Author Archive: tomeks

Linux – Network Manager – dodanie tls-cipher do konfiguracji VPN

Posted on by

Aplet GUI do Network Managere nie obsługuje właściwości tls-cipher. Dodamy go narzędziem lini poleceń nmcli.

Wyszukujemy interesującą nas nazwę profilu vpn.

$ nmcli connection show

. . . . 
POLACZENIE1            xxxxx-xxxxxx  vpn       
. . . .

Dodajemy tls-cipher.

$ nmcli connection edit POLACZENIE1

nmcli> set vpn.data tls-cipher = DEFAULT:@SECLEVEL=0
nmcli> save
nmcli> quit

Jeżeli później będziemy edytować ten profil za pomocą narzędzia w GUI to musimy powtórzyć tą operację, gdyż właściwość ta zostanie usunięta.

Fortigate – włączenie trybu proxy w GUI

Posted on by

Gdy w gui w politykach firewall nie widzimy przełącznika Inspection Mode Flow-based / Proxy-based musimy w cli wykonać polecenie:

config system settings
set gui-proxy-inspection enable
end

gui-proxy-inspection należy również ustawić aby aktywować niektóre veature np: Web Application Firewall 

Fortigate IPS – zmniejszenie zużycia pamięci

Posted on by 
# config ips global
# set socket-size 16	[integer, 0-512] <----- Rozmiar bufora gniazda IPS. Maksymalna i domyślna wartość zależy od dostępnej pamięci. Niższa wartość zmniejsza zużycie pamięci.
# set database regular
# end

Restart IPSEngine

# diag test app ipsmonitor 99 
# diag test app ipsengine 99

Na podstawie https://community.fortinet.com/t5/FortiGate/Technical-Tip-IPS-memory-optimization-steps/ta-p/197486

Security Onion – Powiadomenia Slack

Posted on by

Na podstawie https://docs.securityonion.net/en/2.3/elastalert.html, https://elastalert.readthedocs.io/en/latest/running_elastalert.html#creating-a-rule, https://github.com/Yelp/elastalert

Dodajemy powiadomienia na Slacka alarmów „high”.

W Slack dodajemy aplikację, kanał typu „Incoming WebHooks”. Przy tworzeniu kanału Slack wygeneruje nam URL np: „https://hooks.slack.com/services/<YOUR_WEBHOOK_URI>”
Do kanału przypisujemy członków, którzy będą dostawać powiadomienia z tego kanału.

W Security Onion w katalogu /opt/so/rules/elastalert/ tworzymy plik yaml np:

# nano alertToSlack1.yaml

alert:
- "slack":
    slack_webhook_url: "https://hooks.slack.com/services/<YOUR_WEBHOOK_URI>"
    alert_text: "Security Onion problem: {0}\n{2} - {1}"
    alert_text_type: alert_text_only
    alert_text_args: ["@timestamp", "rule.name", "event.module"]

elasticsearch_host: "<security.onion.domain>:9200"
filter:
- query:
    query_string:
      query: "event.severity: >2"
index: '*:so-*'
name: High Severity Alert
priority: 2
realert:
  minutes: 0
type: any

Filtr w tym pliku wyśle do Slack wszystkie alerty „high” czyli te z event.severity > 2.

Możemy utworzyć wiele kanałów w Slack i wiele plików z konfiguracja yaml, dostosowując 'filter’ tak aby do danego kanału w Slack były wysyłane tylko wybrane przez nas alerty.

Samba i bind9 dns problem

Posted on by

Problem z uruchomieniem named, w logach widzimy wpisy brak rekordu NS dla strefy

zone nazwa.strefy.pl/NONE: has no NS records
samba_dlz: Failed to configure zone 'nazwa.strefy.pl'
loading configuration: bad zone
exiting (due to fatal error)

Musimy dodać rekordy NS do strefy
samba-tool dns add [ip_lub_host_dc] [strefa] @ NS [dns_host_domain.] -U administrator

# samba-tool dns add dc1 nazwa.strefy.pl @ NS dc1.domena.pl. -U administrator

dodajemy tyle rekordów NS ile mamy serwerów DNS w domenie.

U mnie ten problem się objawił gdy zdegradowałem(usunąłem) poprzedni PDC z domeny, w głównej strefie domeny rekordy NS się zaktualizowały ale w strefach wyszukiwania wstecznego oraz strefach wyszukiwania do przodu, ręcznie utworzonych nie . Rekordy NS ze starym PDC się usunęły a brakowało wpisów NS wskazujące na nowe DC.

Należy również sprawdzić czy rekordy SOA mają prawidłowo wpisany serwer podstawowy. Można to już zrobić po uruchomieniu binda, w narzędziach administracyjnych przystawka DNS w Windows.

Proxmox klaster – zmiana adresów ip lub nazwy hosta

Posted on by

Procedura zmiany adresów ip lub nazwy hosta w nodach klastra Proxmox.

Przed zmianą adresów musimy zapewnić aby nody widziały się używając nowych ip.
Na zmienianym nodzie przygotowujemy konfigurację interfejsów z nowym adresem i sprawdzamy czy jest komunikacja między pozostałymi nodami a tym nowym ip.

Ja dodałem nowy interfejs VLAN do którego przypisałem adres 192.168.8.3:

# ip a
. . . . . . .
vmbr0.255@vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.8.3/24 scope global vmbr0.255
. . . . . . .

Wyłączamy lub przenosimy wszystkie vm z noda którego zmieniamy.

W shell na zmienianym nodzie, sprawdzamy status klastra.

# pvecm status
. . . . . . 
Votequorum information
----------------------
Expected votes:   3
Highest expected: 3
Total votes:      3
Quorum:           2  
Flags:            Quorate Qdevice 

Membership information
----------------------
    Nodeid      Votes    Qdevice Name
0x00000001          1    A,V,NMW 192.168.1.1
0x00000002          1    A,V,NMW 192.168.1.2
0x00000003          1    A,V,NMW 192.168.1.3

Następnie w pliku /etc/pve/corosync.conf zmieniamy ip lub nazwę hosta naszego noda oraz config_version. Musimy to zrobić bardzo ostrożnie gdyż każdy zapis zostanie od razu rozpropagowany na pozostałe nody klastra. Teraz na pozostałych nodach sprawdzamy czy naniesione zmiany są widoczne w pliku /etc/pve/corosync.conf.

Na każdym nodzie restartujemy corosynca.

# systemctl restart corosync

Ponownie sprawdzamy status klastra

# pvecm status
. . . . . . 
Votequorum information
----------------------
Expected votes:   3
Highest expected: 3
Total votes:      3
Quorum:           2  
Flags:            Quorate Qdevice 

Membership information
----------------------
    Nodeid      Votes    Qdevice Name
0x00000001          1    A,V,NMW 192.168.1.1
0x00000002          1    A,V,NMW 192.168.1.2
0x00000003          1    A,V,NMW 192.168.8.3

Powinniśmy nadal obserwować quorum, a nasz nod będzie miał zmieniony ip.

Pozostało nam zaktualizować adres ip lub nazwę hosta w pliku /etc/hosts.

Jeżeli chcemy zmienić ip lub nazwę hosta następnemu nodowi postępujemy dokładnie tak samo.

Proxmox VE (PVE), Proxmox BS (PBS) – konfiguracja powiadomień email

Posted on by

Ustawiamy serwery Proxmox, aby wysyłały maile z powiadomieniami.

  1. Ustawiamy w www GUI adres email z którego będzie wysyłana poczta:
    PVE: Datacenter > Options > Email from address
    PBS: Configuration > Others > Email from addresss
  2. W opcjach użytkownika ustawiamy adres email na który mają być wysyłane powiadomienia.
  3. Do /etc/hosts jeżeli brak, to dodajemy wpisz z adresem ip naszego noda, nie wystarczy localhost.
  4. Konfigurujemy Postfixa jako root. Musimy to zrobić na każdym nodzie klastra PVE.

(Zmieniamy lub dodajemy opcje do konfiguracji postfixa)
# nano /etc/postfix/main.cf

relayhost = [adres.serwera.poczty]:465
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

(dla konfiguracji ssl/tls(port465) dodajemy dodatkowo wpisy)
smtp_tls_wrappermode = yes
smtp_tls_security_level = encrypt

(Dodajemy dane potrzebne do uwierzytelnienia na serwerze poczty)
# nano /etc/postfix/sasl_passwd

[adres.serwera.poczty]:465    NAZWA_UZYTKOWNIKA:HASLO

(Zmieniamy uprawnienia)
# chmod 600 /etc/postfix/sasl_passwd
# postmap /etc/postfix/sasl_passwd

(Instalujemy bibliotekę)
# apt-get install libsasl2-modules

(Restart Postfixa)
# systemctl restart postfix.service

(Test)
# echo "Subject: Testa"| sendmail -f adres@email.zrodlowy -v adresat@maila

W razie niepowodzenia wysyłki czytamy logi Postfixa i modyfikujemy konfigurację
PVE: NazwaNoda > System > Syslog
PBS: Administration > Services > Postfix (podwójne kliknięcie)s

Proxmox – Usunięcie klastra – usunięcie ostatniego noda z klastra

Posted on by 
Poinformowanie naszego ostatniego noda, że ma pracować bez kworum
# pvecm expected 1

Zatrzymanie klastra
# systemctl stop pve-cluster

Uruchomienie noda w trybie lokalnym 
# pmxcfs -l

Usunięcie wszystkich plków konfiguracyjnych klastra
# rm -f /etc/pve/cluster.conf /etc/pve/corosync.conf 
# rm -f /etc/cluster/cluster.conf /etc/corosync/corosync.conf 
# rm /var/lib/pve-cluster/.pmxcfs.lockfile

Zatrzymanie klastra
# systemctl stop pve-cluster

Fortigate – restart noda w HA

Posted on by 
{Lista nodów}
Unit-1 # execute ha manage ?
<0>     Subsidiary unit FGX00FTXXXXXX
<1>     Subsidiary unit FGX00FTYYYYYY

{Przełączenie na noda id 1}
Unit-1 # execute ha manage 1 admin                
Unit-2 $                                     

{Reboot noda}
Unit-2 $ execute reboot
This operation will shutdown the system !
Do you want to continue? (y/n)y