Wazuh – Indeksowanie i przeglądanie wszystkich logów

Posted on 21 lipca 202221 lipca 2022 by tomeks

W Wazuh domyślnie można przeglądać tylko logi z rozpoznanych alertów. Możemy jednak tak ustawić aby Wazuh indeksował i umożliwił przeglądanie wszystkich wysyłanych do niego logów.

w pliku konfiguracji /var/ossec/etc/ossec.conf ustawiamy

# nano /var/ossec/etc/ossec.conf

<logall_json>yes</logall_json>

# systemctl restart wazuh-manager

Zmieniamy konfigurację Filebeat aby czytał i wysyłał alerty i archiwa

# nano /etc/filebeat/filebeat.yml

filebeat.modules:
 - module: wazuh
  alerts:
   enabled: true
  archives:
   enabled: true

# systemctl restart filebeat

Logujemy się do dashboard Wazuh i dodajemy wzór indeksu.

Menu -> Management -> Stack Management -> Index Patterns -> Create index pattern

W polu „Index pattern name” wpisujemy wazuh-archives-* i naciskamy „Next”
W polu „timestamp” wybieramy „timestamp” ale nie „@timestamp”
Wybieramy „Create index pattern”

Teraz w „Security events” po prawej stronie u góry możemy wybierać wzór indexu „Index pattern”

Bacula – SD Calls Client

Posted on 19 lipca 202219 lipca 2022 by tomeks

W niektórych konfiguracjach sieciowych, gdzie klient bacula-fd jest w podsieci z której nie ma dostępu do repozytorium bacula-sd możemy odwrócić połączenie i to bacula-sd nawiązuje połączenie z clientem bacula-fd. Dzieki takiej konfiguracji ewentualny zainfekowany klient nie będzie miał dostępu do repozytorium bacula-sd.

W konfiguracji bacula-dir.conf w sekcji Client dodajemy SDCallsClient = yes

Client {
  Name = SerwerPlikow
  Address = X.X.X.X
  FDPort = 9102

  AutoPrune = no               
  . . . 
  SDCallsClient = yes
}

Debian – własny certyfikat CA w systemie

Posted on 23 maja 202223 maja 2022 by tomeks

Dodanie certyfikatu

Skopiuj swój certyfikat CA do katalogu /usr/local/share/ca-certificates/
Plik certyfikatu musi mieć rozszerzenie crt
Aktualizacja CA store: $ update-ca-certificates

Usunięcie

Usunąć plik z CA $ rm /usr/local/share/ca-certificates/myCA.crt
Aktualizacja CA store: $ update-ca-certificates –fresh

ESXi – Usuwanie snapshotów z CLI

Posted on 20 maja 202220 maja 2022 by tomeks

Logujemy się do ESXi przez ssh.

Wyświetlamy listę wirtualnych maszyn aby uzyskać Vmid interesującej nas maszyny.

# vim-cmd vmsvc/getallvms

Vmid Name File Guest OS Version Annotation
1 vm2 [datastore1] vm1/vm1.vmx windows7 vmx-02
3 vm3 [iscsi1] testvm/vm2.vmx Linux vmx-04

Sprawdzanie snapshotów dla maszyny o wybranym Vmid

# vim-cmd vmsvc/snapshot.get [Vmid]
Get Snapshot:
|-ROOT
--Snapshot Name : Snapshot1
--Snapshot Desciption :
--Snapshot Created On : 04/27/2022 10:22:01
--Snapshot State : powered on

Usunięcie wszystkich snapshotów dla maszyny o wybranym Vmid

# vim-cmd vmsvc/snapshot.removeall [Vmid]

Fortigate – wyłączenie mechanizmu akceleracji

Posted on 12 maja 20222 lutego 2023 by tomeks

Wyłączenie mechanizmu akceleracji na jednej polityce np. w celach testowych aby sniffer widział wszystkie przepływające pakiety.

$ config firewall policy

edit 1

set np-acceleration disable
set auto-asic-offload disable

end

Data Domain – Ręczne czyszczenie file systemu

Posted on 5 maja 20225 maja 2022 by tomeks

Operacja czyszczenia file systemu, odzyskuje fizyczną pamięć zajmowaną przez usunięte obiekty w systemie plików Data Domain. Gdy oprogramowanie aplikacji wygaśnie, obrazy kopii zapasowych lub archiwalnych i gdy obrazy nie są obecne w migawce, obrazy nie są dostępne lub nie można ich odzyskać z aplikacji lub migawki, dane nadal zajmują fizyczną pamięć masową. Data Domain okresowo sam czyści file system, ale możemy wykonać ręczne czyszczenie z poziomu CLI.

Połacz się z Data Domain przez ssh

$ filesys show space #sprawdza wolne miejsce
$ filesys clean start #uruchomienie czyszczenia
$ filesys clean watch #podgląd procesu

Uruchomienie biblioteki taśmowej w Linuksie

Posted on 29 kwietnia 202228 września 2022 by tomeks

Instalacja potrzebnego oprogramowania

$ apt update
$ apt install mtx lsscsi

Podgląd urządzeń SCSI podłączonych do komputera

$ lsscsi -g

[1:0:0:0]    tape    HPE      Ultrium 8-SCSI   M571  /dev/st0   /dev/sg2 
[1:0:0:1]    mediumx HP       1x8 G2 AUTOLDR   5.60  /dev/sch0  /dev/sg3

Tutaj autoloader jest na /dev/sg3

# informacje o autoloaderze
$ loaderinfo -f /dev/sg3

# sprawdzenie statusu
$ mtx -f /dev/sg3 status 

# załadowanie pierwszego cartridge z pierwszego gniazda
$ mtx -f /dev/sg3 first

# załadowanie następnego cartridge 
$ mtx -f /dev/sg3 next

# załadowanie cartridge z 4 gniazda
$ mtx -f /dev/sg3 load 4

# wysunięcie cartridga
$ mtx -f /dev/sg3 unload

Praca z załadowanym w napędzie cartridgem. W moim przypadku jest to /dev/st0. Tutaj podajemy nazwę węzła a nie jak powyżej, ogólną nazwę SCSI

# sprawdzenie statusu załadowanego do napędu cartridge 
$ mt -f /dev/st0 

drive type = 114
drive status = 1577058304
sense key error = 0
residue count = 0
file number = 0
block number = 0

Fortigate – minimalna wersja ssl/tls. Tryb proxy

Posted on 21 kwietnia 202221 kwietnia 2022 by tomeks

Niektóre strony internetowe nadal pracują w starszej wersji ssl/tls. Jeżeli nasza polityka firewall pracuje w trybie proxy, to takie połączenie może nie zostać zrealizowane prawidłowo.

Możemy obniżyć minimalną wersję ssl/tls na profilu ssl-ssh, który wykorzystujemy w naszej polityce firewall.

$ config firewall ssl-ssh-profile
$ edit <nazwa_profilu_ssl-ssh>
$ config https
$ set min-allowed-ssl-version tls-1.0
$ end

Fortigate Cli – session filter

Posted on 13 kwietnia 202213 kwietnia 2022 by tomeks

Przeglądanie i usuwanie sesji z poziomu cli

$ diagnose sys session filter ?

vd                Index of virtual domain. -1 matches all.
vd-name           Name of virtual domain. -1 or "any" matches all.
sintf             Source interface.
dintf             Destination interface.
src               Source IP address.
nsrc              NAT'd source ip address
dst               Destination IP address.
proto             Protocol number.
sport             Source port.
nport             NAT'd source port
dport             Destination port.
policy            Policy ID.
expire            expire
duration          duration
proto-state       Protocol state.
session-state1    Session state1.
session-state2    Session state2.
ext-src           Add a source address to the extended match list.
ext-dst           Add a destination address to the extended match list.
ext-src-negate    Add a source address to the negated extended match list.
ext-dst-negate    Add a destination address to the negated extended match list.
clear             Clear session filter.
negate            Inverse filter.

Ustawiamy filtry, i możemy podglądnąć i skasować sesje. Jeżeli żadne filtry nie będą ustawione, zostaną skasowane wszystkie sesje (wszystkie).

# ustawiamy filtr sesji np:
$ diagnose sys session filter src 192.168.1.1 192.168.1.255

# podgląd ustawionych filtrów
$ diagnose sys session filter
session filter:
        ...

        source ip: 192.168.1.1-192.168.1.255
        ...

# podgląd sesji
$ diagnose sys session list
...

# usuwanie wyfiltrowanych sesji
$ diagnose sys session clear

# usuwanie ustawionych filtrów
$ diagnose sys session filter clear

Fortigate – Przełączenie miedzy urządzeniami w HA

Posted on 31 marca 202231 marca 2022 by tomeks

Przełączenie się na innego Fortigate, który jest dołączony do HA z poziomu CLI

$ execute ha manage ?
<1>     Subsidiary unit FGX00FTXXXXXX
<2>     Subsidiary unit FGX00FTYYYYYY
$ execute ha manage 1 admin