Використання аппаратного токену та сховища серифікатів у OpenVPN

Знов пишу нотатку для себе.
Тема сьогодні робота у середовищі Windows 10, апаратний токен та  OpenVPN.

Як використовувати для сховища сертифікатів апаратний токен

Є такий токен. Я працював з ним раніше:

• eToken PKSC11 створення та використання ключів у Ubuntu 
• Ініціалізація модуля OTP у токені "Aladdin eToken NG-OTP" за допомогою SDK
• Одноразові паролі (OTP) та сервер Apache (mod_authn_otp) 
• eToken доступ через сертифікати та одноразові паролі

 На вигляд він ось такий:

eToken NG-OTP 72k (Java)

Script for change interface bridge members to be private

При створенні віртуальних середовищ використовуючи jails FreeBSD , наприклад у FreeNAS,
стала задача ізолювати створенні jails у локальному сегменті мережі.
Так FreeNAS для створення jails почав використовувати пакунок 'iocage', що досить ефективно автоматизує роботу з jails.
Результатом роботи  у мене створенні декілька jails котрі ізольовані в окрему мережу котра  використовує VLAN.
Результатом є створення мережевого моста bridge до котрого додані члени jails і інтерфейс роутера.

Creating Private V3 Onion Services

V3 Onion Services додала можливість автентифікувати клієнтів що під'єднуються до певного Onion сервісу, за допомогою пари ключів.

Наприклад, onion адреса є y34f3abl2bou6subajlosasumupsli2oq7chfo3oqfqznuedqhzfr5yd.onion

1. Generate a key for Alice

Someone needs to generate a key for Alice to use. I don't think it really matters if Bob generates it for her instead. I will assume it is Alice. I would like to see Tor produce something themselves (perhaps inside little-t tor, perhaps a script shipped with its source code, etc.) but for now you have to figure out how to do it yourself.

pfSense email update notification about packages

Є задача отримувати на пошту результати періодичної перевірки застарілих застосунків що встановлені додатково до pfSense на кшталт squid, pfBlockerNG ...

Рішення:

1. Створюємо Email Report, додаємо опис, налаштовуємо періодичність, зберігаємо.
2. Повертаємося до редагування щойно створеного  Email Report, і додаємо команду: '/usr/local/sbin/pfSense-upgrade -c', зберігаємо.

Email Report pfSense-upgrade -c

За матеріалами:

• https://www.facebook.com/groups/pfsense.official/permalink/2005509943090559
• https://forum.netgate.com/topic/137707/auto-update-check-checks-for-updates-to-base-system-packages-and-sends-email-alerts/2

Для інтеграції CentOS з Hyper-V - CentOS v7.1 devices on HyperV

Використовую ESET Remote Administrator virtual appliance - Microsoft Hyper-V

Для інтеграції CentOS з Hyper-V додаю:

 Install daemons

# yum install hyperv-daemons
# systemctl enable hypervfcopyd
# systemctl start hypervkvpd hypervvssd hypervfcopyd

# virt-what
hyperv

За матеріалами:
https://plone.lucidsolutions.co.nz/linux/hyperv/centos-v7.1-devices-on-hyperv

Для тих хто каже що у нас в союзі були рублі - кажи КАРБОВАНЦІ!

Часто чую - "рублі" у сучасних розрахунках. Коли робиш зауваження, відповідь: тому що я так звик бо такі були у нас гроші.
Ось для таких осіб я і знайшов свою збережену стареньку "трьошку".

Читайте - спеціально для Української РСР : "ТРИ КАРБОВАНЦІ".

ТРИ КАРБОВАНЦІ

Тоді коли вже вживаєш совковий термін тоді кажи КАРБОВАНЦІ!!

Script for detect changing UID of SAMBA user

FreeNAS 11.2, SAMBA with AD

Sript detect wrong user with sid begin with 900

wbinfo -i EDOMAIN\\user1
EDOMAIN\user1:*:90000012:90000015:test user:/home/EDOMAIN/user1:/bin/sh

#!/bin/sh
wbinfoexe=/usr/local/bin/wbinfo
for user in $(${wbinfoexe} -u)
do
 uid=$(${wbinfoexe} -i "$user" | /usr/bin/awk -F: '{print $3}' | /usr/bin/egrep "^900")
 if [ ! -z "${uid}" ];then
  echo "Abnormal user is $user $uid"
  ${wbinfoexe} --logoff-user="${user}"
  net cache flush
  /etc/ix.rc.d/ix-activedirectory restart
  break
 fi
done

OpenWRT додати виключення DNS для певних доменів

Для домашнього роутера (OpenWRT) я використовую додатковий захист мережі у вигляді використання DNS сервісу - opendns.com.
Але інколи треба швидко додати виключення у DNS запитах і наприклад використовувати open dns google сервери.
Так, сервіс медіа каталогу uafilm потребує доступ до доменів, на кшталт: mxase.clmbtech.com, а він у свою чергу блокується сервісом opendns.com, тому я додав виключення для домену і піддоменів "clmbtech.com" додавши перенаправлення запиту до іншого DNS серверу 8.8.8.8.
Реалізація додавання параметру DNS forwardings - /clmbtech.com/8.8.8.8

custom DNS forward, OpenWRT 18.06

Для постійних виключень також можна додати виключення і у налаштуваннях opendns.com.

dashboard.opendns.com/settings

Повний список що я додав для програвання у програмі HD VideoBOX ресурсів з uafilm:
/clmbtech.com/8.8.8.8, /crashlytics.com/8.8.8.8, /apollostream.xyz/8.8.8.8

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.

Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів