Szybka ściągawka, szczególnie przydatne w sytuacji, w której masz wystawiony na świat CRL check point, by móc online sprawdzać certyfikaty (na przykład, w przypadku używania certyfikatów SSL wystawionych przez wewnętrzny urząd certyfikacji):
certutil -f -URL http://example.com/CA-Name.crl
Otworzy się w Windowsie okienko, w którym możemy sprawdzić status ważności list CRL, klikamy Retrieve. Wszystkie wpisy muszą mieć status OK. W przypadku, gdy jest niedostępny choć jeden wpis lub jest nieważny (status Expired), certyfikat nie zostanie zweryfikowany i otrzymamy następujący błąd (np. w przypadku próby połączenia z serwerem VPN):
Da się to ominąć, choć nie polecam. W przykładzie powyżej używałem połączenia SSTP i dla niego jest parametr DWORD NoCertRevocationCheck w rejestrze w:
W większości niestandardowych systemów takich jak np. FreeNAS VMware Workstation przy tworzeniu maszyny tworzy interfejs(y) sieciowe wykorzystując domyślnie sterownik e1000, który pozwala na wyciągnięcie 1 Gbit/s po stworzeniu sieci pomiędzy maszynami wirtualnymi/hostem. To jest problem, bo czasami jeśli chce się zrobić testy na iSCSI, sprzęt mamy wydajny i coś wolno działa. Generalnie ten sterownik jest problemem i jest proste rozwiązanie na zmianę tego sterownika na wydajny vmxnet3, który pozwala na wyciągnięcie na luzie 10 Gbit/s. Problem w tym, że nie każdy system to wspiera. W moim przypadku wiem, że wspiera.
Rozwiązanie jest proste: wystarczy znaleźć plik o formacie *.vmx dla naszej maszyny wirtualnej (w moim przypadku jest to maszyna freenas.vmx, edytować plik i zmienić zmienną ethernetX.virtualDev = "e1000" (X – numer interfejsu sieciowego) na ethernetX.virtualDev = "vmxnet3". To załatwia sprawę, ale trzeba pamiętać, że system wykryje te interfejsy jako nowe przechowując nadal starą konfigurację, więc trzeba się upewnić, że nie ma się w swoim systemie przypisanych żadnych ustawień do tych „starych” interfejsów.
Dosyć prosta sprawa: na każdym urządzeniu w domyślnej konfiguracji istnieje konto admin do konfiguracji i warto po prostu zmienić nazwę użytkownika, by nieco utrudnić próbę włamania się na urządzenie (na wszelki wypadek). Robi się to w CLI:
Dzięki programowi Orca można osiągnąć taki efekt, że w trakcie kreatora instalacji nie trzeba podawać adresu serwera ShadowControl przy instalacji agenta, ponieważ może on być zapisany wewnątrz instalatora i wygląda to tak:
Dzięki temu można zainstalować agenta i po instalacji on sam się podepnie do konsoli. Program Orca możemy znaleźć w Windows 10 SDK – wystarczy przy instalacji zaznaczyć opcję MSI Tools i nic innego. Dzięki temu w folderze Windows 10 SDK będziemy mieć instalator do Orca:
Wystarczy przejść instalator i będziemy mieli program Orca na swoim komputerze. Po tym należy go otworzyć, przeciągnąć na niego instalator ShadowControl, a następnie wybrać po lewej pole Property, a następnie kliknąć na środku na wolne pole PPM i wybrać opcję Add row…
Następnie w polu Property należy zdefiniować APPL_ADDR i w polu Value wpisać adres IP lub FQDN naszej konsoli ShadowControl. Po tym zapisujemy i w File > Save nasz plik instalacyjny.
Po tym taki instalator możemy zainstalować przez GPO lub przez np. polecenie msiexec:
Domyślnie wszystkie komputery trafiają w drzewku do folderu Computers, a użytkownicy do folderu Users. Takie coś można zmienić i do tego służą polecania redircmp i redirusr. W moim przypadku chcę, aby wszystko trafiało musimy określić DN (distinguished name) dla OU (organizational unit, jednostka organizacyjna) i najlepiej zrobić to poprzez przystawkę Użytkownicy i komputer usługi Active Directory z zaznaczoną opcją Widok > Opcje zaawansowane. Wtedy możemy otworzyć właściwości obiektu, otworzyć zakładkę Edytor atrybutu i znaleźć atrybut distinguishedName. Taką wartość użyjemy w poleceniu.
Dla użytkowników:
redirusr "OU=it.supra.tf,DC=serba,DC=local"
Dla komputerów:
redircmp "OU=it.supra.tf,DC=serba,DC=local"
Polecam używać cudzysłowie – szczególnie w przypadku nazw ze spacją w środku.
Problem wygląda tak i występuje w CentOS 7/Red Hat Enterprise 7/Oracle Linux/podobne:
Rozwiązaniem jest wygenerowanie nowszych plików do Dracuta. Można to zrobić za pomocą płyty ratunkowej do odpowiedniej dystrybucji. W tym przypadku będę bazował na Oracle Linuxie 7.6. Po starcie płyty ratunkowej na maszynie, na której jest problem należy odpalić shell, w którym będziemy wykonywać polecenia wybierając opcję 1 z menu, tak jak tutaj:
Następnie jeśli nasza partycja zostanie wykryta, należy wykonać polecenie chroot /mnt/sysimage i od tego momentu jesteśmy w stanie pracować w systemie na naszym dysku, który się nie odpala.
Jakiś czas zrobiłem update FortiOS u klienta do z 6.4.0 do 6.4.2 na FortiGate 100F i efekt był taki, że urządzenie się co chwile restartowało. Byłem zdziwiony, w końcu na moim urządzeniu nie było takiego problemu. W takiej sytuacji należy się podłączyć poprzez port CONSOLE w urządzeniu przez taki kabel:
Takie kable (konwerter RS-232 na USB + kabel RS-232 <-> RJ-45) z można dostać na Allegro. Na Windowsie 10 sterowniki zainstalują się same. Potem należy sprawdzić numer portu COM dla interfejsu szeregowego:
Potem należy wskazać ten port w PuTTY (ja korzystam akurat z KiTTY):
Po połączeniu widzimy konsolę i od razu widać w czym jest problem:
Rozwiązanie jest dosyć proste: należy zrestartować urządzenie i po restarcie na samym starcie firmware nacisnąć szybko jakiś przycisk, a następnie wybrać opcję [B]: Boot with backup firmware and set as default. To spowoduje start poprzedniej wersji FortiOS z zapasowej partycji:
[<ffffffc000391be8>] sock_ioctl+0x1e8/0x250
[<ffffffc00013df6c>] do_vfs_ioctl+0x2dc/0x5a8
[<ffffffc00013e290>] sys_ioctl+0x58/0xa8
Rebooting in 5 seconds..
FortiGate-100F (23:49-05.21.2019)
Ver:05000008
Serial number: FG100FTK69696969
CPU: 1400MHz
Total RAM: 4 GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu...
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
Enter C,R,T,F,I,B,Q,or H:
Loading backup firmware from boot device...
Booting OS...
.Initializing firewall...
System is starting...
Starting system maintenance...
Scanning /dev/mmcblk0p1... (100%)
Scanning /dev/mmcblk0p3... (100%)
FortiGate-100F login: admin
Password:
Welcome !
FortiGate-100F #