Commenti & Opinioni

Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register

Queste pagine contengono opinioni e/o commenti a vari argomenti piu' o meno di attualita, se non siete d'accordo con il mio pensiero la cosa non mi preoccupa piu' di tanto, d'altra parte sono perfettamente d'accordo con il Principio di Scott Adams: siamo tutti degli idioti.

Presto Che E' Tardi!

Allora, lo scrivo qui che non ho nessuna voglia di mettermi a rifare la pappardella.

Ordunque, tra le varie cose che sono di mia competenza c'e' la gestione di un certo numero di certificati che devono essere aggiornati quando stanno per scadere. La cosa e' facilitiata dal fatto che ogni certificato e' sotto monitor, quindi quando il certificato ha un certo numero di giorni prima della scadenza, io ricevo una mail di notifica e posso cominciare a vedere il da farsi.

In molti casi la cosa si riduce a richiedere un nuovo certificato, eventualmente andare a battere cassa al dipartimento finanziario per pagarlo, ed una volta ottenuto fare il solito clickety-click per installarlo. Cosa che, in generale, non richiede piu' di 10 minuti.

Tuttavia, per certe cose, il certificato deve essere anche installato su uno o piu' firewall e quei cosi sono sotto il controllo del nostro dipartimento Networking.

Ora, io non sono un gran fanatico della segmentazione folle, ma capisco anche che se certe cose vengono manipolate da un po' troppa gente, riuscire a capire chi ha fatto cosa e perche' diventa molto problematico. E quando un firewall viene introiato, e' meglio che ci sia un responsabile a portata di mano per fargli il culo.

In questi casi (firewall o dispositivo in carico a Networking), quello che faccio e' seguire la prassi e creare un ticket, di solito con CC a chi so che sa cosa e come fare le cose. In molti casi la persona in questione e' li' che si gratta e quindi la cosa viene risolta nel giro di 10 minuti. Come dovrebbe essere sempre. Ma qualche volta la faccenda viene accalappiata dal cosidetto "Change Manager" ed a quel punto posso stare tranquillo che un lavoro di 10 minuti diventera' una cosa strascicata da 10 giorni.

Quindi, quando all'inizio di Novembre (NOVEMBRE), ho ricevuto la mail che '*.pincopallino.nl' scadra' al 15 Dicembre (DICEMBRE), non mi sono preoccupato troppo. Ho fatto la mia giga ottenendo il nuovo certificato ed installandolo dove posso farlo. Ma questo e' uno di quei casi in cui parte dei "servizi" che sono gestiti passano attraverso un firewall che fa anche da SSL-Offloading. 

Quindi ho preparato un bel ticket per Networking specificando che sarebbe meglio che il certificato venisse aggiornato PRIMA della fine di Novembre, dato che un sacco di gente ha delle strane idee sul fare "cambiamenti" nel mese di Dicembre.

Dopo di che non ho sentito piu' niente. Fino a Giovedi' 27 Novembre, quando uno dei nostri Networkisti (networkanisti?) mi ha domandato che roba era quella roba li'. Al che gli ho risposto che e' un volgarissimo firewall e quello che bisogna fare e' prendere il certificato, preparare eventualmente la catena, uploadarlo su firewall, e per quello c'e' sicuramente una qualche interfaccia webbe, e poi andare sui vari servizi, sempre via interfaccia webbe, ed 'attaccare' il servizio al certificato nuovo.

Ora, io ho un account su tale firewall ma e' read-only, quindi posso vedere la famosa interfaccia webbe, ma non farci molto altro. E se ve lo state domandando (se no ve lo dico lo stesso perche' cosi' mi gira), ho ottenuto quell'account perche' cosi' posso controllare nei log quando qualcuno degli utenti di tale cosa si lamenta che non riesce a collegarsi.

A questo punto pero' ho domandato che era successo a quella semplice richiesta, richiesta che, a mio parere, non dovrebbe richiedere piu' di 10 minuti. La risposta che ho ricevuto e' che era stata posposta causa altri casini ed era schedulata per il Venerdi' 28. Venerdi' che e' anche l'ultimo giorno lavorativo di Novembre... Che si', tecnicamente e' PRIMA DELLA FINE del mese ma... meh...

In ogni caso io Venerdi' avevo altre cose di cui preoccuparmi quindi non ci ho pensato molto, in effetti l'intera cosa mi e' uscita completamente dalla testa fino ad oggi, Mercoledi' 3 Dicembre (che e' OLTRE la fine del mese di Novembre), quando sono arrivato in ufficio e sono stato accolto da una caterva di mail di gente che non riusciva piu' ad accedere al sistema.

Ho cominciato un po' a preoccuparmi: quel sistema si appoggia su un paio di storage che sono piuttosto vecchi ed entrambi (produzione e backup) hanno diversi dischi fuori combattimento, dischi che non sono piu' disponibili. Stiamo cercando di spostare la roba su un altro paio di storage che sono decisamente non nuovi, ma meno vetusti (ed i dischi al momento funzionano tutti), ma le cose non sono cosi' semplici (mai). Quindi ho temuto che uno degli storage avesse dato forfait, ma no. Il problema e' che qualche cosa va male durante la connessione a servizi come SMTP ed IMAP.

Ma qualcuno faceva anche notare che funziona benissimo se usano 'pop.pincopallino' invece che 'smtp.pincopallino'. Ed il che mi ha dato una dritta, dato che 'pop' non punta al firewall ma ad un Proxy server che e' sotto la mia giurisdizione, mentre smtp punta al famoso firewall. E si', puoi usare pop.pincopallino per collegarti al servizio smtp. Basta specificare la porta giusta.

Ed un rapido controllo mi dice che il servizio funziona ed il firewall ritorna il certificato nuovo, ma al posto della normale catena di autenticazione ci sono altre copie dello stesso certificato. Il che mi dice che qualche cosa e' andato molto male durante l'installazione. Che e' stata fatta di straforo alle 17.30 di Martedi'. Ovviamente.

A questo punto ho accalappiato la persona 'On call' della giornata e gli ho detto di rimettere il certificato vecchio in produzione, che e' ancora buono per 15 giorni, e poi vedremo chi ha fatto la cazzata e non l'ha controllata.

E' risultato che il solito "change manager" ha visto che la cosa era andata oltre il tempo specificato e quindi ha deciso che la cosa migliore da fare era buttarla subito al primo posto della lista, se non che Martedi' ci sono state diverse cose che sono state "buttate al primo posto", e chi in effetti faceva le cose si e' ritrovato a fare il lavoro in fretta e furia alle 17.30. E non ha controllato un fico secco dopo averlo fatto (un "openssl s_client" avrebbe rivelato immediatamente il problema).

A questo punto, dato che tutti erano li' che si guardavano la punta delle scarpe, ho domandato "perche' STRACAZZO non posso avere un account pieno su quello STRACAZZO di firewall, cosi' queste faccende me le gestisco io direttamente che faccio anche prima".
 

Davide Bianchi
03/12/2025 10:19

Commenti

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

Nessun messaggio posta messaggio

Precedente

Copyright

Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.

Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project Powered By Gigan