Saturday, January 16, 2016

[EN] Simple LDAP dump script

source: wikimedia.org
A few days ago my fried ask me if I can send him some simple ldap dump script. I have one old script that I made a year ago that I use to backup my home media center LDAP instance. Bash + a few standard Linux and OpenLdap tools.

Tuesday, January 12, 2016

[EN] FreeIPA 4.1 to 4.2 update problem

pic. from fedoramagazine.org 
On two machines with CentOS 7.2 I was using the FreeIPA 4.1.0 that should theoretically update to a newer version 4.2.0 without any problem. The new version brings a few new feature, byt they should not generate any update issues.
Steps in the documentation for version 4.2 are quite easy:

yum update freeipa-server
 The package manager executed all post-installation upgrade scripts (in current version: ipa-server-upgrade).

Monday, August 10, 2015

[PL] Z cyklu każdy wie a mało kto używa - Wireshark tips #1

Wireshark to dość potężne narzędzie niestety w wielu przypadkach użytkownicy często zapominają o kilku fajnych dodatkach:

Podążaj za strumieniem a dojdziesz do celu.
Wireshark ma możliwość wyłuskania konkretnych pakietów, które zostały przesłane w obrębie jednego połączenia. Tak więc zamiast aplikować N filtrów, można znaleźć jeden konkretny pakiet i z prawego menu wybrać "Follow TCP Stream". Regułą ta wybiera numer strumienia z wskazanego pakietu i aplikuje odpowiedni filtr: "tcp.stream eq NUMER" (1). Dodatkowo w nowym oknie zostanie otwarty zrzut danych przesłanych w danym strumieniu (2). Za pomocą listy można wybrać, który kierunek komunikacji nas interesuje (3).

Rozwiązywanie PTR w celu łatwiejszej analizy
Zamiast tracić czas na weryfikacje do kogo należy dany adres IP, można zmusić naszego rekina do automatycznego rozwiązywania nazw. Menu (Edit-< Preferences Shift+Ctrl+P), z lewej kolumny wybrać Name Resolution (1) i zaznaczyć Resolve network (IP addresses )(2)

Kreator reguł do kilku rodzajów zapór ogniowych
WireShark za pomocą generatora reguł potrafi nam wygenerować wpisy dla danego typu zapory(2) Jego użycie jest dość proste:) Zaznaczamy wybrany pakiet z menu górnego wybieramy Tool (1) a następnie Firewall ACL Rules. W nowym oknie możemy wybrać rodzaj oprogramowania (2), rodzaj filtru (3) - w tym przypadku adres i numer portu. Na koniec mamy opcję Inbound, Deny (4),  które definiują nam typ ruchu i akcję. 


Modyfikacja wyświetlanych kolumn
Zamiast wyświetlać konkretny typ protokołu można skorzystać z numeru portu lub ewentualnie dodać nową kolumnę z numerem portu źródłowego/docelowego. Wszystkie te zmiany można ustawić za pomocą Column Preferences

Kolorowanie/ markowanie złapanych pakietów
WireShark daje nam możliwość dowolnego kolorowania otrzymanych pakietów. [menu View-> Coloring rules]  Przykłady pakietów, które możemy pokolorować: 
  • Zwrotki http o określonych kodach [http.response.code]
  • Zapytania o rekord SPF [dns.spf]
  • Pakiety z konkretnym user_agentem [http.user_agent]
Tak naprawdę całe kolorowani opiera się na dobraniu odpowiedniego filtru co daje nam bardzo dużą dowolność w przypadku wyłapywania specyficznego typu ruchu.

Powyższe pięć wskazówek to tylko niektóre z opcji, które ułatwiają życie. W kolejnych wpisach postaram się dodać nowe porady, które mogą znacząco ułatwić pracę. 

Thursday, August 6, 2015

Cisco 1000v - vempkt czyli zdalny wireshark.

Kolejne przygody z wirtualnym switchem Nexus 1000v uświadamiają mnie, że Cisco coraz częściej zaczyna dodawać coraz to ciekawsze narzędzia do swoich produktów. Przykładem takiego narzędzia jest vempkt. 

zapożyczone z http://networkstatic.net/


Narzędzie to jest dostarczane podczas instalacji moduły VEM na ESXi. Funkcjonalnością vempkt przypomina tcpdump lub według niektórych mechanizm sesji SPAN dostępnych na przełącznikach Cisco. 

Jak zacząć zabawę z vempkt? 

Zakładając, że mamy skonfigurowany switch Nexus 1000v musimy jeszcze odblokować możliwość logowania się do ESXi za pomocą protokołu SSH (przykładowy opis: dokumentacja vmware). 

Po zalogowaniu się na hosta musimy zidentyfikować numer interfejsu, który chcemy podsłuchać (LTL -  Local Target Logic) i numeru vlan, który nas interesuje. 
Przydatne komendy: 
  • vempkt show info - listuje wszystkie LTL wraz z opisem maszyn, które są zarejestrowane na danym hoście oraz interfejsy nexusa lub portchannel
  • vemcmd show port vlans - listuje porty wraz z numerami vlanów, które są przypisane


Po skompletowaniu wszystkich niezębnych informacji na temat interfejsu, który nas interesuje możemy przystąpić do łapania ruchu:
  1. vempkt capture [ingress | egress | drop| all stages] ltl [id] vlan [nr] -  uwaga w niektórych wersjach vem, niezależnie od wybranego typu ruchu  vempkt łapie ruch każdego typu (all stages).
  2. vempkt show capture info -  wyświetla reguły filtra, który zdefiniowaliśmy w poprzednim kroku.
  3. vempkt start -  uruchamiamy pluskwę
  4. vempkt stop -  zatrzymujemy pluskwę;)
  5. vempkt show info -  komenda przydaje się do wyświetlenia statystyk na temat zebranego ruchu. 
  6. vempkt pcap export file_name.pcap - zapisujemy złapany ruch w formacie PCAP do pliku file_name.pcap, który potem możemy zaimportować do Wiresharka. 
  7. vempkt clear - czyścimy zdefiniowane ustawienia.  
  8. scp root@esxi.ip:/root/file_name.pcap . -  zrzucamy pcap na lokalny komputer w celu dalszej analizy. 
Przypadki użycia? 
  1. Weryfikacja czy ruch przechodzi przez reguły zdefiniowane na VSG 
  2. Złapanie ruchu na interfejsie wejściowym do ESXi
  3. Analiza ruchu, który zostaje dostarczony do hosta  bez potrzeby logowania się na docelową maszynę wirtualną. 
  4. Sprawdzenie czy ruch przechodzi przez sieć szkieletową mając dostęp tylko do serwerów ESXi ( głównie administratorzy VMware w dużych firmach) 
Drobne uwagi? 

  • Jeśli chcemy przechwycić ruch wychodzący lub wchodzący do maszyny wirtualnej , która działa w klastrze VMware,  musimy wiedzieć na którym hoście się ona znajduje. 
  • Automatyczny DR może nam czasem popsuć łapanie ruchu:)
  • Czasem trzeba zwiększyć wielkość łapanego pakietu za pomocą  vempkt size [mtu size]
  • W celu szybkiej analizy pakiety można też zrzucić do pliku txt zamiast pcap: vempkt display detail all > name_file.txt

Friday, March 6, 2015

VCP550D i nowa polityka VMware

Zbyt dużo informacji na skrzynce zawsze kończy się źle:-) Przez ostatni rok subskrybowałem sobie sporo różnych newsletterów, powiadomień, itd. Niestety zbyt duża liczba maili z słowem VMware w tytule kończyła się częstym usuwaniem nagromadzonych informacji. Jak to zwykle bywa na pierwszy rzut poszły wiadomości bardziej istotne typu: cert expiration i takie tam. No i niestety dopiero na końcu zeszłego tygodnia natrafiłem na wiadomość o wygasaniu certyfikatów. Tak w skrócie VMware od 10 marca 2015 wprowadza nową politykę ważności certyfikatu. W skrócie certyfikaty są ważne dwa lata. W tym czasie trzeba zdać inny certyfikat lub odnowić ostatni by wydłużyć okres ważności. Jeśli certyfikaty nam wygasną to niestety aby je ponownie uzyskać trzeba zgłosić się na kurs, a potem zdać egzamin. 

Zmiana polityki jest tłumaczona faktem, że jeśli ktoś nie używa technologi przez dwa lata to automatycznie traci on wiedzę na temat produktu. Podejście może i słuszne, jednak tez miany mogły być wprowadzone troszkę później. Vmware vSphere 6.0 jest już w wersji RTM, niestety nie ma do tej wersji egzaminów. Czyli jeśli ktoś ma ważny certyfikat z 5.1 lub 5.5 to musi je odnowić by móc dalej się nimi chwalić. 

W moim przypadku wystarczyło tylko podejść do VCP 550D, egzamin aktualizujący z 5.1 do 5.5. Wydawało mi się, że zmian między tymi wersjami było mało, jednak jak się człowiek wczyta w blueprinta to jest tam trochę nowości o których zapomniałem. Egzamin jest stosunkowo krótki i można go zdać z domu, tak więc jeśli nie chcesz stracić certyfikatu to warto do niego podejść. Za jedyne 95$ dostaniemy 1,5h quiz, który można zdać z domu lub pracy. 

Monday, November 24, 2014

Quo Vadis

Mija kolejny miesiąc w nowej pracy a ja dalej się zastanawiam dokąd tak naprawdę zmierzam. Po siedmiu latach ciężkich bojów z usługami Microsoftu i integracji ich z Linuksowymi serwisami, produktami firmy Cisco na chwile zrobiłem sobie przerwę od dużego M. W skrócie postanowiłem zerknąć czy pingwin nadal wygląda jak pingwin. Ponoć czasem w życiu należy dokonać zwrotu o 180 stopni i zobaczyć co słychać w innych technologiach. No może zwrot nie był o pełne 180 stopni bo przynajmniej raz dziennie widzę magiczny pasek postępu VMware a na drugim ekranie  most firmy Cisco.

Przyznam się, że czasem w przypadku nowych produktów znowu zapala się lampka "A może by tak podziałać po pracy, tak niby dla siebie i przy okazji znowu uratować świat." Na szczęście mój mózg dobrze się broni i wewnętrzny mówca podpowiada "Nie, nie i jeszcze raz nie. Naucz się czegoś innego, napraw centrum multimedialne, idź się wspinać, pamiętaj co ostatnio oglądałeś." No i jak bym się z nim nie spierał muszę mu przyznać rację. Nic tak nie pomaga w rozwiązywaniu problemów w pracy jak przestanie myśleć o pracy po pracy;) Ja wiem, że to trudne ale następnego dnia naprawdę czasem problemy rozwiązują się przy porannej herbacie.

PS. Filmik, o którym przypomina mi wewnętrzny mówca.

Monday, June 2, 2014

SCOM – wstęp do diagramów.

SCOM – temat rzeka, wije się i wije, pojawia i znika na mojej ścieżce kariery. Z względu, że obecnie trochę czasu z nim obcuje postaram się w kilku wpisach podrzucić kilka użytecznych wskazówek i informacji na jego temat. Domyślnie po: zaimportowaniu MP, ustawieniu informacji dotyczących wykrywania i monitorowania danej usługi/systemu, posiadamy możliwość wygenerowania prostych diagramów. Tak dokładnie co za radość, mamy diagramy z obiektami, jak się przyłożyliśmy przy konfiguracji to mamy na tych obiektach same zielone fajki. Wszystko ładnie, życie jest cudowne, znowu uratowaliśmy świat. Niestety nasza radość nie trwa długo <evil>. Niestety wiecie co jest nie tak w tych diagramach? Są to diagramy auto generowane. No i jak to zwykle bywa z takimi diagramami są one ładne ale tylko dla tego co spędził 1,2 dni na konfiguracji MP.

Niestety SCOM jest dobrym rdzeniem do budowania rozwiązania do monitoringu, ale nie jest on cudownym narzędziem, w którym po trzech kliknięciach mamy piękny migający ekran pokazujący jak na filmie prace naszej infrastruktury. Jak chcecie posiadać w swojej infrastrukturze, dobrze wyglądające wizualnie i  użyteczne diagramy, które będą czytelne nie tylko dla was ale i dla innych osób to musicie albo zakupić dodatkowy MP, generujący ciekawe diagramy lub stworzyć je sami.

Własne diagramy od czego zacząć.

Przede wszystkim musisz mieć koncepcje co na tych diagramach ma być uwzględnione. Osoba znająca SCOMa po otrzymaniu powiadomienia szybko sprawdzi stan danej usługi, uruchomi odpowiedni raport, zweryfikuje odpowiednie właściwości zgłoszonych alarmów. Niestety musisz pamiętać, że docelowo inni twoi współpracownicy niekoniecznie będą posiadali wiedzę lub czas na poszukiwanie co w waszej infrastrukturze się uszkodziło lub nie działa poprawnie.  Zastanów się co chcesz uzyskać tworząc nowe wykresy. Czy masz na ścianie jakiś monitor, na którym chcesz wyświetlić stan serwerów, czy może twój szef chce mieć szybki podgląd stanu całej infrastruktury z wyszczególnieniem stanu domeny, poczty, aplikacji krytycznych dla firmy. SCOM ma to do siebie, że gromadzi wiele danych i wyświetla wiele informacji w osobnych oknach. Zaimportowanie wszystkiego na jeden ekran nie jest dobrą metodą.

 

Chce pokazać stan poszczególnych usług.

Możemy to zrobić na dwa sposoby:

  1. Wyeksportować już istniejący diagram i wymedytować go w MS Visio
  2. Stworzyć własny diagram z wykorzystaniem Visio. Następnie za pomocą Visio i dodatku Link

 

Drobne ogłoszenia parafialne:

  1. Jeśli chcemy się pobawić w/w dodatkiem do Visio musimy posiadać Visio 2010 (działa również na 2013) w wersji Premium. Jeśli diagramy mają się automatycznie odświeżać i chcemy je umieścić na stronie lub w konsoli SCOM musimy posiadać witrynę Sharepoint działającą na wersji SharePoint 2010 Enterprise z skonfigurowanym Visio Engine.
  2. Powyższy dodatek do Visio pozwala nam do stworzonych obiektów dodać aktualny stan z SCOM. Uwaga! Ten add-in pozwala nam pobierać takie informacje jak stan obiektu (health state), tryb roboczy (maintenance mode) ewentualnie czy dany obiekt w ogóle jest monitorowany.Za pomocą tego dodatku nie pobierzemy ilości użytej pamięci operacyjnej czy ilości procesorów!

  cdn.