Archive for the ‘HOW TOs’ Category

Encrypted traffic between Check_MK server and client…

Friday, August 6th, 2021

This article gone describe how to configure Check_MK agent to communicated encrypted via internet.

Client config

On the client edit the file

/etc/check_mk/encryption.cfg

Below is a sample output of the file.

ENCRYPTED=yes
PASSPHRASE=’super-secret-password-example-321′

Server config

In Check_MK GUI go to Setup > Agent Access Rules > Encryption (Linux, Windows).

Input a name for the rule. Enter the password and specify witch host this should apply on. You can do the rules in different ways. This is just describes the basics

Below image shows the config in GUI.

Thanks for reading hope it helps someone.

Setup Cisco VPN client in Windows 10…

Thursday, April 27th, 2017

This post describes in short how to install the old Cisco VPN client in Windows 10.

DISCLAIMER: I take no responsibility if something of this steps brakes anything. See what you have a recent backup first!.

Step 1
First close all applications.

Step 2
Now run winfix.exe can be found here.

Step 3
Now run the installer for the Dell SonicWall VPN client file found here. (This needs to be installed to get the client to work.)

Step 4
Now install the Cisco VPN client software vpnclient-winx64-msi-5.0.07.0440-k9.exe by unpacking the exe and run vpnclient_setup.msi.

Step 5
Now start regedit as an administrator and go to the below path and locate key:Display Name

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CVirtA

Change it to below value

Cisco Systems VPN Adapter for 64-bit Windows

Step 6
Now reboot the computer to finish up.

Now all should work fine after this steps. Let me know if something is not working and maybe i can help solv it.

Kompilera FiSH till irssi…

Wednesday, July 8th, 2015

I denna lilla guide kommer jag beskriva hur man kan kompilera FiSH för irssi i Linux. Nedan är testat både på Ubuntu 14.04 LTS samt Debian 8.x.

Steg 1
Nedan paket behöver installeras till att börja med.

apt-get install cmake pkg-config openssl libssl-dev libglib2.0-dev irssi-dev build-essential git

Steg 2
Nu är det dags att ladda ner FiSH kälkod och det gör jag via git. Kör nedan kommando. (Kan ändrats så kolla källor och besök FiSH git sida.)

git clone https://github.com/falsovsky/FiSH-irssi.git

Steg 3
Gå in i den klonade mappen som skapts där du stod när du körde git clone kommandot. Nu är det dags att konfigurera och kompilera FiSH.
(punkten efter cmake ska vara med)

cmake .

Exempel

root@test:~/fish/FiSH-irssi# cmake .
— Using glib-2.0 2.40.2
— Using OpenSSL 1.0.1f
— The module will be installed to /usr/lib/irssi/modules
— You can change it with ‘cmake -DCMAKE_INSTALL_PREFIX:PATH=/usr .’
— Configuring done
— Generating done
— Build files have been written to: /home/test/fish/FiSH-irssi

Dags att kompilera kör nedan kommando

make

Option om man vill installera det till /usr/lib/irssi/modules (/usr/local/lib/irssi/modules/)

make install

Exempel

root@test:~/fish/FiSH-irssi# make
[ 16%] Building C object src/CMakeFiles/fish.dir/base64.c.o
[ 33%] Building C object src/CMakeFiles/fish.dir/blowfish.c.o
[ 50%] Building C object src/CMakeFiles/fish.dir/inifile.c.o
[ 66%] Building C object src/CMakeFiles/fish.dir/DH1080.c.o
[ 83%] Building C object src/CMakeFiles/fish.dir/FiSH.c.o
[100%] Building C object src/CMakeFiles/fish.dir/password.c.o
Linking C shared module libfish.so
[100%] Built target fish

libfish.so som man är ute efter här ligger i undermappen src/ .

Om allt gått bra ska man nu ha en fungerande binär av FiSH för att använda i irssi.
Det är lite nya inställningar och dom sköts nu via /set i irssi. Se nedan info om vilka parametrar som finns. Dessa är modifierade för hur jag vill ha den.
Med dessa inställningar visas krypto symbolen på slutet av raden. Vill man ha den i början av raden byt till 1.

[fish]
auto_keyxchange = ON
mark_broken_block = &
mark_encrypted = ·
mark_position = 0
nicktracker = ON
plain_prefix = +p
process_incoming = ON
process_outgoing = ON

Källor:
https://github.com/falsovsky/FiSH-irssi

Clavister + pfSense = sant

Monday, February 9th, 2015

Jag fick höra av en bekant att det ska vara enkelt att köra pfSense på gammla clavister brandväggar då det är vanlig PC hårdvara i dom. Jag beslöt mig för att testa då jag hadde en liggande.
Jag hittade denna länk och kunde då konstatera att jag bör ha den som heter enligt listan pfSense-2.2-RELEASE-size-arch-nanobsd.img.gz.

Jag använde mig sedan av programet Image Writer for Windows / Win32 Disk Imager i windows för att skriva ut filen till CF kortet jag hadde.
Se länken här för information om andra sätt att skriva image filen till CF kort.
Bytte ut orginal CF kortet i enheten och voula det fungerade clavistern bootade pfSense.

NOTE: Numreringen av interfacen är inte logisk för fem öre så man får testa sig fram till vilket interface som är vad i pfSense namnstandard.

image

image

image

image

Migrera kontoinställningar från Outlook 2007 till Outlook 2013…

Monday, December 16th, 2013

Då jag håller på att fixa en ny dator till min bror måste jag nu migrera hans outlook och mail till den nya datorn
som kör Office 2013. Vill göra det så enkelt som möjligt och hittar då nedan sätt man kan göra för att få med kontoinställningarna
(outlook profiler). Nedan är testat och exporterat från Office Outlook 2007 till Office Outlook 2013.

Steg 1: Exportera registernycklar


Detta ska göras på den gammla PC:n i detta fallet den som kör Outlook 2007.

Start > Kör > regedit > Gå till nedan nyckel

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

Exportera nu hela denna mapp och spara till en fil.

Steg 2: Ändra i den exporterade registerfilen


Man kan desvärre inte bara importera den exporterade regfilen från Outlook 2007 PC:n utan man måste ändra i den för
att det ska stämma med hur registernycklarna för outlook 2013 ser ut. Öppna registerfilen du exporterade i notepad
Gå in i ersätt och det som ska ersättas är

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

Ersätt med nedan

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\outlook

Klicka på ersätt alla. Spara filen.

NOTE: Detta fungerar bara om profilen heter Outlook du ska ersätta.

Steg 3: Importera registerfilen på nya klienten


Kopiera över den exporterade och nu ändrade regfilen till den nya klienten. Kör filen som administratör och importera den i
registret.

Steg 4: Kopiera outlook datafiler


Nu återstår bara att kopiera ut datafilerna och lägga in på nya klienten.

Kopiera nedan mapp från din gammla klient till USB minne eller över nätverk

%USERPROFILE%\AppData\Local\Microsoft\Outlook

Den ska ligga i samma sökväg på den nya klienten. När jag testade detta tog jag alla filerna i mappen. Får man felmedelanden
på den nya klienten så kan man behöva ta bort filer som inte är av typen *.pst.

Steg 5: Testa outlook 2013


Nu återstår bara att testa starta outlook 2013 på den nya klienten. Det första den gör kan vara att synca lite filer så ha lite tålamod.
Den kommer även fråga efter lössenorden till alla konton i outlook då dessa ej följer med i flytten.

Källor:


http://social.technet.microsoft.com/Forums/office/en-US/1fc39a19-0277-4db1-b14a-ec239065d36e/move-email-accounts-settign-from-outlook-2010-to-outlook-2013
http://social.technet.microsoft.com/Forums/office/en-US/697d2579-1554-4ac2-8887-b97e78ba47ea/importing-outlook-2010-mail-account-settings-from-one-copy-of-office-2010-to-another-copy-of-office?forum=officesetupdeployprevious

Yubico Yubikey tvåstegsverifiering via SSH inloggning i Ubuntu…

Tuesday, December 10th, 2013

Denna guide kommer beskriva hur man i ubuntu konfiguerar så man får tvåstegsverifiering (two facto authentication) via SSH. Exemplet nedan är utfört på en Ubuntu 12.04 server installation tillsammans med en yubikey standard.

Steg 1: Installera nödvändiga paket


För att detta ska fungera måste man installera några paket för att kunna använda yubikeyn se nedan.

sudo apt-get install libpam-yubico libykclient3

Verifiera nu att paketen installerats korekt och kolla så du har filen enligt nedan exempel

ls -la /lib/security/pam_yubico.so
-rw-r–r– 1 root root 35416 Feb 15 2012 /lib/security/pam_yubico.so

Har du filen kan du gå vidare till nästa steg.

Steg 2: Koppla användare till yubikey inloggning


Innan vi konfigurerar SSH ska vi konfigurerar användare för yubikey. Gör enligt nedan exempel men använd korekt användarnamn.

mkdir /home/username/.yubico/
touch /home/username/.yubico/authorized_yubikeys
chmod 700 /home/username/.yubico

Nu ska vi lägga in användare i filen och koppla till din yubikey. Gå in i filen vi skapade ovan med en texteditor se nedan

nano /home/username/.yubico/authorized_yubikeys

Syntaxen i filen är enligt nedan exempel
username:yubikey id
Vill man ha flera yubikeys kopplade på samma användare gör man enligt nedan
username:yubikey id:yubikey id

Exempel

ubuntu:ccccccbdefgh
För flera yubikeys på samma användare
ubuntu:ccccccbdefgh:ccccccbddfef

Yubikey ID får man av att ta en OTP från sin yubikey och ta dom första 12 tecknen i OTPn det är ID:t.
Gör ovan steg för dom användare som ska köra yubikey.

Steg 3: Konfigurera SSH pam.d för yubikey


Nu måste vi konfigurera SSH att använda yubikey PAM modul. Gå in i filen med valfri editor /etc/pam.d/sshd
Lägg till en ny rad i början av filen som ska likna nedan exempelrad.

Exempel (OBS! detta är en rad inte två så se till att det blir rätt i filen)

auth required pam_yubico.so id=2458 key=ure8aX7mdExlmO0q44idqEICIuE= url=http://api.yubico.com/wsapi/2.0/verify?id=%d&otp=%s

Notera att man måste byta ut key värdet alltså det efter key= och id= till det som motsvarar det som hör till din yubikey. För att skaffa ett yubikey id / key så går man in på nedan URL.
https://upgrade.yubico.com/getapikey/

Note:
I exemplet ovan använder jag required och det betyder att man måste logga in med yubikey OTP + lössenord alltså tvåstegsverifiering. Man kan använda sufficient istället då krävs bara att man anger yubikey OTP och inget lössenord krävs alltså envägsverifiering.

Steg 4: Konfigurera SSHd


Vi måste ändra tre värden i /etc/ssh/sshd_config se nedan

PermitEmptyPasswords no
ChallengeResponseAuthentication yes
UsePAM yes

Det finns dock några olika kombinationer för olika typer av inloggning se nedan.

Nedan två är tänkta att användas med sufficient för pam_yubikey från steg 3.
1: Envägsverifiering med yubikey med lössenord avstängt

PasswordAuthentication no

2: Envägsverifiering med yubikey ELLER lössenord

PasswordAuthentication yes

Detta kräver att man använder sig av required i pam_yubikey för sshd från steg 3.
3: Tvåstegsverifiering med yubikey OCH lössenord

PasswordAuthentication yes

Steg 5: Starta om SSHd


För att nu aktivera detta så måste vi starta om SSHd gör det med nedan kommando.

sudo service ssh restart

Steg 6: Testa löseningen


Nu återstår bara att testa om det fungerar som det ska. Anslut med ssh mot din server och se om det du konfigurerat fungerar se exempel nedan.

username1@host1:~$ ssh username2@host2
Yubikey for `username2′:
Password:
Welcome to Ubuntu 12.04.3 LTS (GNU/Linux 3.2.0-57-generic x86_64)

Last login: Tue Dec 10 13:20:39 2013 from host1
username2@host2:~$

Ovan ser man att man först får skicka in en Yubikey OTP och sedan även ange lössenord för username2 användaren.

Slutsats:


Nu om allt fungerar som det ska är nu tvåstegsverifiering aktiverat via SSH på din Ubuntu server. Undrar ni något eller har synpunkter så lämna en komentar eller maila mig.

Källor:


https://github.com/Yubico/yubico-pam/wiki/YubikeyAndSSHViaPAM
http://forum.yubico.com/viewtopic.php?t=822

Uppdatera/installera saker till wordpress via SSH…

Sunday, December 8th, 2013

Denna guide kommer beskriva hur man på linux (Ubuntu) lägger till så man kan uppdatera / installera saker till wordpress via SSH istället för det traditionella FTP/FTPS som inte är särskilt säkert.
Detta fungerar både för att installera nya plugins / teman samt även för den automatiska updateringsfunktion som finns i wordpress. Stödet för automatisk uppdatering kom i wordpress 2.7 så jag utgår från att man har den eller nyare version för att detta ska fungera. Denna guide bygger på att man kör apache som webbserver.

Steg 1: Backup
Börja med att ta en backup av din wordpress installation och databas innan du gör något annat (ta gärna en fullbackup av hela din server om du har hand om den själv för säkerhetskull bättre ha för mycket backup än ingen alls.)

Steg 2: Installera SSH modul för PHP
För att få stöd för SSH(SCP/SFTP) måste man installera några paket för att PHP ska stöda detta. Kör nedan komando på servern som hostar din wordpress blogg.

sudo apt-get install libssh2-1-dev libssh2-php

När dessa paket installerats så kan man testa om php nu har stöd för ssh med nedan komando (OBS! kräver att man har php-cli installerat)

php -m | grep ssh2

Får man nu tillbaka ssh2 så fungerar det som det är tänkt.

Steg 3: Starta om apache
För att nu aktivera detta via webbservern måste man starta om den för att ladda in stödet via PHP det gör man med nedan kommando

sudo service apache2 restart

När detta körts bör nu wordpress ha ett nytt val när du ska installera / uppdatera som heter SSH2.

Steg 4: Konfigurera WordPress för SSH vid installation / uppgradering med användare/lössenord
För att använda SSH nu så fins det några olika sätt man kan göra det med. Nedan är en exempelbild på hur en konfiguration kan se ut.

Nu ska man fylla i anslutnings information i ovan exempel ansluter vi till localhost som användare test001 med ett lössenord. Det kan vara så att localhost inte fungerar då får man köra på DNS namn eller IP. Kör man inte SSH på standardporten som är 22 så kan man skriva : exempelvis localhost:2231.

Alternativt steg 4: Konfigurera WordPress för SSH vid installation / uppgradering med användare och ssh nyckel
Man kan om man vill använda sig av så kallade ssh nyckel för att ansluta med via ssh. Då kan du ha både nyckel + ett lössenord kopplat på ditt konto.
Exempel nedan visar hur det kan se ut i wordpress nät man använder det

Jag kommer inte gå igenom här hur man sätter upp detta hänvisar hit för detta.

Slutsats:
Nu ska din blogg stöda att logga in och updatera via SFTP/SCP via SSH vilket är krypterat till skilnad från traditionell FTP där allt grå i klartext. Har ni några frågor är det bara att höra av er med en komentar eller maila mig.

Källor:
http://tombevers.me/2012/02/25/update-wordpress-via-sshscp/
http://wp.tutsplus.com/articles/tips-articles/quick-tip-upgrade-your-wordpress-site-via-ssh/

Traffic shaping i VMware vSphare…

Monday, September 23rd, 2013

Fick tips från en bekant hur man enkelt traffic shapar i vmware så tänkte skriva en liten how to om hur man gör.

Steg 1: Logga in med vSpahare klienten

Logga in mot din ESX/vCenter server med vSphare Client och gå till Configuration > Networking. Välj properties på den vSwitch/dvSwitch din VM är ansluten mot.

Steg 2: Lägg till portgrupp i vSwitch/dvSwitch

https://blogg.itslav.nu/wp-content/uploads/2013/09/vsphare-vswitch-properties.jpg

Gå till fliken Ports (den flik man får upp när man tar properties) se bild ovan. Klicka på Add. Då får man upp en wizard enligt nedan bild.



Klicka next då vi ska använda oss av virtual machine.



Fyll i det namn du vill ha på portgruppen i mitt fall döper jag den till WAN-10M för att enkelt se att det är en WAN grupp och att den limiteras till 10Mbps. Klicka nu finish.



Nu är vi klara med att skapa en ny portgrupp nu bör din properties för den berörda vSwitchen/dvSwitchen se ut något liknande som nedan bild.

Steg 3: Konfigurera traffic shaping på den nya portgruppen
Nu ska vi konfigurera traffic shaping på den nyskapade portgruppen “WAN-10M” så den är 10Mbps. Markera portgruppen och klicka edit eller dubbelklicka på den så får man upp inställningarna gå till fliken traffic shaping.



Klicka nu i rutan status och välj Enabled. Konfigurera nu värdena som i exemplet nedan. Burst Size får man testa sig fram till har inte kommit på hur man räknar ut den exakt så testa lite.



Klicka sedan på OK och spara inställningarna.

Listan nedan på lite olika hastigheter konverterade från Kilobit till andra skalor.

  • 1000 Kbits = 1Mbps
  • 10000 Kbits = 10Mbps
  • 100000 Kbits = 100Mbps
  • 1000000 Kbits = 1Gbps
  • 10000000 Kbits = 10Gbps
  • Steg 4: Lägga in VM:s i den nya portgruppen



    Nu är det bara kvar att lägga till VM:s i den nyskapade portgruppen. Högerklicka på din VM och välj Edit Settings. Gå in på det NIC som ska shapas och välj den nya Network lable “WAN-10M”.

    VARNING!!! När man lägger på den nya portgruppen tappar din VM nätet en kort stund så gör detta när det går att ha ett kort avbrott förslagsvis ett service fönster.

    Klicka nu OK för att spara inställningarna på VM:en.

    Nu bör en översikt av vSwitch/dvSwitch se ut något liknande nedan bild.

    Summering
    Denna how to beskriver i korta drag hur man konfigurerar traffic shaping i VMware vSphare. Exemplen är tagna från en VMware vSphare 5.5 maskin. Fungerar även i tidigare versioner av ESXi.
    Om ni undrar något eller har frågor är det bara att lämna en kommentar eller skicka ett mail till mig virus84 [at] gmail [dot] com.

    SSL enablad blogg…

    Tuesday, June 25th, 2013

    Då hadde man skaffat sig ett riktigt SSL certifikat och kör numera på bloggen. Var lite stök att få till det med .NU domän men det löste sig. Det svåra med detta var att få verkligen hela wordpress att vilja vara HTTPS aktiverat. Jag följde nedan guide väldigt bra och den fungerar bra.

    http://prosauce.org/blog/2010/08/enable-complete-support-for-ssl-on-wordpress/

    Fick även lägga in en ridirect i min default vhost i apache så HTTP ridirectas till HTTPS med nedan rader


    RewriteEngine on
    RewriteRule ^/wp-content/uploads/.*\.php$ – [F,NC]
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://blogg.itslav.nu%{REQUEST_URI}


    Detta bör då göra att man kan ha detta aktivt även om man har flera siter på sin webserver.

    VMware vSphere ESXi specific user permissions to singel VM HOW TO

    Thursday, June 20th, 2013

    Stötte på en fundering i veckan jag tänkte man kan skriva en liten guide för. Det var så att en bekant som jag hostar en VM till på en ESXi maskin behövde komma åt konsolen på sin viretuella maskin. Hur löser jag detta nu då frågade jag mig, jag ville ju inte att han skulle se mer än sin vm och inget annat. Denna guide kommer gå igenom hur man kan göra detta ganska enkelt med några få steg.

    Steg 1:
    Börja med att logga in i din ESXi host som administratör. Markera ESXi hosten högst upp till vänster se bild nedan. Gå till fliken Local Users & Groups. Se exempel bild nedan.



    Steg 2:
    Högerklicka nu i vyn med användare och välj Add… knappen. Då får man upp nedan exempel ruta. Fyll i användarnamn och ett lösenord. När du är klar med detta klicka på ok och gå vidare.



    Steg 3:
    Nu när du lagt till användaren gå till fliken Permissions när du står på ESX objektet än. Se exempel nedan.



    Steg 4:
    Högerklicka i vyn och välj Add Permission… knappen. Då får man upp nedan vy först.



    Klicka på Add knappen nere till vänster. Då får man upp nedan vy



    Dubbelklicka nu på den användare du vill lägga till och klicka på ok. Då får man nedan vy. Det detta gör är att användare har No Access till allt på hela ESX hosten då det ärvs nedåt då den bocken ska vara vald.



    I mitt fall vill jag ju att användare bara ska se sin specefika vm/vm:s därför väljer jag på denna nivån rollen till höger i rutan No Access. Klicka sedan på ok. Då kan man få en varnig se exempel nedan. Klicka bara ok och gå vidare.



    Steg 5:
    Gå till den specefika vm du vill ge användaren rättigheter att administrera och välj fliken Permissions. Se exempel nedan.



    Dubbelklicka nu på användaren i det här fallet och välj Administrator se exempel nedan



    Klicka ok. Gör om steg 5 om det är fler viretuella maskiner användaren ska ha tillgång till.

    Steg 6:
    Vi ska nu verifiera att användaren bara har access till den viretuella maskin som vi gett tillgång till. Se exempel nedan där jag loggat in som den tidigare skapade användaren bloggtest. På själv ESX hosten ser användaren bara version och inget mer och kan heller inte välja några val på hosten. På den viretuella maskinen har användaren fulla rättigheter att starta om stänga av och så vidare. Se exempel bilder nedan på hur det kan se ut.



    Det var allt för denna lilla korta howto hur man kan låsa ner vmware för en användare. Om ni har några frågor eller synpunkter är det bara att lämna en komentar så återkommer jag.