Aby zmienić adres ip, użytkownika lub hasło do integracji z mikrotikiem logujemy się do HA i za pomocą edytora plików np. Studio Code Server, który możemy sobie doinstalować w dodatkach, otwieramy plik .storage/core.config_entries. Wyszukujemy w nim odpowiednią sekcję, szukając jakiś danych powiązanych z naszym Mikrotikiem np. ip, port, nazwę użytkownika do integracji z mikrotik. Zmieniamy wpisy, które nas interesują, zapisujemy i uruchamiamy ponownie HA.
Category Archives: Blog
Wazuh – Indeksowanie i przeglądanie wszystkich logów
W Wazuh domyślnie można przeglądać tylko logi z rozpoznanych alertów. Możemy jednak tak ustawić aby Wazuh indeksował i umożliwił przeglądanie wszystkich wysyłanych do niego logów.
w pliku konfiguracji /var/ossec/etc/ossec.conf ustawiamy
# nano /var/ossec/etc/ossec.conf
<logall_json>yes</logall_json>
# systemctl restart wazuh-manager Zmieniamy konfigurację Filebeat aby czytał i wysyłał alerty i archiwa
# nano /etc/filebeat/filebeat.yml
filebeat.modules:
- module: wazuh
alerts:
enabled: true
archives:
enabled: true
# systemctl restart filebeatLogujemy się do dashboard Wazuh i dodajemy wzór indeksu.
Menu -> Management -> Stack Management -> Index Patterns -> Create index pattern
- W polu „Index pattern name” wpisujemy wazuh-archives-* i naciskamy „Next”
- W polu „timestamp” wybieramy „timestamp” ale nie „@timestamp”
- Wybieramy „Create index pattern”
Teraz w „Security events” po prawej stronie u góry możemy wybierać wzór indexu „Index pattern”
Bacula – SD Calls Client
W niektórych konfiguracjach sieciowych, gdzie klient bacula-fd jest w podsieci z której nie ma dostępu do repozytorium bacula-sd możemy odwrócić połączenie i to bacula-sd nawiązuje połączenie z clientem bacula-fd. Dzieki takiej konfiguracji ewentualny zainfekowany klient nie będzie miał dostępu do repozytorium bacula-sd.
W konfiguracji bacula-dir.conf w sekcji Client dodajemy SDCallsClient = yes
Client {
Name = SerwerPlikow
Address = X.X.X.X
FDPort = 9102
AutoPrune = no
. . .
SDCallsClient = yes
}Debian – własny certyfikat CA w systemie
Dodanie certyfikatu
- Skopiuj swój certyfikat CA do katalogu
/usr/local/share/ca-certificates/
Plik certyfikatu musi mieć rozszerzenie crt - Aktualizacja CA store: $ update-ca-certificates
Usunięcie
- Usunąć plik z CA $ rm /usr/local/share/ca-certificates/myCA.crt
- Aktualizacja CA store: $ update-ca-certificates –fresh
ESXi – Usuwanie snapshotów z CLI
Logujemy się do ESXi przez ssh.
Wyświetlamy listę wirtualnych maszyn aby uzyskać Vmid interesującej nas maszyny.
# vim-cmd vmsvc/getallvms
Vmid Name File Guest OS Version Annotation
1 vm2 [datastore1] vm1/vm1.vmx windows7 vmx-02
3 vm3 [iscsi1] testvm/vm2.vmx Linux vmx-04Sprawdzanie snapshotów dla maszyny o wybranym Vmid
# vim-cmd vmsvc/snapshot.get [Vmid]
Get Snapshot:
|-ROOT
--Snapshot Name : Snapshot1
--Snapshot Desciption :
--Snapshot Created On : 04/27/2022 10:22:01
--Snapshot State : powered onUsunięcie wszystkich snapshotów dla maszyny o wybranym Vmid
# vim-cmd vmsvc/snapshot.removeall [Vmid]Fortigate – wyłączenie mechanizmu akceleracji
Wyłączenie mechanizmu akceleracji na jednej polityce np. w celach testowych aby sniffer widział wszystkie przepływające pakiety.
$ config firewall policy
edit 1
set np-acceleration disable
set auto-asic-offload disable
endData Domain – Ręczne czyszczenie file systemu
Operacja czyszczenia file systemu, odzyskuje fizyczną pamięć zajmowaną przez usunięte obiekty w systemie plików Data Domain. Gdy oprogramowanie aplikacji wygaśnie, obrazy kopii zapasowych lub archiwalnych i gdy obrazy nie są obecne w migawce, obrazy nie są dostępne lub nie można ich odzyskać z aplikacji lub migawki, dane nadal zajmują fizyczną pamięć masową. Data Domain okresowo sam czyści file system, ale możemy wykonać ręczne czyszczenie z poziomu CLI.
Połacz się z Data Domain przez ssh
$ filesys show space #sprawdza wolne miejsce
$ filesys clean start #uruchomienie czyszczenia
$ filesys clean watch #podgląd procesuFortigate – minimalna wersja ssl/tls. Tryb proxy
Niektóre strony internetowe nadal pracują w starszej wersji ssl/tls. Jeżeli nasza polityka firewall pracuje w trybie proxy, to takie połączenie może nie zostać zrealizowane prawidłowo.
Możemy obniżyć minimalną wersję ssl/tls na profilu ssl-ssh, który wykorzystujemy w naszej polityce firewall.
$ config firewall ssl-ssh-profile
$ edit <nazwa_profilu_ssl-ssh>
$ config https
$ set min-allowed-ssl-version tls-1.0
$ end Fortigate Cli – session filter
Przeglądanie i usuwanie sesji z poziomu cli
$ diagnose sys session filter ?
vd Index of virtual domain. -1 matches all.
vd-name Name of virtual domain. -1 or "any" matches all.
sintf Source interface.
dintf Destination interface.
src Source IP address.
nsrc NAT'd source ip address
dst Destination IP address.
proto Protocol number.
sport Source port.
nport NAT'd source port
dport Destination port.
policy Policy ID.
expire expire
duration duration
proto-state Protocol state.
session-state1 Session state1.
session-state2 Session state2.
ext-src Add a source address to the extended match list.
ext-dst Add a destination address to the extended match list.
ext-src-negate Add a source address to the negated extended match list.
ext-dst-negate Add a destination address to the negated extended match list.
clear Clear session filter.
negate Inverse filter.Ustawiamy filtry, i możemy podglądnąć i skasować sesje. Jeżeli żadne filtry nie będą ustawione, zostaną skasowane wszystkie sesje (wszystkie).
# ustawiamy filtr sesji np:
$ diagnose sys session filter src 192.168.1.1 192.168.1.255
# podgląd ustawionych filtrów
$ diagnose sys session filter
session filter:
...
source ip: 192.168.1.1-192.168.1.255
...
# podgląd sesji
$ diagnose sys session list
...
# usuwanie wyfiltrowanych sesji
$ diagnose sys session clear
# usuwanie ustawionych filtrów
$ diagnose sys session filter clearFortigate – Przełączenie miedzy urządzeniami w HA
Przełączenie się na innego Fortigate, który jest dołączony do HA z poziomu CLI
$ execute ha manage ?
<1> Subsidiary unit FGX00FTXXXXXX
<2> Subsidiary unit FGX00FTYYYYYY
$ execute ha manage 1 admin