Archive for the ‘Unix’ Category

Basically if you have correctly configured your web-server, with correct limits (from #ipcs -l command). There will be a moment if this is not scripted, that the limit will be broken. Then, there’s an easy way to clear the limits.

for ipcs in `ipcs -s | awk '{print $2}'`; 
do
echo "ipcs=$ipcs"
ipcrm -s $ipcs
done

Jeżeli jakimś sposobem Twoja subsrypcja ma problemy z połączeniem z Red Hat Network, lub jesteś fanem CentOSa, ale w jakiś niespodziewany sposób nie masz Internetu, to repozytorium możesz dodać manualnie.

 
#mount -t iso9660 -o ro /dev/cdrom /mnt/cdrom
#mkdir /usr/repo && cp -a /mnt/cdrom/* /usr/repo/
#touch /etc/yum.repos.d/manual.repo && vi /etc/yum.repos.d/manual.repo

-----
[Server]
Name=DVD
baseurl=file:///usr/repo/Server/
enabled=1
gpgcheck=0

[Cluster]
Name=Cluster
baseurl=file:///usr/repo/Cluster/
enabled=1
gpgcheck=0

...

[VT]
Name=VT
baseurl=file:///usr/repo/VT/
enabled=1
gpgcheck=0
---

#yum clean all
#yum update

Htop to taki zaawansowany podgląd procesów real-time z ładnymi kolorkami. Domyślnie siedzi w repozytorium apt, wobec czego wydanie polecenia yum install htop zwróci brak źródeł, więc wystarczy sobie dodać właściwe repoztorium i śmigo:

Dla CentOS 6.x x686

# wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.i686.rpm
rpm -Uhv rpmforge-release*.rf.i386.rpm

Dla CentOS 6.x x86_x64

# wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm
rpm -Uhv rpmforge-release*.rf.x86_64.rpm

Następnie:

# yum install htop -y

Voila.

Typowy kłopot z zamkniętym repo, pomijam fakt rhn_register, które nie korzysta z env http_proxy.

By wyeliminować ten błąd wystarczy wydać:

#rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

Po instalacji w sieci SAN vMware ESXi >4.0 pojawia Ci się komunikat, że jedyna karta sieciowa jaka jest zainstalowana to vusb0?

Prawdopodobnie Twoja rama serwera nie obsługuje połączeń generacji trzeciej.

  1. Włącz Local Technical Support logując się do konsoli eSXi (F2 > login > Technical Support > Enable Local Technical Support)
  2. Wciśnij ALT+F1 i zaloguj się jako r00t z ustalonym podczas instalacji hasłem
  3. Sprawdź karty sieciowe poleceniem: #esxcfg-nics -l

Jeżeli widzisz tylko vusb0, a jesteś pewien, że posiadasz hiper wypasioną redundantną kartę z czterema portami i w tym jeszcze czterema wirtualnymi to wiedz, że coś się dzieje!

Krok #1

Należy zmienić tryb tranmisji karty sieciowej na generację pierwszą.

UEFI -> System Settings -> Device and I/O ports -> PCIe Gen1/Gen2/Gen3 Speed Selection -> CIOv I/O exp. connector oraz BladeExpander connector na Gen1.

Krok #2

Należy zaktualizować BIOS UEFI do wersji co najmniej 1.03 w sposób następujący:

  1. Włącz host w trybie maintenance (ALT+F1)
  2. Umieść nowy UEFI BIOS gdzieś w systemie
  3. Odpal # ./ibm_fw_uefi_d6e128a_linux_32-64.bin -u
  4. Pojawi się komunikat “Error flasing firmware: 3”
  5. Odpal ponownie powyższą komendę
  6. Instalacja stworzy nowy przełącznik wirtualny nazwany IBM_CDC_vSwitch0
  7. Restarcik

Krok #3

Ściągnięcie i instalacja najnowszego sterownika Emulex wspierającego rozwiązanie eSXi, najlepiej z tej strony.

Krok #4

Pobranie i instalacja vmWare eSXi 4.1 Update 3 z tej strony.

Krok #5

Po instalacji należy ustawić adres IP dla hypervisora i zrestartować moduł sieciowy. W przypadku opcji nieHA należy zaznaczyć tylko jedną kartę sieciową w trybie Connected.

Logstalgia

Posted: 28 April 2013 in Unix
Tags: , ,

Jako, że jestem fanem wszelkich błyskotek pochodnych Matriksowi lub World of Warcraft to powielam wpis z innego portalu odnośnie Logstalgii – wizualizatora ruchu sieciowego serwera WWW. Miodzio.

BackTrack 5 R2 has arrived.

Posted: 29 February 2012 in ITsec, Unix
Tags: , ,

Kernel 3.2.6, obsługa VMware: tutaj.

Routercfg.cfg w Cisco RVS4000

Posted: 4 December 2011 in ITsec, Unix
Tags: , ,

Michał znalazł kolejną przypadłość sprzętu lidera w granicy SOHO. Podczas tworzenia backupu dla urządzenia tworzy się plik routercfg.cfg do następnego restartu routera (czyli stosunkowo długo). Podejście do pliku umożliwia dostanie się do konfiguracji routera bez autentykacji z poziomu przeglądarki. Cisco jak zwykle podeszło do sprawy profesjonalnie, reagując PSIRT’em już po trzech dniach od daty zgłoszenia. Potwierdzenie do wiadomości publicznej odbyło się (po wielu testach zapewne) w ciągu trzech miesięcy od zgłoszenia. Trochę długo, podejrzewam, że chodzi o klasę sprzętu, ale więcej o samym sploicie można przeczytać na stronie securitum.

Jeżeli administrator zostawi sobie w celach bezpieczeństwa zamontowany tryb awaryjny do grub’a to w łatwy sposób można przejąć kontrolę nad serwerem.

Mianowicie:

1. {Fail-safe}
2. #mount /dev/dsk/cotodoso /a
3. #vi /a/etc/shadow <- na tym etapie ingeruje się w dane, bo trzeba zmienić/usunąć hasło, więc zostawiamy ślad
4. System zgłasza w tym momencie RO file, więc trzeba go domknąć :wq!
5. #cd / && umount /a
6. #init s
7. #passwd root

Oczywiście jeżeli nie ma failsafe to można go sobie samodzielnie podpiąć, jednak jeżeli nie ma się tej wiedzy to jedynie pozostaje zrobić boot z CD.

W grudniu portal securitum.pl oraz grupa jakilinux.org prowadzili konkurs na wyłonienie autora najlepszego tekstu o bezpieczeństwie IT. Wysłałem moją starą publikację nt. Metodologii wdrożenia bezpieczeństwa w sieciach korporacyjnych dla początkujących administratorów. Komisja oceniła tekst bardzo dobrze. Zostałem laureatem trzeciego miejsca. Hura? Ocena polegała na wyborze najciekawszej pracy pod względem merytorycznym, ale co ważniejsze – pod względem świeżości tematu. Myślę, że dlatego przegrałem, gdyż laureat pierwszego miejsca skupił się na jednym temacie wdrożenia związanym z linuksem. Niemniej, zdobycie nagrody i miejsca na podium jest pewnym osiągnięciem i nie omieszkam wpisać sobie tę informację do życiorysu :).