Fortigate WAF – ignorowanie sygnatury

Posted on 11 stycznia 202311 stycznia 2023 by tomeks

W profilu WAF możemy dodać sygnaturę do listy ignorowanych.

Zacznijmy od sprawdzenia opisu sygnatury, którą chcemy wyłączyć.

diag waf dump | grep -f <id sygnatury>

# diag waf dump | grep -f 90300017

90300017 - This signature prevents attackers from obtaining file and folder names using a tilde character "~" in a get request . <---

Aby w danym profilu dodać sygnaturę do listy ignorowanych wykonujemy:

# config waf profile
# edit <Profile Name>
# config signature
# show | grep disabled-signature  
   
  set disabled-signature 80080005 80200001 60030001 60120001 80080003 90410001 90410002

Zapamiętujemy aktualne wpisy i dodajemy nowy

# set disabled-signature 80080005 80200001 60030001 60120001 80080003 90410001 90410002 90300017 
# end
# end

Przenoszenie VM z ESXi do Proxmox

Posted on 6 stycznia 202326 sierpnia 2023 by tomeks

Aby przenieś VM z ESXi do Proxmoxa wyłączamy na ESXi VM i kopiujemy pliki VMDK do Proxmoxa. W Proxmoxsie zakładamy nową VM nie wskazując nośnika instalacyjnego ani dysku.

Konwertujemy przekopiowane plik VMDK na Proxmoxie

qm disk import <vmid> <source> <storage> [options]

# qm importdisk 100 ./dysk.vmdk local-zfs

Możemy wskazać dodatkowo format do jakiego będziemy importować
–format <raw | qcow2 | vmdk>

Po przekonwertowaniu dysków wchodzimy do ustawień sprzętu VM (Hardware) i na każdym Unused Disk wykonujemy Edit a następnie Add.

Jeżeli dysk się nie pojawił w menu Hardware to w shellu uruchamiamy:

# qm rescan

W Options > boot order, ustawiamy z którego dysku system ma się bootować.

Domena AD – Windows polecenia

Posted on 6 grudnia 20226 grudnia 2022 by tomeks

Sprawdza stan Twojego bezpiecznego kanału oraz nazwę kontrolera domeny, którego dotyczy zapytanie.

nltest /sc_query:domena.com

Sprawdzanie zastosowanych obiektów zasad grup

gpresult /r

Fortigate – Sprawdzanie logowania użytkownika przez LDAP

Posted on 5 grudnia 20225 grudnia 2022 by tomeks

W cmd Fortigate możemy sprawdzić przynależność do grup użytkownika w LDAP.

# diagnose test authserver ldap (LDAP server_name) (username) (password)

Domena AD – Relacja zaufania między tą stacją roboczą a domeną podstawową nie powiodła się

Posted on 17 listopada 202217 listopada 2022 by tomeks

Gdy domena AD przestaje ufać komputerowi, prawdopodobnie dzieje się tak dlatego, że hasło komputera lokalnego nie pasuje do hasła przechowywanego w usłudze Active Directory.

Aby usługa AD mogła ufać komputerowi, oba hasła muszą być zsynchronizowane. Jeśli nie są zsynchronizowane, pojawi się niesławny komunikat o błędzie „Błąd relacji zaufania między tą stacją roboczą a domeną podstawową ” .

Niestety, nigdy nie było ani jednego rozwiązania, które działałoby w 100% przypadków.

Gdy nowy komputer jest dodawany do usługi Active Directory, tworzone jest konto komputera z hasłem. To hasło jest domyślnie ważne przez 30 dni. Po 30 dniach zmienia się automatycznie. Jeśli zmieni się, a hasło klienta nie, pojawi się komunikat o błędzie „relacja zaufania między tą stacją roboczą a domeną podstawową nie powiodła się”.

Aby sprawdzić, że to ten problem występuje logujemy się na kliencie jako admin lokalny i w Power Shellu uruchamiamy

> Test-ComputerSecureChannel
False

False oznacza, że zaufanie nie istnieje.

Możemy użyć też cmd w starszych systemach

nltest /sc_verify:<your domain FQDN>

Różne sposoby rozwiązania problemu

Resetuj-ComputerMachinePassword (PowerShell)

Jako admin na kliencie wykonujemy:

> Reset-ComputerMachinePassword

netdom (cmd)

Jako admin na kliencie wykonujemy:

netdom resetpwd /s:DC /ud:abertram /pd:*

DC to nazwa kontrolera domeny
abertram to nazwa konta użytkownika usługi Active Directory z uprawnieniami do resetowania konta komputera
* jest symbolem zastępczym hasła do konta użytkownika, które będzie monitować o podanie hasła.

Test-ComputerSecureChannel — naprawa (PowerShell)

Jako admin na kliencie wykonujemy:

> Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

Ponowne zalogowanie do domeny

zalogować się do komputera clienta za pomocą lokalnego konta administracyjnego
przejdź do Właściwości systemu
kliknij Zmień
ustaw go na grupę roboczą
restart
ustaw go z powrotem na domenę

Przygotowane na podstawie: https://adamtheautomator.com/the-trust-relationship-between-this-workstation-and-the-primary-domain-failed/

VMWare Player/Worstation. Kernel Module Updater failed

Posted on 2 listopada 20222 listopada 2022 by tomeks

Skrypcik pobiera kompiluje i instaluje moduły jądra do VMWare Player/Worstation

VMWARE_VER=workstation-16.2.4
FOLDER=/tmp/patch-vmware
rm -fdr $FOLDER
mkdir -p $FOLDER
cd $FOLDER
git clone https://github.com/mkubecek/vmware-host-modules.git
cd $FOLDER/vmware-host-modules
git checkout $VMWARE_VER
git fetch
make
sudo make install
sudo rm /usr/lib/vmware/lib/libz.so.1/libz.so.1
sudo ln -s /lib/x86_64-linux-gnu/libz.so.1 /usr/lib/vmware/lib/libz.so.1/libz.so.1

Kernelstub

Posted on 21 października 202221 października 2022 by tomeks

Kernelstub to narzędzie do automatycznego zarządzania partycją systemową EFI (ESP) systemu operacyjnego.

Ustaw domyślne jądro rozruchowe

Aby zobaczyć, które wersje jądra są zainstalowane i określić dokładne numery wersji, uruchom:

# dpkg --list | grep linux-image*

ii  linux-image-5.18.10-76051810-generic
ii  linux-image-5.19.0-76051900-generic

Teraz zmieniamy domyślną wersję jądra używaną podczas uruchamiania systemu, możesz to zrobić wybierając wersje jądra z zainstalowanych w systemie, podając jako parametry odpowiednie vmlinuz i initrd znajdujące się w katalogu /boot:

# kernelstub -v -k /boot/vmlinuz-5.18.10-76051810-generic -i /boot/initrd.img-5.18.10-76051810-generic

Bacula – Ręczny recykling taśmy

Posted on 6 października 20226 października 2022 by tomeks

Mimo, że Bacula obsługuje automatyczny Recykling wolumenów, czasem możemy chcieć wyczyścić go ręcznie.

Zakładając, że chcesz zachować nazwę woluminu, ale chcesz po prostu zapisać nowe dane na taśmie, należy wykonać następujące kroki:

Użyj polecenia update volume >Volume Status w bconsole, aby upewnić się, że pole Recycle jest ustawione na 1. Użyj polecenia purge jobs volume w Konsoli, aby oznaczyć wolumen jako oczyszczony (Purged). Sprawdź za pomocą polecenia list volumes.

Jeśli chcesz ponownie wykorzystać wolumin, nadając mu nową nazwę, wykonaj następujące kroki:

Użyj polecenia update volume w bconsole, aby upewnić się, że pole Recycle jest ustawione na 1. Użyj polecenia Purge jobs volume w bconsole, aby oznaczyć wolumen jako oczyszczony. Sprawdź za pomocą polecenia list volumes. Użyj w bconsole polecenia relabel aby zmienić nazwę wolumenu.

Możemy również purge jobs volume oraz skasować wolumen z katalogu poleceniem delete volume, następnie odmontować go unmount. Za pomocą polecenia 'mt’ w konsoli linuxa zapisać EOF na taśmie.

$ mtx -f /dev/sg3 status
$ mtx -f /dev/sg3 load <id_slot>
$ mt -f /dev/nst0 rewind
$ mt -f /dev/nst0 weof

Teraz można użyć w bconsole polecenia label aby nazwać wolumen i przypisać do pool.

* status slots

. . . .
6*|  11111M8 |   ? |     ? |      ?
. . . . 

* label slot=6 barcode
* mount

Zimbra – ukrywanie niechcianych nagłówków w mailach

Posted on 21 września 202221 września 2022 by tomeks

Tworzymy plik

$ su zimbra
$ touch /opt/zimbra/conf/custom_header_checks

Dodajemy go do konfiguracji Zimbry

$ zmprov mcf zimbraMtaHeaderChecks 'pcre:/opt/zimbra/conf/postfix_header_checks  pcre:/opt/zimbra/conf/custom_header_checks'
$ zmprov mcf zimbraMtaBlockedExtensionWarnRecipient FALSE

Sprawdzamy czy nowy plik z regułami testowania nagłówka został pobrany przez Zimbra:

$ postconf | grep header_checks
header_checks = pcre:/opt/zimbra/conf/postfix_header_checks, pcre:/opt/zimbra/conf/custom_header_checks
...

Dodajemy nagłówki które chcemy ignorować do pliku custom_header_checks

$ nano /opt/zimbra/conf/custom_header_checks

/^Received: from localhost/     IGNORE
/^Received:.*with ESMTPSA/      IGNORE
/^User-Agent:/     IGNORE

Restartujemy MTA

$ zmmtactl restart

Na podstawie: https://wiki.zimbra.com/wiki/How_to_disable_various_headers

Security Onion – Zarządzanie regułami NIDS

Posted on 20 września 202220 września 2022 by tomeks

Uzyskiwanie listy kategorii reguł zainstalowanych w naszym systemie:

$ cut -d\" -f2 /opt/so/rules/nids/all.rules | grep -v "^$" | grep -v "^#" | awk '{print $1, $2}'|sort |uniq -c |sort -nr

Wyłączanie reguł

Wyłączenie konkretnej kategorii używając wyrażeń regularnych

 $ sudo so-rule disabled add 're:GPL TELNET'

Wyłączenie reguły według wybranego SID reguły

$ sudo so-rule disabled add 222222

Sprawdzenie listy wyłączonych reguł

$ sudo so-rule disabled list

Aby mieć pewność, możemy sprawdzić czy reguła została zakomentowana w /opt/so/rules/nids/all.rules

$ grep 222222 /opt/so/rules/nids/all.rules

Wsystkie te wyjątki zapisywane są do pliku /opt/so/saltstack/local/pillar/minions/<managername>_<role>.sls do sekcji idstools

Progowanie i wyciszanie reguł

Możemy wyciszyć i ustawiać progi wywołania alertów dodając do pliku /opt/so/saltstack/local/pillar/global.sls lub /opt/so/saltstack/local/pillar/minions/<MINION_ID>.sls sekcję thresholding

Progowanie:

thresholding:
  sids:
    8675309:
      - threshold:
          gen_id: 1
          type: threshold
          track: <by_src | by_dst>
          count: 10
          seconds: 10

Wyciszenie:

thresholding:
  sids:
    8675309:
      - suppress:
          gen_id: 1
          track: <by_src | by_dst | by_either>
          ip: <ip | subnet>

Po zmianie w plikach .sls musimy ponownie uruchomić Suriacata.

$ sudo sudo so-suricata-restart <--force>

Na podstawie https://docs.securityonion.net/en/2.3/managing-alerts.html