Author Archives: dominik

CISCO – konfiguracja VLAN

Do pierwszych 4 portów przełącznika wpięte są 4 komputery.
Na przełączniku należy stworzyć 2 VLANy:
VLAN 10 – dla nauczycieli, do którego będą należeć dwa pierwsze komputery, podpięte do switcha do portów FastEthernt 0/1 i FastEthernet 0/2
VLAN 20 – dla uczniów, do których będą należeć dwa kolejne komputery, podpięte do switcha do portów FastEthernt 0/3 i FastEthernet 0/4

Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name uczniowie
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name nauczyciele
Switch(config-vlan)#end
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
10 uczniowie active
20 nauczyciele active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Switch#

Komenda show vlan wyświetla wszystkie skonfigurowane na przełączniku VLANy. Widać że do domyślnego VLANu 1 przypisane są wszystkie poty Ethernet.
Port 1 i 2 należy przypisać do VLANu 10, a port 3 i 4 do VLANu 20.

Switch>enable
Switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range fastEthernet 0/1-2
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#interface range fastethernet 0/3-4
Switch(config-if-range)#switchport access vlan 20
Switch(config-if-range)#

Następnie do przełącznika do portu GigabitEthernet 0/1 zostaje podpięty kolejny switch (również przez port GE 0/1), który będzie skonfigurowany tak jak ten w/w, czyli do portu FE 0/1 oraz FE 0/2 będą podpięte komputery nauczycieli, zaś do portu FE 0/2 i FE 0/3 będą podpięte komputery uczniów.
Aby było to możliwe, porty którymi są połączone jeden przełącznik z drugim muszą zostać skonfigurowane w tryb Trunk, czyli przez jeden łącze muszą zostać przetransportowane (rozpropagowane) VLANy 10 i 20. Łącza Trunk są również nazywane magistralami 802.1Q.

Switch>enable 
Switch#config t
Switch(config)# vlan 99 Switch(config-vlan)# name native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# switchport trunk native vlan 99

Do uniemożliwienia przesyłania łączem Trunk wszystkich VLANów, a tylko wybranych służy polecenie allowed.
Powyższe komendy to utworzenie nowego VLANu o numerze 99 i ze względów bezpieczeństwa zmiana natywnego, z numeru 1 na numer 99 (ponieważ ruch nieoznakowany wpada z definicji protokołu 802.1Q do VLANu nr 1).

 

Konfiguracja LVM – Logical Volume Manager – podłączenie dodatkowego dysku do systemu Oracle Linux.

Cały proces dodawania dysku do LVMa można opisać w 6 krokach;

  1. Stworzenie partycji i ustawienie jej typu na LVM;
  2. Stworzenie fizycznego wolumenu (PV – Phisical Volume);
  3. Stworzenie grupy wolumenów (VG – Volume Group) z utworzonego krok wcześniej fizycznego wolumenu;
  4. Stworzenie logicznego wolumenu (LV – Logical Volume);
  5. Stworzenie systemu plików na logicznym wolumenie;
  6. Zamontowanie wolumenu;

Czyli cały proces konfiguracji LVM przebiega z następujący sposób:
Create partition and set type to lvm -> Phisical Volumens (PV) -> Volume Group (VG) -> Logical Volume (LV) -> creating Linux file system -> mount partition

Terminologia:
Volume Group (vg) – podstawowa jednostka LVM, w której skład wchodzą, dyski, partycje, macierze…. (pv – physical volumes).
Z Volume Group /dev/vg/lv można wykreować LV – Logical Volumes

Przykład:
Do serwera zostaje podłączony kolejny dysk fizyczny o poj. 16GB. W celu sprawdzenia poprawności dodania dysku i dołączenia go do LVMa należy wykonywać kolejno kroki wymienione poniżej..

Continue reading

Zabezpieczenie portów przełącznika CISCO

Konfiguracja portu przełącznika CISCO tak, aby do danego portu mogło być podłączone tylko jedno lub wiele urządzeń o podanych adresach MAC.

configure t
int range f0/1-15

Porty przełącznika domyślnie są ustawione jako Dynamic Auto. Należy je przestawić na Access Port.

switchport mode access

Przypisanie portom aktualnie podłączonych adresów MAC

switchport port-security mac-address sticky

Przypisanie portom przełącznika tylko jednego adresu MAC. Więcej adresów jest niedozwolonych.

switchport port-security max 1

Jeśli naruszy ktoś zasadę i podepnie do portu następny przełącznik i więcej urządzeń lub o innym adresie MAC, wtedy port się wyłączy.

switchport port-security violation shut

Zakończenie konfiguracji oraz jej zapamiętanie.

exit
exit
copy run start

Sprawdzenie zabezpieczenia portów, ich stanów (czyli informacji o ewentualnych naruszeniach polityki – kolumna SecurityViolation (Count)) oraz tablicy MAC:

sh port-security
sh mac-address-tabl

 

PowerShell – wyszukiwanie pliku o danej nazwie i w przypadku jego znalezienia wysłanie powiadomienia na e-mail.

Zadaniem poniższego skryptu PS jest przeszukiwanie zasobu sieciowego w poszukiwaniu plików mających w nazwie datę wczorajszą, oraz wysłania ich nazw w wiadomości e-mail w przypadku ich znalezienia.

$emailFrom = 'powiadomienia@domena.pl' 
$secstring = '01000000d08c9ddf0115d1118c7a00c04fc297eb0100000060a18ed3a9312c4c939f8408d224ed9f00000000020000000000106600000001000020000000e0d0d688c598b0dc944b81409d0f7ab8dea52d0612f7d5e56b84c09d0d13eb07000000000e800000000200002000000036d3059ac438090bdbb1a0b4b2bb2fa7a5ffab65d96fa02a1aeab9667b54bb5f20000000a1f6442ff2bb3d90f1fd93b06d9178eec8239eb71fe330ff3c8fe5167b9120d1400000002dca53a7f97ac0d52ea085d15fa3dd501aec6e7eb72e5c23577ec53ef7f40c498573d0d7f58d57ca54521b0a4ffc77618d33178363f897ec08a72305078af168'
$credential = New-Object System.Management.Automation.PSCredential($emailFrom, ($secstring | ConvertTo-SecureString))
$patch = '\\192.168.5.2\pliki\'
$date = Get-Date -Format "yyyy_MM_dd"
$day_minus_one = (Get-Date).AddDays(-1) | Get-Date -Format "yyyy_MM_dd"
$time = get-Date -Format "HH_mm"
$emailTo = "odbiorca1@domena.pl" , "odbiorca2@domena.pl"

$files = Get-ChildItem -path $patch\*$day_minus_one.pdf
"Wykonanie skryptu dnia $date o godzinie $time" >> $patch\script_activity.txt

if ($files) { 
$files | Export-CSV $patch\revoke_privileges_$date.txt 
$body = $files | Out-String
Send-MailMessage -To $emailTo -From $emailFrom -encoding utf8 -Subject 'Odbior uprawnien uzytkownikowi' -Body "Ponizej wykazane sa nazwy plikow - skanow wnioskow o nadanie uprawnien czasowych do pracy w systemie, ktore trzeba wycofac. $body Aby skrypt spelnial swoje zadanie data odebrania uprawnienia powinna znajdowac sie na koncu nazwy pliku PDF w formacie rrrr_MM_dd, tj. np KowalskiJanek_2023_05_05_W_KB_2023_05_10.pdf." <# -Attachments $patch\revoke_privileges_$date.txt #> -Credential $credential -SmtpServer 'server.smtp.com.pl' -Port 587
}

else { 
exit 
}

SecureString (zaszyfrowane hasło – w tym przypadku do konta e-mail) można uzyskać konwertując hasło za pomocą komendy:

"haslo_czystym_tekstem" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString | Out-File "d:\Password.txt"

SecureString może odkodować wyłącznie ten użytkownik Windows, który je zakodował, dlatego też najbezpieczniej jest utworzyć dedykowane konto Windows, które będzie używane wyłącznie do uruchamiania skryptu.
Skrypt PS można również skonwertować do pliku *.exe np. przy pomocy programu Win-PS2EXE-GUI. Jednak nawet z pliku exe można wyciągnąć SecureStinga.

Źródło:

https://stackoverflow.com/questions/14319272/powershell-scan-folder-for-certain-file-name-and-write-to-a-log-file-and-email
https://www.itprotoday.com/powershell/how-encrypt-powershell-scripts
https://powershellguru.com/instant-guide-to-convert-ps1-to-exe/

Aktualizacja głównego kontrolera domeny – przenoszenie ról FSMO

  1. Stworzenie snapa kontrolera z którego przerzucamy role;
  2. Dodanie siebie (admina) do grupy: Administratorzy przedsiębiorstwa. Po dodaniu do grupy przelogować się. Dodanie do grup jest niezbędne do przeniesienia ról unikalnych dla lasu, tj: schemamaster, domainnamingmaster
  3. Przerzucenie ról na inny kontroler: 
    Move-ADDirectoryServerOperationMasterRole -Identity sw-dc02 -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
  4. Po przeniesieniu ról sprawdzić czy role zostały przeniesione 
    Get-ADForest domena.local | Format-Table SchemaMaster, DomainNamingMaster
Get-ADDomain domena.local | format-table PDCEmulator, RIDMaster, InfrastructureMaster
  5. Aktualizacja kontrolera z którego przenieśliśmy role.
  6. Zweryfikowanie poprawności działania serwera i poprawności replikacji z innymi kontrolerami domeny.
  7. Przerzucenie ról z powrotem.
  8. Zweryfikowanie poprawności replikacji z innymi kontrolerami domeny oraz działania samego serwera po zainstalowaniu nowych łatek.
  9. Skasowanie snapa z VMware.