FreeBSD 指令

Ports tree更新指令:
#portsnap fetch update



更新

# freebsd-update fetch

# freebsd-update install

更改 Fortigate 620B Policy session-TTL

在 CLI  輸入：

config firewall policy
edit policy_id
set session-ttl (300-604800)
end


查看
diagnose sys session ttl　　　　　   查看全部配置
show firewall policy policy_id　　　查看 policy 配置

BL460c ILO2 錯誤訊息

最近機房的 HP BL460c 莫名其妙出現了下面訊息

"An ILO2 Failure has been detected. Make sure you have a suitable iLO2 firmware loaded (must be at least iLO2 1.30)"

印象中去年是四刀 HP BL460c 輪流出現，而且確認 iLO2 韌體版本都是在 1.30 以上，換了一片 OA 之後就好了，沒想到過了半年又出現這訊息....囧。

目前解法就是重新啟動 OA 或者是 iLO ，二選一。

Reset iLo 頁面如下：

重新啟動 OA 方法就是直接熱拔插那片 OA 。

Install SNMP on Centos

# yum -y install net-snmp net-snmp-utils

#vi /etc/snmp/snmpd.conf

# com2sec notConfigUser default public
# group notConfigGroup v1 notConfigUser
# group notConfigGroup v2c notConfigUser
# 再加入 group 存取設定
com2sec local localhost public
com2sec mynetwork xxx.xxx.xxx.0/24 public
group MyRWGroup any local
group MyROGroup any mynetwork
找以下設定取消註解#
view all included .1 80
access MyROGroup "" any noauth 0 all none none
access MyRWGroup "" any noauth 0 all all all
disk / 10000

# chkconfig snmpd on
# service snmpd start

用 simpleSAMLphp 實現 Google Apps 單一簽入

1. 安裝 simpleSAMLphp 1.8 於 /var/www/ simplesaml 底下
2. Edit apache 設定，增加 

Alias /sso /var/www/simplesaml/www


安裝如果正常可連結至 http://xxx.edu.tw/sso 看到以下畫面

3.Edit config.php 

#vi config/config.php
21 行
'baseurlpath'           => 'sso/',
60 行

 'auth.adminpassword'            => 'yourpassword',
72 行
使用 tr -c -d '0123456789abcdefghijklmnopqrstuvwxyz' </dev/urandom | dd bs=32 count=1 2>/dev/null;echo 產生

'secretsalt' => ' yourcode',

79 行

'technicalcontact_name'     => 'Admin',

'technicalcontact_email'    => 'admin@xxx.edu.tw',

89 行

 'timezone' => 'Asia/Taipei',

141 行

'enable.saml20-idp' => true, 

212 行

language.default'              => 'zh-tw',

4. 設定 SSL key

#openssl genrsa -des3 -out googleappsidp.key 1024 

#openssl rsa -in googleappsidp.key -out googleappsidp.pem 

#openssl req -new -key googleappsidp.key -out googleappsidp.csr 

#openssl x509 -req -days 9999 -in googleappsidp.csr -signkey googleappsidp.key -out googleappsidp.crt

then, copy key to /simplesaml/cert

5. 設定認證來源

#touch modules/ldap/enable

# vi config/authsources.php 182 行開始

        'example-ldap' => array(

                'ldap:LDAP',

                'hostname' => '123.123.123.123',

                'enable_tls' => FALSE,

                'debug' => FALSE,

                'timeout' => 0,

                'attributes' => NULL,

                'dnpattern' => 'uid=%username%',

                'search.enable' => TRUE,

                'search.base' => 'o=users',

                'search.attributes' => array('uid', 'mail','Password','givenName'),

                'search.username' => 'cn=manage,o=domain',

                'search.password' => 'youradminpassword',

                'priv.read' => FALSE,

                'priv.username' => NULL,

                'priv.password' => NULL,

        ),

6.設定 metadata for an SAML 2.0 IdP

#vi metadata/saml20-idp-hosted.php

17 行

        'privatekey' => 'googleappsidp.pem',

        'certificate' => 'googleappsidp.crt',

24 行

        'auth' => 'example-ldap',

7.設定 metadata for an SAML 2.0 IdP

#vi metadata/saml20-sp-remote.php

22 行

$metadata['google.com/a/xxx.edu.tw'] = array(

        'AssertionConsumerService' => 'https://www.google.com/a/xxx.edu.tw/acs',

        'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:email',

        'simplesaml.nameidattribute' => 'uid',

        'simplesaml.attributes' => FALSE,

8. 設定 Google apps single sign-on (SSO)

登入網頁 

http://xxx.edu.tw/sso/saml2/idp/SSOService.php

登出網頁 

http://xxx.edu.tw/sso/saml2/idp/initSLO.php?RelayState=/simplesaml/logout.php

變更密碼改為貴單位 LDAP 更改密碼頁面

上傳憑證 googleappsidp.crt 

9.測試登入頁面

http://mail.google.com/a/yourgoogleappsdomain.com

10.強烈建議網頁使用 SSL 

FortiOS 4.0MR3 使用 eDirectory(OpenLDAP) 做群組認證

USER -> Remote ->LDAP

User -> UserGroup

輸入 LDAP 上的 group 的值




use CLI console Set Group
FGT# config user ldap
FGT# (ldap) # edit admin_LDAP
FGT# (ldap) # member-attr groupMembership //this is for Windows and Open LDAP, groupMembership for eDirectory
FGT# (ldap) # end

然後在輸入下列指令查看是否寫入
FGT# config user ldap

弱點掃描工具

http://www.openvas.org/
http://www.tenable.com/

基於 ISMS 上的 Linux 系統設定

1.關閉apache版本

vi /etc/httpd/conf/httpd.conf
ServerTokens OS # “OS”改為“Prod”
ServerSignature On # “On”改為“Off”


2.關閉php版本

vi /etc/php.ini
expose_php = On # “On”改為“Off”

http://phpsec.org/projects/guide/

3.hide phpmyadmin information schema

vi config.inc.php
$cfg['Servers'][$i]['hide_db'] = 'information_schema';

基於 ISMS 上的 Windows 系統設定

1.本機安全性原則 -> 本機原則 -> [稽核原則]內的 [稽核帳號登入事件]與[稽核登入事件]成功和失敗都勾選。

2.網路卡內容的 Client for Microsoft Networks 和 File and Printer Sharing for Microsoft network 不勾選。

3.查看密碼更改時間

c:\net user 帳號

PS. 文章會非常緩慢增加

Windows RDP 連線加密設定

[開始]->[設定]->[控制台]->[系統管理工具]->[終端機服務設定]

[連線]->[RDP-Tcp] 點擊右鍵 ->[內容] -> [一般]

[加密程度]選擇 [FIPS相容] 即可。

變色龍還原卡教學

更動資料有兩個方式
1. 用 "開放模式" ，在選單時按 Crtl + O
2. 進入 Dos 下的還原點管理... 把目前的還原點, 寫入到 Root .....

方法一... 是類似原來的復活卡的做法~~
方法二... 是找想要的還原點寫回 Root ..

不管用那一個, 還原點都會完全消失~~ 一個不留~~

[CentOS]安裝 lftp

#rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt
i386系統

#rpm -ihv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.5.2-2.el5.rf.i386.rpm
x86_64系統

#rpm -ihv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm

#yum install -y lftp