguito riportiamo alcuni degli aggiornamenti e nuove feature piu’ interessanti.
tl;dr va tutto il doppio piu’ forte ed e’ il triplo piu’ bello
Aggiornamento a debian wheezy
Abbiamo aggiornato con successo tutte le macchine all’ultima debian stable (wheezy) nel corso di un weekend circa. Abbiamo notato con soddisfazione come questi aggiornamenti diventino via via sempre meno faticosi negli anni e anche quest’ultimo non e’ stato da meno (ma abbiamo patito lo stesso). In ogni caso ne abbiamo tratto alcuni vantaggi, come l’aggiornamento delle librerie SSL (che ci permettono di offrire delle cifre piu’ moderne), e ne abbiamo approfittato per ottimizzare ulteriormente alcuni sistemi. Un esempio per il pubblico piu’ morbosamente tecnofilo, questo e’ il grafico dell’utilizzo di CPU dei nostri server LDAP prima e dopo l’aggiornamento ed il passaggio ad una nuova tecnologia di database:
Firme DNSSEC
Abbiamo firmato con DNSSEC tutte le zone DNS di A/I. Che cosa significa in pratica? DNSSEC fornisce un livello aggiuntivo di sicurezza durante le comunicazioni con A/I, in particolare se si usa DNSSEC e’ possibile stabilire con certezza che gli indirizzi IP di A/I siano proprio quelli giusti. E’ importante pero’ precisare che questo e’ solo un livello aggiuntivo di sicurezza e non protegge da ogni tipo di attacco, ma lo rende piu’ difficile. E’ possibile usare DNSSEC sul proprio computer ad esempio attraverso strumenti come https://www.nlnetlabs.nl/projects/dnssec-trigger/ e aggiungere lo stato DNSSEC al proprio browser con http://www.dnssec-validator.cz/. Ci sono piu’ informazioni anche qui https://it.wikipedia.org/wiki/Domain_Name_System_Security_Extensions.
Separazione dalla rete IPv4
Abbiamo separato completamente la connettivita’ IPv4 da quella IPv6, abbiamo richiesto ed ottenuto indirizzi IPv6 “veri” per la maggioranza delle macchine (inclusi i DNS). Significa in pratica che una macchina con solo connettivita’ IPv6 puo’ raggiungere i servizi di A/I senza fare affidamento sulla rete IPv4.
During the course of the last few month we’ve been busy doing (among other things) upgrades and maintenance to the A/I infrastructure. Below there are some updates and the most interesting features.
tl;dr everything is 2x as fast and 3x as beautiful as before
Upgrade to debian wheezy
We’ve been successfully upgrading all machines to the latest debian stable (wheezy) during the course of a weekend. We’ve also been happy in noticing how these upgrades have smoothed over the years. This year was also smooth (but we’ve suffered anyway a little). Regardless, we’ve got something out from the upgrade such as a new SSL version (sporting modern ciphers) and we’ve been optimizing existing systems. As an example to the tech morbidly-curious audience, here’s the CPU usage graph of LDAP server before and after the upgrade:
DNSSEC signatures
We’ve been signing all A/I DNS zones with DNSSEC. What does this mean in practice? DNSSEC provides and additional layer of security while communicating with A/I. For example it is possible to prove that the obtained IP addresses have not been tampered with. It is important to note however that this is only an additional layer of security and doesn’t protect from all attacks, though it makes those attacks much more difficult. It is possible to run DNSSEC on your computer for example with tools like https://www.nlnetlabs.nl/projects/dnssec-trigger/ or add the DNSSEC status to your browser with http://www.dnssec-validator.cz/. You can also find more information about DNSSEC here https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
Split from IPv4 network
We’ve split completely IPv4 connectivity from IPv6 by requesting “real” IPv6 addresses for the majority of machines (including DNS). In practice this means that a machine connected only to the IPv6 network can reach A/I services without relying on the legacy IPv4 network.
Dicembre 4th, 2013 at 1:12 pm
Nice job !
And Debian is working like a charm, rolling updates are so better than a big service pack like windows, I remember hours to repair an Ubuntu after a big update :s
Thx for your hard work all ! Mail service at A/I from Francia runs very smooth :)
Dicembre 9th, 2013 at 11:43 pm
ho un dubbio sull’addon ‘dnssec-validator’ di validazione DNSSEC (link: http://www.dnssec-validator.cz): aprendo il file .xpi dell’addon noto che la cartella ‘plugins’ contiene dei moduli binari (come per es. npDNSSECValidatorPlugin_x64.so)…
sono binari: si sa cosa fanno davvero? fidarsi è bene, ma (in queste cose e di questi tempi) non fidarsi è meglio…
ciao
A