MYCSS

2019-02-28

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.
Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів

2019-02-26

Глюк з FreeBSD 12, та мережевих карт Intel (em).

Після оновлення FreeBSD власники мережевих карт Intel (em) можуть не побачити свої мережеві інтерфейси після перезавантаження.

 
dmesg
em0: <Intel(R) PRO/1000 Network Connection> port 0xc000-0xc01f mem 0xfe800000-0xfe81ffff,0xfe820000-0xfe823fff irq 46 at device 0.0 on pci3
em0: attach_pre capping queues at 1
em0: using 1024 tx descriptors and 1024 rx descriptors
em0: msix_init qsets capped at 1
em0: pxm cpus: 8 queue msgs: 0 admincnt: 1
em0: using 0 rx queues 0 tx queues
em0: Using MSIX interrupts with 1 vectors
em0: allocated for 0 tx_queues
em0: allocated for 0 rx_queues
em0: failed to allocate IRQ for rid 0, name irq0.
em0: iflib_legacy_setup failed 12
device_attach: em0 attach returned 12

Поки виправляється цей баг, то можна застосувати це:
Adding hw.pci.enable_msix=0 to /boot/loader.conf and rebooting fixed it for me. https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235147#c8  

Мені це допомогло.


2019-02-22

FreeNAS-11.2-U2, Samba, VFS Object: default_quota.

Попередньо я вивчав як зробити реальні квоти для користувачів у FreeNAS:
Маємо те, що маємо. Усе що відбувається - на краще: FreeNAS, ZFS, User Quota, Samba.

Тепер задачу з реальним визначення квоти для користувача ZFS можемо зробити додавши VFS Object: default_quota до необхідної спільної теки у налаштуваннях Sharing / SMB .
З документації FreeNAS: default_quota - Stores the default quotas that are reported to a windows client in the quota record of a user.

Додавання VFS Object: default_quota
Перевіряємо поточне значення квоти для змонтованого диску Z: у ОС Windows 10.
Квота 80 GB

Встановлюю персональну квоту для певного користувача домену на zfs dataset.
DEFAULT_QUOTA=65G
USERS_DATASET=poolz2/samba/users
LOGON=${DOMAINNAME}\\${USERNAME}
/sbin/zfs set "userquota@${LOGON}=${DEFAULT_QUOTA}" ${USERS_DATASET}
Перевіряємо нове значення квоти для  змонтованого диску Z: у ОС Windows 10.
Квота 65 GB
P.S. Автор розробки доповнень до FreeNAS  коментує питання по цій темі:
CIFS/SMB - AD - Quotas and reported share size | iXsystems Community
  • What minimum VFS Objects should be used for worked users quota ?
    only zfs_space, only ixnas. And default_quota it not need to use since 11.2-U2 ?
    - Only ixnas.
  • You can set a base quota for all authenticated users by adding the following auxiliary parameter for your share: ixnas:base_user_quota = 10G. You can of course change this value. What happens is the first time a user connects to the share, samba will automatically set a user quota at 10GB for him. 
  • You can remove "zfsacl" from your vfs_objects list. ixnas does the same thing.
ixnas:base_user_quota

2019-02-20

Нотатка. TP-LINK 1043 backup firmare / full flash

Не знаю чи працює, але занотую для себе як зробити резервну копію прошивки роутера.


Повний дамп для прошивання програматором:
cat /dev/mtd0 > /tmp/backup_fullflash.bin
cat /dev/mtd5 >> /tmp/backup_fullflash.bin
cat /dev/mtd4 >> /tmp/backup_fullflash.bin
Окремі часини:
u-boot
cat /dev/mtd0 > /tmp/backup_u-boot.bin 
ART
cat /dev/mtd4 > /tmp/backup_art.bin
firmware
cat /dev/mtd5 > /tmp/backup_firmware.bin

За матеріалами: Маршрутизатор TP-Link TL-WR1043ND Atheros, 3x3 MIMO, 2.4GHz, 802.11n Draft 2 (частина 5) [111] - Конференція iXBT.com

2019-02-19

FreeBSD ntpd starting up after upgrade. pwd_mkdb

Here, mergemaster added the ntpd user to /etc/passwd, but for some reason spoiled the password database. I simply ran /usr/sbin/pwd_mkdb -p /etc/master.passwd and this resolved the issue.

After updating another system, the old ntpd.pid file owened by the 11.2 root user was for some reason left in place and prevented the new ntpd starting up, because the user ntpd had no write permissions to the old .pid file (owned by root). I needed to delete said old .pid file manually and that resolved that issue.


https://forums.freebsd.org/threads/ntpd-not-starting-after-upgrade-to-12-0-release.68758

2019-02-16

Що записано всередині безконтактних карт Київського метрополітену?

Безконтактні карти в київському метро почали вводити в 2007 році (інформація на сайті метро), але широке поширення і внесення вони провели тільки до кінця 2008 року. На сьогоднішній день існують два основних типу проїзних білетів: проїзні терміни, і проїзні коливання поїздів. В проїзних використовуються безконтактні карти MIFARE Classic 1K.

Фото - Metromuseum.net

Про проблеми у чипі MIFARE Classic стало відомо в 2007 році. Детальну історію відкриття вразливостей можна почитати в статті. Стаття хоч і 2008 року, але до цих пір актуальна, і в ній перераховані основні етапи знаходження вразливостей. Поєднавши ці знання можна подивитися, що ж записується в карти київського метро на прикладі проїзного на кількість поїздок.

Дисклаймер: Всі дії та інформація, описані нижче, наведені виключно для розширення особистого кругозору.



Оригінал статті: Що записано всередині безконтактних карт Київського метрополітену? / Хабр

2019-02-11

Як виправити проблему в Ubuntu коли прокидається комп'ютер зі сну і відсутність з'єднання мережі

Щось недавно, після виходу комп'ютера в операційній системі Ubuntu 16LTE (4.15.0.-45-generic) зі сну, почав відмічати відсутність локальної мережі.
З'ясував це не тільки я маю таку проблему і є рішення : [lubuntu] No network after waking up from suspend.
Спочатку треба визначити назву драйвера мережевого з'єднання: 
sudo lshw -C network | grep driver
Пошук назви мережевого драйвера

У мене це sky2.
Далі створюємо файл скрипт з правами на виконання : /lib/systemd/system-sleep/wakeon_suspend
sudo touch /lib/systemd/system-sleep/wakeon_suspend
sudo chmod +x /lib/systemd/system-sleep/wakeon_suspend
І редагуючи вставляємо наступний зміст, де ModName назва мережевого драйвера.
#!/bin/sh
ModName="sky2"
case $1/$2 in
 pre/*)
  echo "activate $2..."
  /bin/systemctl stop network-manager.service
  /sbin/modprobe -rf $ModName
  ;;
 post/*)
  echo "wakeup from $2..."
  /sbin/modprobe $ModName
  /bin/systemctl start network-manager.service
  ;;
esac

Після цього під час засинання скрипт буде видаляти драйвер мережевого інтерфейсу, а коли настав час просинатися скрипт буде інсталювати драйвер знову і перезапускати мережеву службу network-manager.

У мене це запрацювало.

2019-02-01

Як зробити використовуючи pfSense, FreeRadius, дозвіл на WiFi WPA-Enterprise авторизацію тільки на певній WiFi точці доступу

Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".

Для реалізації обмежень можна використовувати  radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу  під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі  Users, Additional RADIUS Attributes (CHECK-ITEM).


Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready