FreeBSDren port batek "requires kernel source files in SRC_BASE=/usr/src"

Batzutan, FreeBSDren port bat instalatu nahi dugunean, kernelaren iturburu kodea eskatzen digu, aurretik instalatu ez badugu. Adibide tipiko bat open-vm-tools dira. Hau konpontzeko biderik errazena jaistea eta instalatzea da.

Iturburu kodearen artxibo bat jaitsi dezakegu gure FreeBSD bertsiorako ftp://ftp.freebsd.org/pub/FreeBSD/releases/ helbidetik. Adibidez, gure kasuan:

# fetch ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/12.1-RELEASE/src.txz

Aurreko komandoan gure FreeBSDren bertsioa 12.1-RELEASE dela badakigu, jakiteko komando hau erabil dezakegu:

# freebsd-version -k

Sekuritateko partxeak ez ditugu kontuan izango, adibidez, 12.1-RELEASE-p3 bada, 12.1-RELEASE erabiliko dugu

Bukatzeko, tar-ekin deskonprimatuko dugu bere lekuan:

# tar -C / -xzvf src.txz

VMware: Nola aldatu makina birtual baten instalatutako memoria

Badira une batzuk non errazagoa egiten zaizu ssh-ren bidez gure ESXi hostera konektatzea, vSphere Client abiaraztea baino.

Kasu honetan makina birtual baten memoria aldatu nahi dut, sare zerbitzu batzuk ematen dituenez, eta amatatu beharko dudanez, nahiago dut eskuz egin, bezero grafikorik erabili gabe.

Prozesu erraza eta mekanikoa da, pausuz pausu jarraitu beharrekoa:

• SSHren bidez konektatuko gara ESXi hostera (aldez aurretik SSH zerbitzua gaituta izan beharko dugu, jakina)
• Host horretan dauden erregistratutako makina birtual guztien zerrenda aterako dugu, beraien VMIDrekin batera.

# vim-cmd vmsvc/getallvms

 

•  Aurreko pausuan lortutako Vmid-rekin piztuta dagoen ala ez ikus dezakegu.

# vim-cmd vmsvc/power.getstate 17

 

• Amatatu baino lehenago, begiratuko dugu VMwarek atazaren bat indarrean duen, makina amatatzea oztopatu dezakeena.

# vim-cmd vmsvc/get.tasklist 17

Ezer ez badu, honelako zerbait itzuliko digu:

(ManagedObjectReference) []

Zerbait martxan izatekotan, irteera honen antzekoa izango da:

(ManagedObjectReference) ['vim.Task:haTask-2-vim.VirtualMachine.createSnapshot-182550283','vim.Task:haTask-2-vim.VirtualMachine.consolidateDisks-182550274'] 

                     ( [1] Erreferentzian zelan kudeatu ataza hauek ikus dezakegu )

• Saiatuko gara makina amatatzen

# vim-cmd vmsvc/power.shutdown 17

• Amatatzen ez bada "argindarra" kenduko diogu

# vim-cmd vmsvc/power.off 17

• Makina amatatuta dugunean memoria kopurua aldatuko diogu, horretarako, makina birtualaren direktoriora joan beharko dugu, eta .vmx fitxategia editatu. vi editorea erabiliz "memSize" parametroa aldatuko dugu eta memoria kopuru berria ezarriko dugu. Aldaketak grabatuko ditugu eta azkenik makina berriro piztuko dugu.

# vim-cmd vmsvc/power.on 17

[1] https://kb.vmware.com/s/article/1004340

Monitorizatu ESXi zerbitzarien hardwarea check_esxi_hardware.py pluginarekin FreeBSDko nagiosekin

Nagios erabilita gure ESXi zerbitzarien hardware monitorizatu ahal dugu check_esxi_hardware.py pluginarekin. FreeBSDn nola instalatu ikusiko dugu.

Software instalazioa

Lehenik eta behin plugin horrek behar dituen dependentziak instalatuko ditugu, beraz, portmaster erabilita:

# portmaster lang/python
# portmaster security/py-m2crypto
# portmaster devel/py-yaml
# portmaster devel/py-ply
# portmaster devel/py-pbr 

Beharrezko dependentzia ez bada ere, rpl ere instalatuko dugu (textua ordezkatzeko tresna bat da). Tresna honekin egingo duguna vi, emacs edo beste editore batekin egin daiteke arazo handirik gabe:

# portmaster misc/rpl 

WBEM erabiliko dugu nahi dugun informazioa eskuratzeko, hortaz, pywbem ere instalatu beharko dugu, FreeBSDko ports sisteman ez dut topatu, beraz eskuz instalatuko dut:

# fetch -o pywbem-0.12.2.tar https://pypi.python.org/packages/fe/22/b30787ec1f7177194344771030e673d331f22180c4b46162ddf1a9b7913e/pywbem-0.12.2.tar.gz#md5=eb0c15722d9dea7b3809c6c09d29e767'
# tar xf pywbem-0.12.2.tar
# cd pywbem-0.12.2
# /usr/local/bin/python2.7 setup.py install

Azkenik check_esxi_hardware plugina ere instalatuko dugu:

# fetch -o /usr/local/libexec/nagios/check_esxi_hardware.py https://www.claudiokuenzler.com/nagios-plugins/check_esxi_hardware.py
# chmod 555 /usr/local/libexec/nagios/check_esxi_hardware.py
# rpl /usr/bin/python /usr/local/bin/python2.7 /usr/local/libexec/nagios/check_esxi_hardware.py

Eta prest izango dugu gure VMware azpiegitura monitorizatzeko.

Adibideak Nagiosen

define command { command_name check_esxi_hardware command_line $USER1$/check_esxi_hardware.py -H $HOSTADDRESS$ -U user -P password -p register 1}

define service { hostgroup_name esxi-servers service_description ESXi Hardware use generic-service check_command check_esxi_hardware process_perf_data 1 register 1}

define hostgroup { hostgroup_name esxi-servers alias ESXi Servers register 1}

define host { host_name myesxi hostgroups esxi-servers use generic-host register 1}

Erreferentziak

https://www.claudiokuenzler.com/monitoring-plugins/check_esxi_hardware.php

http://xydmz.net/index.php/unix/monitor-the-hardware-of-esx-and-esxi-servers-using-the-check_esxi_hardware-py-nagios-plugin-on-freebsd/

 

Zelan instalatu VMware Certificate Authority-ren root zertifikatua

vCenter erabiltzen badugu askotan akats hau topatuko dugu konexioa ezartzean arakatzaile baten bidez:

Azkenengo VMware bertsioetan root zertifikatua instalatu dezakegu salbuespen iraunkorra ezarri barik. Horretarako gure vCenterren web interfazean, "Download trusted root CA certificates" aukeratuko dugu:

Honekin artxibo bat jaitsiko dugu (download.zip), non fitxategi hauek topatuko ditugun:

Interesatzen zaiguna .crt fitxategia da (.crl certificate revocation list da), Firefoxen ziurtagiri-kudeatzailean inportatuko dugu, "Autoritateak" atalean:

"Root" zertifikatu hau webgunea identifikatzeko erabiliko dugu, beraz:

Hau eginda, vcenterrera konektatzen garen hurrengoetan, zertifikatu zuzena erabiliko dugu, salbuespenik gehitu gabe.

Microsoftek ateratako Meldown eta Spectre adabakiek AMD makinak apurtzen dituzte. Zelan konpondu?

2018 hasi bezain pronto, Meltdown eta Spectre sekuritatezko akatsen berri izan dugu. 

Hauei erantzuteko Microsoftek adabaki batzuk atera ditu arriskugarritasuna arintzeko. Printzipioz egin behar zutena. Beste eztabaida bat izango litzateke beste proiektuekin, FreeBSDrekin adibidez, Intel eta antzeko enpresek izan dituzten jarrera, oso berandu jakinarazi diete eta.

Baina... Microsoftek ateratako adabaki kritiko hauek kontrako eragina izan dituzte AMD PUZak dituzten makina askotan, instalatu ostean ezin baitira abiarazi, hurrengo BSOD erakusten:

Hau aurreko ostegunean, urtarrilaren 4an, gertatzen hasi zen eta azkenik gaur (urtarrilak 9) Microsoftek bertan behera utzi du adabaki hauen banaketa AMD makinetarako. 

Edonola ere, kasu askotan akats hori konpontzeko aukera izan dugu batzuk. Berriro berrabiaraztean, Windowsen berreskuratze kontsolatik zera erabili behar izan dugu:

DISM /image:C:\ /cleanup-image /revertpendingactions

Honekin instalatu ezin izan den adabaki hori kenduko da eta Windows abiaraziko da. Horren ostean, adabaki hori blokeatu dut. Dena den, datozen asteotan egoera hau behin baino gehiagotan errepikatuko dela uste dut, beste adabaki batzuekin, konponbideak egonkortu arte, bederen.

Nola erabili OpenSSH blacklistd zerbitzuarekin FreeBSD 11.1ean

Orain arte, jende askok egiten duen moduan sshguard erabili dut SSH zerbitzua "bruteforce" erasoen aurka babesteko.

FreeBSD 11.1ek dakarren blacklistd erabili dezakegu. Honek beste zerbitzuak bidalitako jakinarazpenak entzuten ditu, eta ezarritako arauak betetzen badira PF suebakian behar den konfigurazioa sortuko du erasotzailea blokeatzeko. OpenSSHrekin erabil daitekeenez bere konfigurazioa egingo dugu:

PFren konfigurazioa (Firewall)

Blacklistd-k eta PF-k "anchor" bat erabiliko dute elkarrekin lan egiteko. "Anchor" bat arauen bilduma bat da, blacklistd-k dinamikoki sortuko duena. Oinarrizko /etc/pf.conf fitxategia ondorengoa izan daiteke:

set skip on lo0
scrub in on em0 all fragment reassemble
anchor "blacklistd/*" in on em0
block in all
pass out all keep state
antispoof for em0 inet
pass in quick on em0 inet proto icmp all icmp-type echoreq
pass in quick on em0 proto tcp from any to em0 port 22

Aurretik gaituta ez badugu, /etc/rc.conf fitxategian gehituko dugu

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Blacklistd

Defektuzko konfigurazioan, IP erasotzaileak 24 orduz blokeatzen dira 3 saiakeren ostean, aldatu dezakegu, edo defektuz utzi. Portaera aldatzeko /etc/blacklistd.conf fitxategia aldatu beharko genuke:

# Blacklist rule
# adr/mask:port    type        proto        owner        name        nfail        disable
[local]
ssh                        stream    *               *                *               3             24h

/etc/rc.conf fitxategian zerbitzua gaituko dugu:

blacklistd_enable="YES"
blacklistd_flags="-r"

OpenSSH

Amaitzeko, sshd-k gertatzen ari dena jakinarazi behar dio blacklistd-ri azken honek neurriak hartu ahal izateko, horretarako /etc/ssh/sshd_config fitxategian zera gehituko dugu:

UseBlacklist yes

Badabil?

Ondo dabilen egiaztatzeko gure zerbitzarian sartzen pasahitz oker batekin saiatuko gara. Blokeatutako helbideak ikusteko ondorengo komando bat erabiliko dugu:

blacklistctl dump -bw

edo:

pfctl -a blacklistd/22 -t port22 -T show

Blokeatutako IPa kentzeko pfctl erabiliko dugu:

pfctl -a blacklistd/22 -t port22 -T delete <IP> 

Whitelisting

Ondo dabilela probatu badugu, bururatuko zaigu batzutan makina bat baimenduta izan behar dugula (pentesting egiteko erabiltzen dugun makina, adibidez), nola egiten da hori blacklistd zerbitzuarekin? Erraza da, /etc/blacklistd.conf fitxategian honelako zerbait gehituko dugu:

# adr/mask:port    type        proto        owner        name        nfail        disable
[local]
_IP_HELBIDEA_:ssh  *               *               *                *               *             *

VMware vCenter Server Appliance nola eguneratu

Orain dela gutxi VMware vCenter Server Appliance (VCSA) erabiltzen hasi naizela eta eguna heldu da, eguneratu behar dut, baina nola? Egia esan espero nuen baino askoz errazagoa da, ikus dezagun.

Lehenik eta behin, VCSAren Appliance Management-era konektatuko gara, aldatu ez badugu 5480 portuan egongo da entzungai, beraz gure web arakatzailearekin konektatuko gara antzeko helbide batera:

https://vcenter:5480

Erabiltzaile izena eta pasahitza sartu ostean ezkerreko menuan eguneratzeko aukera aukeratuko dugu, eta eguneratzeak bilatzeko klik egin eta gero, zeozer eskuragarri badugu, eguneratze hori ezartzeko aukera emango digu:

Eguneratzea ezartzeko aukeratuko dugu eta prozesua hasiko da, pazientzia izan behar dugu, eguneratzeak batzutan nahiko potoloak baitira eta gure interneteko konexioaren arabera denbora luze emango du.

Bukatutakoan, beharrezkoa bada, berrabiarazi behar dugu, horretarako:

Eta eginda, VCSA eguneratuta izango dugu, erraza, ezta?