VMware Tools z repository pro yum na Red Hat distribucích

Posted by Petr Santrucek on February 11th, 2017 | Category:  Technologie 

Instalaci VMware Tools obvykle administrátor dělá přímo z úložiště vSphere ESXi namountováním virtuálního CD, rozbalením TARu s toolsy a instalací. Update při povýšení ESXi dtto. Jde to ale tak, jak byste u Red Hat based distribucí čekali.

I VMware Tools jsou k dipozici v podobě repository pro systém yum. Jak na to? Jednoduše (popisovat budu na případu distribuce CentOS 6):

1. Vytvořte soubor /etc/yum.repos.d/vmware.repo s obsahem

[vmware-tools]
name=VMware Tools for Red Hat Enterprise Linux $releasever – $basearch
baseurl=http://packages.vmware.com/tools/esx/latest/rhel6/$basearch
enabled=1
gpgcheck=1
gpgkey=http://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub


2. Pokud máte instalované VMware Tools způsobem popsaným v úvodu, odinstalujte je pomocí příkazu:
/usr/bin/vmware/vmware-uninstall-tools.pl

nebo
/usr/bin/vmware-uninstall-tools.pl


Výstup bude asi takovýto:
Uninstalling the tar installation of VMware Tools.

Stopping services for VMware Tools

Stopping VMware Tools services in the virtual machine:
   Guest operating system daemon:                          [  OK  ]
   VGAuthService:                                          [  OK  ]
   VMware User Agent (vmware-user):                        [  OK  ]
   Unmounting HGFS shares:                                 [  OK  ]
   Guest filesystem driver:                                [  OK  ]
   Guest memory manager:                                   [  OK  ]
   VM communication interface socket family:               [  OK  ]
   VM communication interface:                             [  OK  ]
   File system sync driver:                                [  OK  ]

The removal of VMware Tools 10.0.0 build-3000743 for Linux completed
successfully.  Thank you for having tried this software.


3. Pak pomocí nainstalujte z repository toolsy pomocí příkazu
yum install vmware-tools-esx-nox


Pokud  vše funguje, uvidíte podobný výstup:
Loaded plugins: fastestmirror
Setting up Install Process
Loading mirror speeds from cached hostfile
 * base: mirror.karneval.cz
 * extras: mirror.karneval.cz
 * rpmforge: ftp.fi.muni.cz
 * updates: mirror.karneval.cz
Resolving Dependencies
--> Running transaction check
---> Package vmware-tools-esx-nox.x86_64 0:10.0.9-1.el6 will be installed
--> Processing Dependency: vmware-tools-plugins-grabbitmqProxy >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-vix >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-vgauth >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-powerOps >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-foundation >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-libraries-nox >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-deployPkg >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-services >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-vmbackup >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-autoUpgrade >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-timeSync >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-guestlib >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-hgfsServer >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-plugins-guestInfo >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Processing Dependency: vmware-tools-core >= 10.0.9 for package: vmware-tools-esx-nox-10.0.9-1.el6.x86_64
--> Running transaction check
---> Package vmware-tools-core.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-foundation.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-guestlib.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-libraries-nox.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-autoUpgrade.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-deployPkg.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-grabbitmqProxy.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-guestInfo.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-hgfsServer.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-powerOps.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-timeSync.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-vix.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-plugins-vmbackup.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-services.x86_64 0:10.0.9-1.el6 will be installed
---> Package vmware-tools-vgauth.x86_64 0:10.0.9-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================================
 Package                                  Arch        Version           Repository         Size
================================================================================================
Installing:
 vmware-tools-esx-nox                     x86_64      10.0.9-1.el6      vmware-tools      3.1 k
Installing for dependencies:
 vmware-tools-core                        x86_64      10.0.9-1.el6      vmware-tools      4.0 M
 vmware-tools-foundation                  x86_64      10.0.9-1.el6      vmware-tools      128 k
 vmware-tools-guestlib                    x86_64      10.0.9-1.el6      vmware-tools       62 k
 vmware-tools-libraries-nox               x86_64      10.0.9-1.el6      vmware-tools      4.4 M
 vmware-tools-plugins-autoUpgrade         x86_64      10.0.9-1.el6      vmware-tools      5.6 k
 vmware-tools-plugins-deployPkg           x86_64      10.0.9-1.el6      vmware-tools       58 k
 vmware-tools-plugins-grabbitmqProxy      x86_64      10.0.9-1.el6      vmware-tools      405 k
 vmware-tools-plugins-guestInfo           x86_64      10.0.9-1.el6      vmware-tools       25 k
 vmware-tools-plugins-hgfsServer          x86_64      10.0.9-1.el6      vmware-tools      5.7 k
 vmware-tools-plugins-powerOps            x86_64      10.0.9-1.el6      vmware-tools      7.4 k
 vmware-tools-plugins-timeSync            x86_64      10.0.9-1.el6      vmware-tools      9.9 k
 vmware-tools-plugins-vix                 x86_64      10.0.9-1.el6      vmware-tools       99 k
 vmware-tools-plugins-vmbackup            x86_64      10.0.9-1.el6      vmware-tools       17 k
 vmware-tools-services                    x86_64      10.0.9-1.el6      vmware-tools      367 k
 vmware-tools-vgauth                      x86_64      10.0.9-1.el6      vmware-tools      432 k

Transaction Summary
================================================================================================
Install      16 Package(s)

Total download size: 10 M
Installed size: 29 M
Is this ok [y/N]:


4. Potvrďte a proběhne instalace, uvádím jen konec výstupu úspěšné instalace:
Installed:
  vmware-tools-esx-nox.x86_64 0:10.0.9-1.el6

Dependency Installed:
  vmware-tools-core.x86_64 0:10.0.9-1.el6
  vmware-tools-foundation.x86_64 0:10.0.9-1.el6
  vmware-tools-guestlib.x86_64 0:10.0.9-1.el6
  vmware-tools-libraries-nox.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-autoUpgrade.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-deployPkg.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-grabbitmqProxy.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-guestInfo.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-hgfsServer.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-powerOps.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-timeSync.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-vix.x86_64 0:10.0.9-1.el6
  vmware-tools-plugins-vmbackup.x86_64 0:10.0.9-1.el6
  vmware-tools-services.x86_64 0:10.0.9-1.el6
  vmware-tools-vgauth.x86_64 0:10.0.9-1.el6

Complete!


Zároveň se ihned VMware Tools spustí.

5. Zrestartujte VM, abyste ověřili, že se VMware Tools spustí atuomaticky. Pokud, tak byste měli vidět v properties příslušné VM toto:
Image:VMware Tools z repository pro yum na Red Hat distribucích

Následný update VMware Tools už budete provádět pomocí standardnízho příkazu "yum update":-)

Zabezpečení IBM Domino HTTP serveru

Posted by Petr Santrucek on February 1st, 2017 | Category:

V souvislosti s průnikem "hackerů" (tedy on to byl spíš šlendrián, než kyberútok:-) na jeden Domino systém jsem byl požádán o konzultaci ohledně správného a bezpečného nastavení HTTP serveru na IBM Domino 9.0.1 serveru.

Projděme si základní kroky, které lze považovat za bezpečnostní minimum:

1. Vypněte nešifrovaný HTTP anebo nakonfigurujte přesměrování na HTTPS. Také vypněte staré a děravé SSLv2 (v Server Documentu) a SSLv3 (pomocí "set conf DISABLE_SSLV3=1).
Image:Zabezpečení IBM Domino HTTP serveru
Image:Zabezpečení IBM Domino HTTP serveru

2. Pro zabezpečení SSL komunikace použijte certifikát od důvěryhodné certifikační autority - komerční Thawte, RapidSSL, apod. - nebo nekomerční Let's Encrypt.
Použujte např. tento návod http://blog.exterra-services.cz/www/blog.nsf/dx/zabezpeceni-domino-http-pomoci-lets-encrypt-ssl-certifikatu

3. Nakonfigurujte zamykání uživatelských účtů při přístupu přes HTTP/S např. pomocí tohoto návodu http://www.ibm.com/developerworks/lotus/library/domino8-lockout/
Image:Zabezpečení IBM Domino HTTP serveru

4. Odstraňte z Domino serveru, kde HTTP task běží všechny databáze, které nechcete publikovat na web. Primárně jistě webadmin.nsf (Domino Web Administrator), homepage.nsf a další.

5. Nakonfigurujte databáze iwaredir.nsf (IBM iNotes Redirect) a domcfg.nsf (Domino Web Server Configuration)

6. Nakonfigurujte logování HTTP serveru do textových logů
Image:Zabezpečení IBM Domino HTTP serveru

To je nezbytné minimum na zabezpečení HTTP tasku Domino serveru.

Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu

Posted by Petr Santrucek on November 18th, 2016 | Category:

S plánovanou změnou u mobilních klientů IBM Verse pro IBM Notes Traveler po 1.1.2017 vyvstává nutnost zabezpečit Domino HTTP server pomocí důvěryhodného certifikátu.
http://petrkunc.net/lotus-notes/zabezpecte-si-traveler-server/

Ukážeme si postup, v našem případě jde o Domino instalované na CentOS 6.x.

Nejprve musíme připravit prostředí - nainstalovat Python 2.7

yum install epel-release
rpm -ivh https://rhel6.iuscommunity.org/ius-release.rpm
yum --enablerepo=ius install git python27 python27-devel python27-pip python27-setuptools python27-virtualenv -y



Úspěšná instalace bude mít tento výstup:
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Warning: RPMDB altered outside of yum.
 Installing : python27-libs-2.7.12-1.ius.el6.x86_64                                                                       1/6
 Installing : python27-2.7.12-1.ius.el6.x86_64                                                                            2/6
 Installing : python27-setuptools-27.3.1-1.ius.el6.noarch                                                                 3/6
 Installing : python27-devel-2.7.12-1.ius.el6.x86_64                                                                      4/6
 Installing : python27-virtualenv-15.0.3-1.ius.el6.noarch                                                                 5/6
 Installing : python27-pip-8.1.2-1.ius.el6.noarch                                                                         6/6
 Verifying  : python27-2.7.12-1.ius.el6.x86_64                                                                            1/6
 Verifying  : python27-virtualenv-15.0.3-1.ius.el6.noarch                                                                 2/6
 Verifying  : python27-pip-8.1.2-1.ius.el6.noarch                                                                         3/6
 Verifying  : python27-setuptools-27.3.1-1.ius.el6.noarch                                                                 4/6
 Verifying  : python27-libs-2.7.12-1.ius.el6.x86_64                                                                       5/6
 Verifying  : python27-devel-2.7.12-1.ius.el6.x86_64                                                                      6/6

Installed:
 python27.x86_64 0:2.7.12-1.ius.el6                             python27-devel.x86_64 0:2.7.12-1.ius.el6
 python27-pip.noarch 0:8.1.2-1.ius.el6                          python27-setuptools.noarch 0:27.3.1-1.ius.el6
 python27-virtualenv.noarch 0:15.0.3-1.ius.el6

Dependency Installed:
 python27-libs.x86_64 0:2.7.12-1.ius.el6




Nyní je třeba instalovat Lets encrypt
yum install git
yum install epel-release
cd /root/
git clone https://github.com/letsencrypt/letsencrypt



Výstup bude takovýto:
Initialized empty Git repository in /root/letsencrypt/.git/
remote: Counting objects: 41893, done.
remote: Compressing objects: 100% (86/86), done.
remote: Total 41893 (delta 43), reused 0 (delta 0), pack-reused 41807
Receiving objects: 100% (41893/41893), 11.81 MiB | 5.49 MiB/s, done.
Resolving deltas: 100% (29850/29850), done.



Nyní je možno zavolat generování prostředí pro Lets encrypt:
cd letsencrypt
./letsencrypt-auto



Výstup zde:
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Version: 1.1-20080819
Certbot doesn't know how to automatically configure the web server on this system. However, it can still get a certificate for you. Please run "letsencrypt-auto certonly" to do so. You'll need to manually configure your web server to use the resulting certificate.



Nyní je možno zavolat samotné generování certifikátu.
Image:Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu

Pokud vše proběhne v pořádku, uvidíte podobný výpis.
Image:Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/www.mojezaloha.cz/fullchain.pem. Your cert
   will expire on 2017-02-16. To obtain a new or tweaked version of
   this certificate in the future, simply run letsencrypt-auto again.
   To non-interactively renew *all* of your certificates, run
   "letsencrypt-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le


Pak je třeba provést generování nového souboru KeyRing.kyr a naimportovat do něj certifikáty.

C:\SSL>copy /b privkey1.pem+cert1.pem server.txt
privkey1.pem
cert1.pem
        1 file(s) copied.

C:\SSL>c:\lotus\notes\kyrtool.exe =c:\lotus\notes\notes.ini create -k c:\ssl\keyfile.kyr -p lotusnot
es

C:\SSL>cd /lotus/notes

C:\Lotus\Notes>kyrtool.exe

C:\Lotus\Notes>c:\lotus\notes\kyrtool.exe =c:\lotus\notes\notes.ini create -k c:\ssl\keyfile.kyr -p
lotusnotes

Keyfile c:\ssl\keyfile.kyr created successfully


C:\Lotus\Notes>c:\lotus\notes\kyrtool.exe =c:\lotus\notes\notes.ini import all -k c:\ssl\keyfile.kyr
 -i c:\ssl\server.txt

Using keyring path 'c:\ssl\keyfile.kyr'
Successfully read 2048 bit RSA private key
SECIssUpdateKeyringPrivateKey succeeded
SECIssUpdateKeyringLeafCert succeeded


C:\Lotus\Notes>


Image:Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu

Nyní umístěte do \Domino\Data soubory keyring.kyr a keyring.sth a restartujte Domino http task pomocí "tell http restart". Pokud běží na serveru i Traveler, je třeba provést restart tasku pomocí "restart task traveler".

Pokud se nyní připojít na server pomocí prohlížeče, měli byste vidět, že spojení je zabezpečno a je důvěryhodné.
Image:Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu
V našem případě po rozkliknutí vidíte, že certifikát pochází z Lets Encrypt CA a je důvěryhodný.
Image:Zabezpečení Domino HTTP pomocí Let’s Encrypt ssl certifikátu

Nyní je jen třeba hlídat platnost certifikátu a nezapomenout obnovu:-

Hromadný reset lokálních účtů Administrator v doméně

Posted by Petr Santrucek on October 23rd, 2016 | Category:

Pro zkušené správce Windows infrastruktury to bude "stará vesta", ale spousta administrátorů o této možnosti pouze tuší. Je to obvyklý problém, který zaskočí správce v nejméně vhodnou chvíli. Máte server (nebo stanici) v doméně. Z nějakého důvodu přijdete o vazbu na Active Directory a potřebujete se přihlásit jako lokální administrátor. Bohužel, obvykle v čase máte několik hesel, která jste použili pro tento lokální účet. A jako na potvoru si nevzpomenete.
Řešením je resetovat takový účet. Možnosti jsou např. tyto:
1. Systémové řešení s pomocí instalačního DVD Windows pro verze 7/8 - http://www.howtogeek.com/96630/how-to-reset-your-forgotten-windows-password-the-easy-way/
2. Systémové řešení s pomocí instalačního DVD Windows pro verzi 10 - http://www.howtogeek.com/222262/how-to-reset-your-forgotten-password-in-windows-10/
3. Použít některé specializované CD/DVD s upravenou  distribucí Linuxu obsahující nástroj pro reset hesel lokálních účtů, např. toto http://pogostick.net/~pnh/ntpasswd/

To je řešení, pokud už je pozdě a k účtu Administrator neznáme heslo. Tomu se dá ale předejít. S pomocí doménových politik (Group Policy) lze centrálně resetovat jakýkoliv lokální účet serverů/stanic v doméně.

Postup je následující:

1. Spusťte konzoli Group Policy Management  vzberte vhodnou politiku nebo vytvořte novou
Image:Hromadný reset lokálních účtů Administrator v doméně

2. Vyberte politku "Computer Configruation" - Preferences" - "Control Panel Settings" - "Local Users and Groups"
Image:Hromadný reset lokálních účtů Administrator v doméně

3. Vytvořte nastavení pro uživatele
Image:Hromadný reset lokálních účtů Administrator v doméně

4. Nastavte politiku pro vestavěný "built-in" účet Administrator
Image:Hromadný reset lokálních účtů Administrator v doméně

A nyní už jen zbývá počkat, až se politika rozšíří po doméně. Pokud jste netrpělivý, použijte na strojích příkaz "gpupdate".

Pro fajnšmekry je zde i možnost naskriptovat stejnou úloh:

Set WshNetwork = WScript.CreateObject("WScript.Network")
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword "NEW.PASSWORD" ' Enter new password between brackets
objUser.SetInfo