kk的blog: 2024

2024/03/28

為了要測試siem

需要起 snmptrap

找了二個方法

第一個方法是直接用 zabbix_trap_receiver.pl

但有問題起不來

https://zhuanlan.zhihu.com/p/426390981

第二個方法是直接改 /etc/snmp/snmptrapd.conf

內容如下

# Example configuration file for snmptrapd

# No traps are handled by default, you must edit this file!

disableAuthorization yes

authCommunity log,execute,net public

[snmp] logOption s 2

[snmp] logOption f /tmp/snmptrapd-direct.log

format2 %V\n% Agent Address: %A \n Agent Hostname: %B \n Date: %H - %J - %K - %L - %M - %Y \n Enterprise OID: %N \n Trap Type: %W \n Trap Sub-Type: %q \n Community/Infosec Context: %P \n Uptime: %T \n Description: %W \n PDU Attribute/Value Pair Array:\n%v \n -------------- \n

systemctl restart snmptrapd

醬就可以了

2024/03/15

今天要在一台新安裝的win11 上要更新winget時出現以下訊息

C:\Windows\System32>powershell add-appxpackage %temp%\Microsoft.DesktopAppInstaller_8wekyb3d8bbwe.msixbundle add-appxpackage : 部署失敗，HRESULT 為: 0x80073CF3, 套件無法進行更新、相依性或衝突驗證。 Windows 無法安裝套件Microsoft.DesktopAppInstaller_1.22.10661.0_x64__8wekyb3d8bbwe，因為此套件相依于找不到的架構。提供由 "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"發行的架構"Microsoft.UI.Xaml.2.8"、中性或x64處理器架構與最低版本8.2310.30001.0，以及要安裝的此套件。

注意: 如需其他資訊，請在事件記錄檔中尋找 [ActivityId] 1c4c5989-76a7-0000-05e8-511ca776da01，或使用命令列 Get-AppPackage

Log -ActivityID 1c4c5989-76a7-0000-05e8-511ca776da01

位於線路:1 字元:1

+ add-appxpackage C:\Users\aaa\AppData\Local\Temp\Microsoft.DesktopApp ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : WriteError: (C:\Users\aaa\A...bbwe.msixbundle:String) [Add-AppxPackage], IOException

+ FullyQualifiedErrorId : DeploymentError,Microsoft.Windows.Appx.PackageManager.Commands.AddAppxPackageCommand

原因是因為沒有安裝 Microsoft.UI.Xaml.2.8

目前是 2.8.6

下載安裝完再更新winget就沒問題了

2024/03/14

今天撈 attack map 時出現以下訊息

這個plugin使用的方法要被官方終止支援了

官方提供了 geomap來取代使用

試了半天

圖就是出不來

後來才找到問題

fotmat這裡一定要選 Table

不然在右方的選項會找不到值

2024/03/13

fortiet 如何在命令列踢掉 vpn user

首先列出目前所有連線找出相對應的 index id

FG60F # execute vpn sslvpn list

SSL-VPN Login Users:

Index User Group Auth Type Timeout Auth-Timeout From HTTP in/out HTTPS in/out Two-factor Auth

1 a1234 sslvpn-group-full-tunnel 16(1) 295 28501 192.168.12.12 0/0 0/0 0

SSL-VPN sessions:

Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP

1 a1234 sslvpn-group-full-tunnel 192.168.12.12 299 324697/1609215 172.17.0.51

執行以下指令刪除要踢掉的 id

FG60F # execute vpn sslvpn del-tunnel 1

2024/03/11

如何使用 sshpass在sudo時自動輸入密碼

範例如下

sshpass -p "passwd" ssh user@10.0.0.1 "echo passwd | sudo -S apt -y upgrade"

2024/03/10

linux 如果要直接使用整個HD

可以不用先分割磁區直接mkfs即可

mkfs.xfs /dev/sdb

mount -t xfs /dev/sdb /mnt

mkfs.ext4 /dev/sdc

mount -t ext4 /dev/sdc /mnt

2024/03/05

linux在開几時要mount iscsi時

/etc/fstab使用 defaults 會無法開几

UUID=c46a08a2-160a-4345-9e96-8ebc35ff2220 /home xfs defaults,uquota 0 0

要改成 _netdev 在網路啟動後再mount 就沒問題了

UUID=c46a08a2-160a-4345-9e96-8ebc35ff2220 /home xfs _netdev,uquota

https://unix.stackexchange.com/questions/195116/mount-iscsi-drive-at-boot-system-halts

2024/02/29

最近要進行mail server移轉

在新server上安裝完 dovecot後

改完 /etc/dovecot/dovecot.conf

protocols = imap pop3

重啟發現 port 993 995 還是會 listen

只能修改

/etc/dovecot/conf.d/10-master.conf

的二個地方把port 改成 0 才有作用

service imap-login {

inet_listener imap {

#port = 143

}

inet_listener imaps {

port = 0

#ssl = yes

}

service pop3-login {

inet_listener pop3 {

#port = 110

}

inet_listener pop3s {

port = 0

#ssl = yes

}

2024/02/26

總結一下目前如何在client 使用winget 定期更新

在目前原有的使用者上建立排程

單位內的使用者95%以上都使用 abc 這個帳號

所以把排程建在 abc 這個user上

加入以下的 reg 以達成以下二個作用

bypass MicrosoftStore Certificate

關閉安裝軟体時的UAC 以避免一直跳出視窗要user按確定

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppInstaller]

"EnableBypassCertificatePinningForMicrosoftStore"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"ConsentPromptBehaviorAdmin"=dword:00000000

為了不要讓user看到排程執行時的DOS視窗因此批次檔要以 vbs 進行呼叫

Set ws = CreateObject("Wscript.Shell")

ws.run "cmd /c C:\ProgramData\wingetgo.vbs",vbhide

接下來建立排程

schtasks /create /tn "winget4update task" /tr "C:\ProgramData\wingetgo.vbs" /sc weekly /d MON /st 09:00 /ru abc /f

因為每個user都會改密碼所以沒辦法建立不登入時也能執行的排程

還有一個問題就是如果user沒有登入網路執行也不會成功

整個由eset主按台派送的工作如下

curl -o %temp%\winget.reg http://10.0.0.1:3128/i/o/winget.reg

regedit /s %temp%\winget.reg

curl -o C:\ProgramData\wingetgo.bat http://10.0.0.1:3128/i/o/wingetgo.bat

curl -o C:\ProgramData\wingetgo.vbs http://10.0.0.1:3128/i/o/wingetgo.vbs

schtasks /create /tn "winget4update task" /tr "C:\ProgramData\wingetgo.vbs" /sc weekly /d MON /st 09:00 /ru abc /f

2024/02/24

昨天一台樹莓派完全開不了几

之前就一直發生早上無法開几

必須下指令重新開關POE該 port的電力輸出

本來以為是SD卡壞了

先換一張先上線

再把這張SD卡重刷OS
又可以開几了

就先留著當備品吧

順便把poe hat 拿下來

換上poe 分電器試試看

到目前是正常

2024/02/22

ubuntu中自動播放資料夾內的所有圖片

apt install feh

feh -Z -F -D 5 /tmp/pic

在windows 排程中執行bat檔會出現dos視窗

如果要隱藏要使用 vbs

如以下範例假設要執行的是run.bat

Set ws = CreateObject("Wscript.Shell")

ws.run "cmd /c run.bat",vbhide

存成 run.vbs

再執行run.vbs 即可

2024/02/21

之前本來想從eset的管理介面下指令在每台電腦上跑winget

但這段時間看好像都沒效果

但從管理介面看是執行成功的

請席克幫忙查一下

結果是因為主控台派下去的指令的執行身分是 system

但是用system這個身分去執行 winget 無法成功

昨天討論後

最後決定直接在每台client執行排程

試過一台沒問題

今天把辦公室的几器全部加入排程

明天中午再來看看結果

今天有個新需求要記錄dns 的client query

試了半天

只有放在這個目錄

/var/named/chroot/var/log/

才能正常的log 輪換

在/etc/named.conf加上以下這段

logging {

channel query_log {

file "/var/named/chroot/var/log/query.log" versions 3 size 1m;

severity info;

print-time yes;

};

category queries {

query_log;

};

versions 3 size 1m;

表示每個檔案 1m 保留3個輪換的檔案

https://www.ltsplus.com/linux/fix-bind-unable-to-rename-log-file

2024/02/16

之前提到用mobaxterm連進 alpine linux 無法使用X11Forwarding的問題

解法如下

先安裝 xauth

apk add xauth

再來把 /etc/ssh/sshd_config 裡的 X11Forwarding 改成 yes

X11Forwarding yes

重啟 sshd

rc-service sshd restart

醬就可以了

本日的ntopng 更新後又出現問題

看來是有新加了一個 ntop-license

這個套件需要新增 ntop 這個user

而這個user要在 ntop這個 group 裡

所以出現以下錯誤

useradd: group 'ntop' does not exist

手動加上 ntop 這個group

groupadd ntop

再跑一次 update 就 ok 了

2024/02/15

最近在試alpine linux

真的很小

目前是使用 LXC 來測

記錄一下使用到的指令

改時區

ln -s /usr/share/zoneinfo/Asia/Taipei /etc/localtime

找套件

apk search

加套件

apk add

移除套件

apk del

查看有無更新套件

apk update

更新套件

apk upgrade

架設 vsftp server

apk add vsftpd

加入開机啟動

rc-update add vsftpd

重啟 vsftpd

rc-service vsftpd restart

安裝好後 client 連線出現

500 OOPS: priv_sock_get_cmd

要在 /etc/vsftpd/vsftpd.conf 最後加上

seccomp_sandbox=NO

再重啟 vsftpd

rc-service vsftpd restart

anonymous 登入後的路徑

/var/lib/ftp

查看目前所有 service 狀況

rc-status

查看目前所有開机啟動項目

rc-update

重開機 (沒有 init)

reboot

關机

halt

沒有rc.local

如果要開几執行指令先下以下命令

rc-update add local default

再來在 /etc/local.d/ 這個目錄裡加上程式記得要 chmod +x

如果是開几要執行副檔名要加上 .start

例如 abc.start

如果是關几前要執行副檔名要加上 .stop

所有加上 .start 或 .stop 的檔案都會被執行不限一個

也可以使用 crontab 的 @reboot

apk add firefox 後

使用mobaxterm無法打開因為無法X11 forward

https://www.alpinelinux.org/

2024/02/03

今天要ssh 到server時出現錯誤

ssh root@10.1.1.1

Bad packet length 1657225410.

ssh_dispatch_run_fatal: Connection to 10.1.1.1 port 22: Connection corrupted

log出現以下錯誤

Feb 3 08:10:34 mail sshd[2963]: Bad packet length 1492758558. [preauth]

Feb 3 08:10:34 mail sshd[2963]: ssh_dispatch_run_fatal: Connection from 10.1.1.2 port 38462: Connection corrupted [preauth]

最新沒改設定是不是有更新查了一下

2024-02-03T02:05:13+0800 DEBUG Upgraded: openssh-server-8.0p1-19.el8_9.2.x86_64

果然沒錯

但要怎麼解決呢

這台是少數在用的几台 oracle linux 8

google 了一下果然有人也碰到問題

有人提出解法

ssh -c aes256-gcm@openssh.com user@host.example.com

試了一下沒問題

或是將 aes256-gcm@openssh.com 加到 /etc/ssh/ssh_config裡的 Ciphers 的這行

如下

Ciphers aes256-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

https://superuser.com/questions/1828501/how-to-solve-ssh-connection-corrupted-error

2024/01/29

ntopng版本一直停在 20240111

今天去下手動更新出現以下訊息

ntopng : Depends: pfring (= 8.6.1-8861) but 8.6.1-8845 is to be installed

apt install pfing 又出現

pfring : Depends: ndpi (= 4.8.0-4603) but 4.8.0-4608 is to be installed

然後去網站上看 ndpi 的版本是 4.8.0-4603 沒錯

查一下是什麼時候更新的

2024-01-11 03:04:15 status installed ndpi:amd64 4.8.0-4608

因為這個是ntopng 自己的 apt source list

不知道是不是官方那天搞錯後又換回來

好吧換回舊版

apt install ndpi=4.8.0-4603

醬更新就沒問題了

訂閱：文章 (Atom)