6 червня 2019 р.

Disk & Proxmox

Роблю для себе нотатки: Proxmox та робота з накопичувачами.

Physical disk to kvm

lshw -class disk -class storage
...

           *-disk
                description: ATA Disk
                product: ST3000DM001-1CH1
                vendor: Seagate
                physical id: 0.0.0
                bus info: scsi@3:0.0.0
                logical name: /dev/sda
                version: CC27
                serial: Z1F41BLC
                size: 2794GiB (3TB)
                configuration: ansiversion=5 sectorsize=4096
... 
ls -l /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC
ls -l /dev/disk/by-id | grep Z1F41BLC
add to kvm :
qm set  592  -virtio2 /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC
update VM 592: -virtio2 /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC
check:
grep Z1F41BLC /etc/pve/qemu-server/592.conf
virtio2: /dev/disk/by-id/ata-ST3000DM001-1CH166_Z1F41BLC,size=2930266584K

24 травня 2019 р.

Script for change interface bridge members to be private


При створенні віртуальних середовищ використовуючи jails FreeBSD , наприклад у FreeNAS,
стала задача ізолювати створенні jails у локальному сегменті мережі.
Так FreeNAS для створення jails почав використовувати пакунок 'iocage', що досить ефективно автоматизує роботу з jails.
Результатом роботи  у мене створенні декілька jails котрі ізольовані в окрему мережу котра  використовує VLAN.
Результатом є створення мережевого моста bridge до котрого додані члени jails і інтерфейс роутера.

3 травня 2019 р.

Creating Private V3 Onion Services


V3 Onion Services додала можливість автентифікувати клієнтів що під'єднуються до певного Onion сервісу, за допомогою пари ключів.

Наприклад, onion адреса є y34f3abl2bou6subajlosasumupsli2oq7chfo3oqfqznuedqhzfr5yd.onion

1. Generate a key for Alice

Someone needs to generate a key for Alice to use. I don't think it really matters if Bob generates it for her instead. I will assume it is Alice. I would like to see Tor produce something themselves (perhaps inside little-t tor, perhaps a script shipped with its source code, etc.) but for now you have to figure out how to do it yourself.

pfSense email update notification about packages

Є задача отримувати на пошту результати періодичної перевірки застарілих застосунків що встановлені додатково до pfSense на кшталт squid, pfBlockerNG ...

Рішення:

1. Створюємо Email Report, додаємо опис, налаштовуємо періодичність, зберігаємо.
2. Повертаємося до редагування щойно створеного  Email Report, і додаємо команду: '/usr/local/sbin/pfSense-upgrade -c', зберігаємо.


Email Report pfSense-upgrade -c



За матеріалами:

12 квітня 2019 р.

Для інтеграції CentOS з Hyper-V - CentOS v7.1 devices on HyperV

Використовую ESET Remote Administrator virtual appliance - Microsoft Hyper-V
Для інтеграції CentOS з Hyper-V додаю:

 Install daemons

# yum install hyperv-daemons
# systemctl enable hypervfcopyd
# systemctl start hypervkvpd hypervvssd hypervfcopyd

# virt-what
hyperv

За матеріалами:
https://plone.lucidsolutions.co.nz/linux/hyperv/centos-v7.1-devices-on-hyperv

21 березня 2019 р.

Для тих хто каже що у нас в союзі були рублі - кажи КАРБОВАНЦІ!

Часто чую - "рублі" у сучасних розрахунках. Коли робиш зауваження, відповідь: тому що я так звик бо такі були у нас гроші.
Ось для таких осіб я і знайшов свою збережену стареньку "трьошку".

Читайте - спеціально для Української РСР : "ТРИ КАРБОВАНЦІ".


ТРИ КАРБОВАНЦІ
Тоді коли вже вживаєш совковий термін тоді кажи КАРБОВАНЦІ!!

15 березня 2019 р.

Script for detect changing UID of SAMBA user

FreeNAS 11.2, SAMBA with AD

Sript detect wrong user with sid begin with 900

wbinfo -i EDOMAIN\\user1
EDOMAIN\user1:*:90000012:90000015:test user:/home/EDOMAIN/user1:/bin/sh


#!/bin/sh
wbinfoexe=/usr/local/bin/wbinfo
for user in $(${wbinfoexe} -u)
do
 uid=$(${wbinfoexe} -i "$user" | /usr/bin/awk -F: '{print $3}' | /usr/bin/egrep "^900")
 if [ ! -z "${uid}" ];then
  echo "Abnormal user is $user $uid"
  ${wbinfoexe} --logoff-user="${user}"
  net cache flush
  /etc/ix.rc.d/ix-activedirectory restart
  break
 fi
done

13 березня 2019 р.

OpenWRT додати виключення DNS для певних доменів

Для домашнього роутера (OpenWRT) я використовую додатковий захист мережі у вигляді використання DNS сервісу - opendns.com.
Але інколи треба швидко додати виключення у DNS запитах і наприклад використовувати open dns google сервери.
Так, сервіс медіа каталогу uafilm потребує доступ до доменів, на кшталт: mxase.clmbtech.com, а він у свою чергу блокується сервісом opendns.com, тому я додав виключення для домену і піддоменів "clmbtech.com" додавши перенаправлення запиту до іншого DNS серверу 8.8.8.8.
Реалізація додавання параметру DNS forwardings - /clmbtech.com/8.8.8.8

custom DNS forward, OpenWRT 18.06
Для постійних виключень також можна додати виключення і у налаштуваннях opendns.com.
dashboard.opendns.com/settings
Повний список що я додав для програвання у програмі HD VideoBOX ресурсів з uafilm:
/clmbtech.com/8.8.8.8, /crashlytics.com/8.8.8.8, /apollostream.xyz/8.8.8.8



28 лютого 2019 р.

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.
Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів

26 лютого 2019 р.

Глюк з FreeBSD 12, та мережевих карт Intel (em).

Після оновлення FreeBSD власники мережевих карт Intel (em) можуть не побачити свої мережеві інтерфейси після перезавантаження.

 
dmesg
em0: <Intel(R) PRO/1000 Network Connection> port 0xc000-0xc01f mem 0xfe800000-0xfe81ffff,0xfe820000-0xfe823fff irq 46 at device 0.0 on pci3
em0: attach_pre capping queues at 1
em0: using 1024 tx descriptors and 1024 rx descriptors
em0: msix_init qsets capped at 1
em0: pxm cpus: 8 queue msgs: 0 admincnt: 1
em0: using 0 rx queues 0 tx queues
em0: Using MSIX interrupts with 1 vectors
em0: allocated for 0 tx_queues
em0: allocated for 0 rx_queues
em0: failed to allocate IRQ for rid 0, name irq0.
em0: iflib_legacy_setup failed 12
device_attach: em0 attach returned 12

Поки виправляється цей баг, то можна застосувати це:
Adding hw.pci.enable_msix=0 to /boot/loader.conf and rebooting fixed it for me. https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235147#c8  

Мені це допомогло.


22 лютого 2019 р.

FreeNAS-11.2-U2, Samba, VFS Object: default_quota.

Попередньо я вивчав як зробити реальні квоти для користувачів у FreeNAS:
Маємо те, що маємо. Усе що відбувається - на краще: FreeNAS, ZFS, User Quota, Samba.

Тепер задачу з реальним визначення квоти для користувача ZFS можемо зробити додавши VFS Object: default_quota до необхідної спільної теки у налаштуваннях Sharing / SMB .
З документації FreeNAS: default_quota - Stores the default quotas that are reported to a windows client in the quota record of a user.

Додавання VFS Object: default_quota
Перевіряємо поточне значення квоти для змонтованого диску Z: у ОС Windows 10.
Квота 80 GB

Встановлюю персональну квоту для певного користувача домену на zfs dataset.
DEFAULT_QUOTA=65G
USERS_DATASET=poolz2/samba/users
LOGON=${DOMAINNAME}\\${USERNAME}
/sbin/zfs set "userquota@${LOGON}=${DEFAULT_QUOTA}" ${USERS_DATASET}
Перевіряємо нове значення квоти для  змонтованого диску Z: у ОС Windows 10.
Квота 65 GB
P.S. Автор розробки доповнень до FreeNAS  коментує питання по цій темі:
CIFS/SMB - AD - Quotas and reported share size | iXsystems Community
  • What minimum VFS Objects should be used for worked users quota ?
    only zfs_space, only ixnas. And default_quota it not need to use since 11.2-U2 ?
    - Only ixnas.
  • You can set a base quota for all authenticated users by adding the following auxiliary parameter for your share: ixnas:base_user_quota = 10G. You can of course change this value. What happens is the first time a user connects to the share, samba will automatically set a user quota at 10GB for him. 
  • You can remove "zfsacl" from your vfs_objects list. ixnas does the same thing.
ixnas:base_user_quota

20 лютого 2019 р.

Нотатка. TP-LINK 1043 backup firmare / full flash

Не знаю чи працює, але занотую для себе як зробити резервну копію прошивки роутера.


Повний дамп для прошивання програматором:
cat /dev/mtd0 > /tmp/backup_fullflash.bin
cat /dev/mtd5 >> /tmp/backup_fullflash.bin
cat /dev/mtd4 >> /tmp/backup_fullflash.bin
Окремі часини:
u-boot
cat /dev/mtd0 > /tmp/backup_u-boot.bin 
ART
cat /dev/mtd4 > /tmp/backup_art.bin
firmware
cat /dev/mtd5 > /tmp/backup_firmware.bin

За матеріалами: Маршрутизатор TP-Link TL-WR1043ND Atheros, 3x3 MIMO, 2.4GHz, 802.11n Draft 2 (частина 5) [111] - Конференція iXBT.com

19 лютого 2019 р.

FreeBSD ntpd starting up after upgrade. pwd_mkdb

Here, mergemaster added the ntpd user to /etc/passwd, but for some reason spoiled the password database. I simply ran /usr/sbin/pwd_mkdb -p /etc/master.passwd and this resolved the issue.

After updating another system, the old ntpd.pid file owened by the 11.2 root user was for some reason left in place and prevented the new ntpd starting up, because the user ntpd had no write permissions to the old .pid file (owned by root). I needed to delete said old .pid file manually and that resolved that issue.


https://forums.freebsd.org/threads/ntpd-not-starting-after-upgrade-to-12-0-release.68758

16 лютого 2019 р.

Що записано всередині безконтактних карт Київського метрополітену?

Безконтактні карти в київському метро почали вводити в 2007 році (інформація на сайті метро), але широке поширення і внесення вони провели тільки до кінця 2008 року. На сьогоднішній день існують два основних типу проїзних білетів: проїзні терміни, і проїзні коливання поїздів. В проїзних використовуються безконтактні карти MIFARE Classic 1K.

Фото - Metromuseum.net

Про проблеми у чипі MIFARE Classic стало відомо в 2007 році. Детальну історію відкриття вразливостей можна почитати в статті. Стаття хоч і 2008 року, але до цих пір актуальна, і в ній перераховані основні етапи знаходження вразливостей. Поєднавши ці знання можна подивитися, що ж записується в карти київського метро на прикладі проїзного на кількість поїздок.

Дисклаймер: Всі дії та інформація, описані нижче, наведені виключно для розширення особистого кругозору.



Оригінал статті: Що записано всередині безконтактних карт Київського метрополітену? / Хабр

11 лютого 2019 р.

Як виправити проблему в Ubuntu коли прокидається комп'ютер зі сну і відсутність з'єднання мережі

Щось недавно, після виходу комп'ютера в операційній системі Ubuntu 16LTE (4.15.0.-45-generic) зі сну, почав відмічати відсутність локальної мережі.
З'ясував це не тільки я маю таку проблему і є рішення : [lubuntu] No network after waking up from suspend.
Спочатку треба визначити назву драйвера мережевого з'єднання: 
sudo lshw -C network | grep driver
Пошук назви мережевого драйвера

У мене це sky2.
Далі створюємо файл скрипт з правами на виконання : /lib/systemd/system-sleep/wakeon_suspend
sudo touch /lib/systemd/system-sleep/wakeon_suspend
sudo chmod +x /lib/systemd/system-sleep/wakeon_suspend
І редагуючи вставляємо наступний зміст, де ModName назва мережевого драйвера.
#!/bin/sh
ModName="sky2"
case $1/$2 in
 pre/*)
  echo "activate $2..."
  /bin/systemctl stop network-manager.service
  /sbin/modprobe -rf $ModName
  ;;
 post/*)
  echo "wakeup from $2..."
  /sbin/modprobe $ModName
  /bin/systemctl start network-manager.service
  ;;
esac

Після цього під час засинання скрипт буде видаляти драйвер мережевого інтерфейсу, а коли настав час просинатися скрипт буде інсталювати драйвер знову і перезапускати мережеву службу network-manager.

У мене це запрацювало.

1 лютого 2019 р.

Як зробити використовуючи pfSense, FreeRadius, дозвіл на WiFi WPA-Enterprise авторизацію тільки на певній WiFi точці доступу

Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".

Для реалізації обмежень можна використовувати  radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу  під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі  Users, Additional RADIUS Attributes (CHECK-ITEM).


31 січня 2019 р.

Вмикання, з затримкою, телевізійної приставки на час вмикання телевізора.

Маю телевізійну приставку для перегляду відео (set top box), а також бездротові навушники для телевізора які живляться окремими блоками живлення від напруги 230В.
Стала ідея, чому б не живити ці пристрої від напруги 230В тільки коли телевізор ввімкнено через пульт дистанційного керування.
Телевізор має USB порти для підключення зовнішніх пристроїв. З'ясував що у телевізорі на USB портах живлення подається тільки коли ввімкнений телевізор. Чому б і не використати напругу +5В USB для ввімкнення пристроїв через просте реле з набору andruino.
Зібрав конструкцію у корпусі з старого мережевого пристрою, з додаванням окремого вимикача котрий блокує вимикання реле, наприклад, коли потрібно щоб напруга з пристроїв не вимикалася під час вимкнення телевізора.
USB кабель, Реле +5, перемикач тумблер

25 січня 2019 р.

FreeBSD, zpool upgrade, UEFI boot


Використовую FreeBSD 12.0, завантаження через UEFI , віртуальна машина Hyper-V.
Після оновлення системи  файлова ZFS попередила (zpool status) про те що є нові функції і можна оновити їх. Що я і зробив.
zpool status

23 січня 2019 р.

The Days Go By / Минають дні, минають ночі



T.Shevchenko
Self-portrait, 1860
The Days Go By
The days go by, the nights go by,
The summer's passing; yellow leaves
Are rustling; light deserts the eye,
Thoughts fade away and feeling sleep -
All falls asleep. And I don't know
If I'm alive or but so-so,
Just floundering about the earth,
For I know neither rue nor mirth...

22 січня 2019 р.

Відновлення та модернізація паяльника ZD


Паяльник ZD-60
Для мобільних та термінових робот дуже зручно використовувати малий паяльник на кшталт цей ZD-60. Він працює в основному у режимі через діод, у на півперіоді змінного струму.
А коли натискається клавіша "турбо", то діод блокується і нагрівальний елемент живиться повному періоді змінного струму.
З часом у мене виходив з ладу нагрівальний елемент, я заміняв на інший доступний у продажу, але щось з параметрами у нових нагрівальних елементів було не так і паяльник дуже нагрівався. І ось у черговий раз я замінив нагрівальний елемент і вирішив додати до паяльника регулятор потужності, щоб елементарно контролювати температуру.

21 січня 2019 р.

pfSense overwrite DNS records on BIND DNS server.

Стала необхідність створити резервні - Secondary DNS zones інших DNS серверів котрі працюють у віртуальному середовищі. У випадку коли проводяться операції з віртуальним середовищами до DNS сервери не відповідають. Реалізував secondary DNS zones за допомогою BIND DNS server у pfSense.
Але для ефектного використання мережевих сервісів котрі працюють як на зовнішньому інтерфейсі так і у внутрішній мережі є необхідність перевизначати значення  DNS записів для різних локальних підмереж.
Так наприклад запис era.lexxai.pp.ua має IP адресу xxx.231.86.xxx, з глобальних DNS серверів, а потрібно щоб в локальній мережі для клієнтів підмережі 172.16.0.0/24, DNS запис era.lexxai.pp.ua мав IP адресу 10.250.10.15.
Згідно з публікацією: Overriding DNS for fun and profit.
Додаємо зону "rpz" де додаємо всі DNS записи які треба перевизначити.
Зона DNS "rpz" визначення зони "net172"

14 січня 2019 р.

Модернізація ліхтаря SUNCA на LED та Li-ion 18650


Кінцева мета модернізації ліхтаря SUNCO на LED світлодіоди та акумулятор Li-ion 18650
Багато є публікацій щодо модернізації на LED світлодіоди, тому я вирішив теж зробити таку модернізацію, але по своєму.
Це буде :
  • один елемент акумулятор Li-ion 18650, з старого ноутбука.
  • плата заряду та контролю 18650 через USB.
  • один потужній 1W, LED (Epistar, 100Lm, Warm White, Voltage: 3V-3.4V, 350 mA).
  • дві лінійки з світлодіодів LED  5360 (20mA) у суміші білого і теплого кольорів. Одна лінійка з 6 світлодіодів, друга з 10 світлодіодів.

10 січня 2019 р.

Intel С236 та HSIO Multiplexing

Для себе роблю нотатку, щоб зрозуміти якщо навантажити усі 8 SATA пристрої і використовувати також усі мережеві адаптери (GbE) .
Чи буде конфлікт у SATA0 та GbE згідно "Skylake C236 HSIO (High Speed Input/Output) Multiplexing on PCH-H"?
P10S-E/4L block diagram with Skylake C236

Skylake C236 HSIO Multiplexing on PCH-H

Використання IPSEC та включений захист DoS (Blat Attack) в керованих маршрутизаторах.

Так увімкнув функціонал захист DoS (DoS-атака) на керованому маршрутизаторі необхідно уявляти як і на що це впиває.
Я випадково заблокував роботу VPN IPSEC між двома філіями, увімкнув усі типу захисту DoS у керованому маршрутизаторі L2.
Проаналізував з часом що було зроблено з'ясував що блокування  IKE Phase 2 було через захист DoS Blat Attack.
Blat Attack - різновид DоS атаки в якому порт джерела дорівнює порту призначення. 
А так як початкові фази IKE використовують для з'єднання симетричний порт UDP 500 як у відправника так і у отримувача, то це як раз ця ситуація.
Тому треба захист DoS Blat Attack виключити щоб запрацював VPN IPSEC.
DoS Defend, L2 Management switch, TP-Link JetStream 24-Port Gigabit L2 Managed Switch
T2600G-28TS
У використаній конфігурації порт ISP , і  порт WAN програмного шлюзу pfSense підключений до маршрутизатора L2, з організацією окремого VLAN.

Запобігання перезапису теки для монтування у випадку коли монтування було не вдале.

chflags

Щоб запобігти такий ситуації можна на теку для монтування накласти атрибут (прапор) імунітету (immutable flag) .
В Linux: chattr
chattr +i /mnt/backups
В FreeBSD: chflags
chflags uchg /mnt/backups

Матеріали:

3 січня 2019 р.

Windows backup server crashed

Буває ситуація коли windows backup server crashed при спробі налатувати.
Я виявив це буває коли місце призначення було змінено чи щось з наявністю дисків.
Рішень багато не знайшов, тому знайшов для себе просте рішення зачистити каталог  командою:
wbadmin delete catalog
Після цього налаштування починає працювати.

Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready