Monitorare il carico delle applicazioni web che avete progettato e/o utilizzate all’interno dell’architettura distribuita che vi permette di offrire un determinato servizio, è fondamentale per una serie infinita di ragioni che esulano dagli scopi di questo articolo e che sono sicuro potete anche solo lontanamente immaginare.

Se l’applicazione web in questione è in Java ed utilizzate l’ottimo Apache Tomcat come application server, questo è fattibile abilitando un agente JMX remoto che vi permetterà di interrogare Tomcat per sapere in un determinato istante dati di natura statistica (es. quante volte è stata interrogata un’applicazione, quante volte è andata in errore ecc ecc) che vi permetteranno di tenere sempre sotto controllo il vostro sistema piuttosto che analizzare le prestazioni delle varie applicazioni per provare ad ottimizzarle.

Questo è fattibile modificando poche righe nei file di configurazione di Tomcat, che come ben specificato nella documentazione ufficiale e che per completezza vi riporto.

Nello specifico dovrete aggiungere i seguenti parametri alla variabile CATALINA_OPTS

-Dcom.sun.management.jmxremote \
-Dcom.sun.management.jmxremote.port=%my.jmx.port% \
-Dcom.sun.management.jmxremote.ssl=false \
-Dcom.sun.management.jmxremote.authenticate=false

(sostituite %my.jmx.port% con un numero maggiore o uguale di 1024 vostro piacimento) nel file $CATALINA_BASE/conf/tomcat.conf se non necessitate limitare l’accesso tramite username e password. In caso contrario i parametri da aggiungere alla medesima variabile saranno:

-Dcom.sun.management.jmxremote.authenticate=true \
-Dcom.sun.management.jmxremote.password.file=../conf/jmxremote.password \
-Dcom.sun.management.jmxremote.access.file=../conf/jmxremote.access \

e dovrete andare a modificare (o creare se non esiste) il file $CATALINA_BASE/conf/jmxremote.access, specificando i nomi degli utenti che potranno usare l’agente JMX remoto e i loro permessi come segue:

monitorRole readonly
controlRole readwrite

Quindi nel file $CATALINA_BASE/conf/jmxremote.password dovrete andare a specificare le password degli utenti che avranno accesso al servizio. Ad esempio:

monitorRole tomcat
controlRole tomcat

Se nulla vi separa dalla macchina dove risiedono le applicazioni che volete monitorare, tutto sarà pronto per funzionare. Se invece tra voi (o Cacti piuttosto che Munin o Nagios), c’è un firewall le cose si complicano.

In prima battuta dovrete andare a configurare il firewall in modo tale da permettere la comunicazione tra il server dove c’è Apache Tomcat e la vostra macchina (o il server dove avete installato il Cacti/Munin/Nagios di turno) in modo tale da permettere connessioni in entrata sul server applicativo sulla porta specificata in fase di configurazione.

Purtroppo però, come specificato in una piccola postilla nella documentazione ufficiale di Tomcat, le note dolenti non sono finite. Infatti leggendo quanto segue:

Note: The JSR 160 JMX-Adaptor opens a second data channel on a random port. That is a problem when you have a local firewall installed.

risulta evidente che vi toccherà lavorare di fino per evitare soluzioni poco ortodosse come quella di aprire tutte le porte tra le due macchine in questione.

La soluzione è scriversi un agente JMX in casa che utilizzi 2 porte ben definite per permettere di monitorare Tomcat, come invece non fa l’agente JMX che viene distribuito di default assieme a Tomcat stesso.

Se andate di fretta, potete provare ad utilizzare da Daniel Fuchs, ovvero:

/\*
 \* CustomAgent.java
 \*
 \* Copyright 2007 Sun Microsystems, Inc.  All Rights Reserved.
 \*
 \* Redistribution and use in source and binary forms, with or without
 \* modification, are permitted provided that the following conditions
 \* are met:
 \*
 \*   - Redistributions of source code must retain the above copyright
 \*     notice, this list of conditions and the following disclaimer.
 \*
 \*   - Redistributions in binary form must reproduce the above copyright
 \*     notice, this list of conditions and the following disclaimer in the
 \*     documentation and/or other materials provided with the distribution.
 \*
 \*   - Neither the name of Sun Microsystems nor the names of its
 \*     contributors may be used to endorse or promote products derived
 \*     from this software without specific prior written permission.
 \*
 \* THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
 \* IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
 \* THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 \* PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 \* CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 \* EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 \* PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 \* PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 \* LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 \* NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 \* SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 \*
 \* Created on Jul 25, 2007, 11:42:49 AM
 \*
 \*/

package example.rmi.agent;

import java.io.IOException;
import java.lang.management.ManagementFactory;
import java.net.InetAddress;
import java.rmi.registry.LocateRegistry;
import java.util.HashMap;
import javax.management.MBeanServer;
import javax.management.remote.JMXConnectorServer;
import javax.management.remote.JMXConnectorServerFactory;
import javax.management.remote.JMXServiceURL;

/\*\*
 \* This CustomAgent will start an RMI COnnector Server using only
 \* port "example.rmi.agent.port".
 \*
 \* @author dfuchs
 \*/
public class CustomAgent {

    private CustomAgent() { }

    public static void premain(String agentArgs)
	throws IOException {

        // Ensure cryptographically strong random number generator used
        // to choose the object number - see java.rmi.server.ObjID
        //
        System.setProperty("java.rmi.server.randomIDs", "true");

        // Start an RMI registry on port specified by example.rmi.agent.port
        // (default 3000).
        //
        final int port= Integer.parseInt(
                System.getProperty("example.rmi.agent.port","3000"));
        System.out.println("Create RMI registry on port "+port);
        LocateRegistry.createRegistry(port);

        // Retrieve the PlatformMBeanServer.
        //
        System.out.println("Get the platform's MBean server");
        MBeanServer mbs = ManagementFactory.getPlatformMBeanServer();

        // Environment map.
        //
        System.out.println("Initialize the environment map");
        HashMap env = new HashMap();

        // This where we would enable security - left out of this
        // for the sake of the example....
        //

        // Create an RMI connector server.
        //
        // As specified in the JMXServiceURL the RMIServer stub will be
        // registered in the RMI registry running in the local host on
        // port 3000 with the name "jmxrmi". This is the same name the
        // out-of-the-box management agent uses to register the RMIServer
        // stub too.
        //
        // The port specified in "service:jmx:rmi://"+hostname+":"+port
        // is the second port, where RMI connection objects will be exported.
        // Here we use the same port as that we choose for the RMI registry.
        // The port for the RMI registry is specified in the second part
        // of the URL, in "rmi://"+hostname+":"+port
        //
        System.out.println("Create an RMI connector server");
        final String hostname = InetAddress.getLocalHost().getHostName();
        JMXServiceURL url =
            new JMXServiceURL("service:jmx:rmi://"+hostname+
            ":"+port+"/jndi/rmi://"+hostname+":"+port+"/jmxrmi");

        // Now create the server from the JMXServiceURL
        //
        JMXConnectorServer cs =
            JMXConnectorServerFactory.newJMXConnectorServer(url, env, mbs);

        // Start the RMI connector server.
        //
        System.out.println("Start the RMI connector server on port "+port);
        cs.start();
    }
}

Compilatelo creando un jar specificando l’attributo Premain-Class nel suo manifest. Tutto questo è fattibile tramite Ant utilizzando un buildfile siffatto:

    <!-- Builds dist.agent.jar -->
    <target name="-build-agent-jar"
        description="build an agent jar that can be used with -javaagent ">
        <jar basedir="${build.classes.dir}"
            jarfile="${dist.agent.jar}">
                <manifest>
                    <attribute name="Premain-Class" value="example.rmi.agent.CustomAgent"/>
                </manifest>
        </jar>
        <echo>To use this application with agent try:</echo>
        <echo>java -Dexample.rmi.port=3000 -javaagent:${dist.agent.jar} -classpath <application-classpath> <application-main-class></echo>
    </target>

A questo punto non vi rimane che aggiungere i seguenti parametri:

 -Dexample.rmi.agent.port=<port> -javaagent:<agent.jar>

alla variabile CATALINA_OPTS del file $CATALINA_BASE/conf/tomcat.conf al posto di quelli specificati all’inizio (ovviamente indicando la porta che volete utilizzare al posto di port ed il percorso del vostro jar al posto di agent.jar).

Non vi ammorbo a questo punto ulteriormente su come realizzare un custom agent che permetta l’autenticazione degli utenti abilitanti ad utilizzare il servizio JMX remote, rimandandovi direttamente alla fonte.

Forse Collegati:

• Fusteeno: il P2P dal tuo browser
• BitLet: un client per torrent via web
• Installare Apache Ant su Windows XP / Vista
• Fate come vi dico, non fate come faccio

Perchè ho usato tanti condizionali? Perchè altri ricercatori affermano che tale problema non è presente su Mac OS X ma solo su Windows per problemi del sistema operativo e non di QuickTime. Fatto sta che il problema esiste e alla Apple non è stata ancora notificata la cosa. Anche se credo che a quest’ora dalle parti di Cupertino se ne siano accorti che in rete gira la notizia.

Se vi ho fatto venire soltanto un grande mal di testa perchè di queste cose ne capite poco e niente, il succo del discorso è semplice: fino a nuovo ordine, se potete, evitate di aprire dei link che iniziano con rtsp:// perchè se qualche bontempone si vuole divertire vi si potrebbe sputtanare qualcosa (scusate il francesismo). Se qualcuno nel contempo sa come avvisare Apple della cosa non sarebbe male… così giusto per sicurezza, tanto credo siano già a conoscenza della cosa.

[via InformationWeek]

Forse Collegati:

• MediaTemple lancia un VPS con Leopard grazie a Parallels
• Gmail, Apple Mail e RTF: trinomio impossibile
• Macbook e Macbook Pro: problemi di batteria
• Ecco il vero iPhone
• Vulnerabilità delle password in Firefox 2.0.0.5

Che cos’è un password manager online e a cosa serve?

Siccome non voglio lasciare nulla al caso credo sia utile spendere due parole su che cosa sia un password manager online e sul perchè ne è vivamente consigliato l’utilizzo.

Un password manager, per chi ancora non ha le idee chiare, è un programma dove memorizzare in modo semplice ma soprattutto sicuro le credenziali di accesso ai più disparati servizi. Oggigiorno siamo infatti pieni di codici da ricordare per utilizzare questo o quel servizio, dal PIN del bancomat o del cellulare ai vari nomi utenti e password di tutti i siti a cui per una ragione o per un’altra siamo registrati.

Assodato che utilizzare sempre lo stesso nome utente e la stessa password o il medesimo PIN è una tecnica al quanto insicura come quella di scegliere password o codici molto brevi e semplici da memorizzare (es. cane, gatto, vino, birra, mamma, nonno ecc ecc) e che è molto rischioso tenere queste informazioni scritte nero su bianco o su agende o peggio ancora su bigliettini svolazzanti bisogna trovare qualche modo per evitare di archiviare in modo sicuro questi dati molto preziosi per evitare di dimenticarli e dover bestemmiare tutti i santi del calendario ogni volta che vi servono.

Un password manager non è nient’altro che un programma che vi aiuta a memorizzare tutto ciò in modo semplice ma soprattutto sicuro cosicchè non dovrete ricordarvi migliaia di nomi utenti ed altrettante password e/o PIN ma vi basterà ricordarne una o due per poi accedere facilmente alle altre.

Va da sè che un password manager online non è nient’altro che un sito che offre questo genere di servizio di memorizzazione sicura dei vostri dati ed il vantaggio mi sembra immediato: ovunque voi siate, che abbiate il vostro computer o no, potrete accedere ad i vostri dati fedelmente custoditi dal password manager che avete scelto.

Funzionalità in comune

Dovendo fornire alla fine dei conti lo stesso servizio, le funzionalità di base sono pressapoco le stesse e ci sono molte similitudini tra i due password manager.

La prima cosa che balza all’occhio è l’interfaccia grafica: molto curata, facile da usare, leggera da caricare e con dei gradevoli effetti Ajax che costituiscono la ciliegina sulla torta. Quindi anche se graficamente i due passoword manager sono molto diversi , dal punto di vista dell’usabilità entrambe le applicazioni sono davvero realizzate bene e rappresentano il giusto connubio tra semplicità di utilizzo e armonia delle forme.

Anche dal punto di vista comunicazionale non c’è nulla da eccepire perchè sia in un caso che nell’altro gli utenti più esigenti e curiosi potranno rimanere informati sulle nuove funzionalità e non solo seguendo i blog delle rispettive applicazioni che per forza di cose sono per adesso soltanto in lingua inglese.

Infine anche le funzionalità di base per quanto riguarda l’ambito della gestione delle password sono praticamente le stesse. Infatti oltre a poter memorizzare i vostri dati sensibili con la massima sicurezza, tanto che in entrambi i casi neanche i gestori dei due servizi saranno a conoscenza di quello che vorrete memorizzare nei due password manager, ci sono in aggiunta la possibilità di importare ed esportare il tutto per tenerlo conservato anche sul vostro computer, la sicurezza di operare su una connessione HTTPS ed in aggiunta la criptazione dei dati tramite algoritmi dalla più che comprovata robustezza come l’AES.

I punti di forza di Clipperz

Uno dei vantaggi che gli utenti meno esperti troveranno di grande utilità in Clipperz è la localizzazione. Infatti anche se la home page e tutta la documentazione accessibile liberamente nonchè il blog sono tutti in inglese, per quanto riguarda l’applicazione vera e propria le cose cambiano: è disponibile infatti in ben sette lingue tra cui appunto l’italiano, lo spagnolo, il portoghese, il francese, due lingue orientali (giapponese e cinese?) e l’inglese (ovviamente). Manca stranamente il tedesco ma a noi sinceramente non è che ci interessi più di tanto.

Tra le altre peculiarità di Clipperz c’è da annoverare la possibilità di categorizzare con un maggiore dettaglio i propri dati. Una volta entrati nel password manager avrete a disposizione una vasta gamma di schede per memorizzare e catalogare in modo ordinato ma soprattutto facilmente consultabile i vostri dati. Tutto questo nasce dalle diverse necessità che si hanno se si deve memorizzare una password piuttosto che i dati relativi ad un conto corrente bancario o ad una carta di credito o ancora ad una voce della rubrica: in ciascun caso avrete bisogno di una serie di campi differenti che negli altri casi non servono. Tutto è già stato preparato per voi da Clipperz in modo da lasciare all’utente solo il compito di compilare i vari campi senza doversi inventare strane diciture da mettere nelle note per ricordarsi a che servizio appartengono i codici che inseriti in una particolare scheda.

Per accedere poi in maniera rapida ai sevizi online che utilizzate più spesso è altamente consigliato utilizzare i bookmarklet che sono dei bookmark un pò speciali perchè oltre a ricordarsi l’indirizzo di un determinato sito web si ricorderanno anche la combinazione nome utente password per accedervi il tutto ovviamente in modo sicuro in quanto dietro tutto questo c’è Clipperz.

Altra comodità offerta da Clipperz è senz’ombra di dubbio la versione Compact del password manager che è stata creata per essere utilizzata nella sidebar di Firefox ed è molto comoda se siete degli utilizzatori del browser open source del panda rosso per tenere sottomano tutti i login diretti che utilizzate più spesso ed accedervi velocemente.

Viaggiate molto e non sempre avete a disposizione una connessione ad internet? Nessun problema perchè Clipperz può funzionare anche offline ed essere facilmente messo sul vostro hard disk o sulla vostra penna USB in modo da avere sempre a disposizione in vostri dati anche quando siete sconnessi con la solita garanzia di sicurezza.

I punti di forza di PassPack

Come Clipperz anche PassPack offre la possibilità di accedere velocemente ai servizi web che utilizzate più spesso e di cui avete memorizzato le informazioni tramite la funzione Auto-Login ed è utilizzabile anche offline grazie a Google Gears ma le cose più interessanti di PassPack riguardano per la gestione del livello di sicurezza che si vuole avere.

A parte la possibilità di accedere al vostro account con dei codici di accesso “usa e getta” (Disposable Login) presenti anche in Clipperz e molto utili soprattutto se vi connettete spesso da punti di accesso pubblici ci sono una serie di opzioni per gestire il livello di sicurezza con cui poter accedere al vostro account molto interessanti.

Innanzitutto di default PassPack necessita di un nome utente e di una password e… di un’ulteriore chiave di accesso per entrare nel vostro account e leggere i vostri dati (Packing Key) e tutto questo, per chi non conosce a fondo come il sottoscritto le dinamiche di criptazione dei dati, dà una sensazione di maggiore sicurezza . A tutto ciò si aggiunge un ulteriore controllo che serve per tagliare fuori i bot (credo) e che consiste nella visualizzazione di 8 quadratini disposti orizzontalmente uno in fila all’altro di cui 1 nero e 7 bianchi: ovviamente la posizione del quadratino nero è casuale e vi verrà chiesto di cliccarci sopra proprio per verificare che al computer ci sia una persona e non un programma che sta tentando di accedere illegalmente al vostro account sparando dei Packing Key a caso.

A tutto questo si aggiunge la possibilità di selezionare uno specifico messaggio di accesso per ogni indirizzo IP che utilizzate (o per una famiglia di indirizzi IP) come protezione anti-phishing e dulcis in fundo la possibilità di selezionare un determinato lasso di tempo dopo il quale, se siete loggati dentro PassPack ma non lo utilizzate, il vostro account si bloccherà e per rientrare dovrete reinserire al vostra Packing Key. Qust’ultima funzione è molto interessante perchè se siete loggati nel password manager e vi dovete allontanare di fretta dalla vostra postazione e non c’è tempo per uscire dall’account o bloccare manualmente il tutto tramite l’apposito bottoncino (Lock it up! – funzione presente anche in Clipperz), dopo un determinato lasso di tempo scelto da voi penserà PassPack a fare tutto ciò per voi ed impedire che curiosi e/o malintenzionati possano sbirciare tra i vostri dati sensibili.

Tutto questo vi sembra eccessivamente paranoico? Nessun problema perchè potrete disattivare a piacimento i vari controlli di sicurezza per accedere a PassPack in modo da velocizzare l’accesso e di conseguenza l’utilizzo rinunciando però ad un pò di sicurezza in più che non guasta mai in questi casi.

Conclusioni

Entrambi i servizi mi sembrano molto validi e se avete a che fare quotidianamente con una mole considerevole di dati sensibili ve ne consiglio vivamente l’utilizzo.

Clipperz è localizzato in italiano e quindi se siete degli utenti informaticamente parlando poco esperti lo troverete sicuramente di più facile utilizzo. PassPack offre maggiori possibilità per quanto riguarda la personalizzazione del livello di sicurezza che volete per accedere al vostro account, anche se di contro è totalmente in inglese e la cosa potrebbe creare qualche difficoltà di utilizzo in più agli utenti meno esperti.

Il mio consiglio è di provarli entrambi e utilizzare quello con cui vi sentite più a vostro agio.

Mi raccomando però: scegliete sempre delle password di accesso in entrambi i casi lunghe ed alfanumeriche con maiuscole e minuscole perchè chi dovesse malauguratamente accedere al vostro password manager poi ha accesso ad una quantità non indifferente dei vostri dati sensibili e questo non è bello. Quindi è sempre meglio fare uno sforzo di memoria in più e proteggersi bene.

Forse Collegati:

• Resettare la tua password su Mac OS X
• Jungle Disk: backup online tramite Amazon S3
• IE e Firefox uguali nella sventura…
• Vulnerabilità delle password in Firefox 2.0.0.5
• 3 x 3 x 3 – I Miei Servizi di Hosting