HAProxy & SELinux - Ausgehende Verbindungen für alle Backendports freischalten

Freitag, 19. Oktober 2018 - 10:37 Uhr  |  Kategorie: Nice2Know  |  Kommentare (0)

Ein CentOS7 mit HAProxy und alle Probleme sind erledigt.. fast.. :D

SELinux verbietet dem HAProxy-Webserver ausgehende Verbindungen an spezielle Ports.
In meinem Fall ein Backend auf Port 8765 oder 8123.

Im ersten Schritt kann man einzelne Ports freischalten.

semanage port --add --type http_port_t --proto tcp 8123

Wenn man nicht jeden Port einzeln freischalten möchte, kann man für HAProxy alle ausgehenden Verbindungen zulassen.

getsebool haproxy_connect_any   # by default 0
setsebool -P haproxy_connect_any 1

Tags: HAProxy, Linux

SQL-Injection-Testing - wenn es schnell gehen muss

Montag, 23. Oktober 2017 - 00:18 Uhr  |  Kategorie: Security  |  Kommentare (0)

Man schreibt ja schon die ein oder andere Webanwendung.
Fehler passieren, aber im Falle von Fehlern in der Webanwendung könnte das den ganzen Server, die Datenbank oder Benutzerinformationen bedrohen.

Ein schnelles und einfach einzusetzendes Tool ist das Python-basierte SQLMap.
Datenbank und Schnittstellen mal eben schnell auf die gängigen SQL-Injections der Script-Kiddies abklopfen, kein Problem.

Man benötigt nur python auf dem Server.

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Nachdem SQLMap von GitHub geklont wurde reicht der Aufruf:

python sqlmap.py -u https://www.domain.tld/?param=arg --batch --banner

Danach wird die Schnittstelle über den den $_GET-Parameter PARAM auf SQL-Injections geprüft und versucht, die ersten Daten über das verwendete Backend zu ermitteln.

Das ist nur die Spitze des Eisbergs. Die Dokumentation des Tools findet man auf der Hersteller-Seite.

Meiner Meinung nach ein heftiges Werkzeug.

Nutzung auf eigene Gefahr. Und dass nur eigene Anwendungen gecheckt werden dürfen, versteht sich hoffentlich von selbst.

[Quellen]

Apache-Directory-Listing - Download der Struktur (Mirror)

Montag, 23. Oktober 2017 - 00:01 Uhr  |  Kategorie: Nice2Know  |  Kommentare (0)

Zugriff auf ein Directory-Listing?
Man möchte alle Daten recursiv herunterladen?
Mit wget und den richtigen Parametern kein Problem :D

wget -m -np http://domain.tld/images/

Sniffing on Localhost

Donnerstag, 19. Januar 2017 - 14:33 Uhr  |  Kategorie: Network  |  Kommentare (0)

Wenn man mit unter Windows versucht, mit Wireshark Verbindungen zum Localhost zu untersuchen, wird man schnell feststellen, dass WinPcap diese Verbindung nicht unterstützt / das Interface nicht gelistet ist.

RawCap bietet diese Möglichkeit und das daraus resultierende Capture-File kann anschließend in Wireshark geladen und untersucht werden.

Keine Installation, schnell, kostenlos, intuitiv bedienbar und das wichtigste -> funktioniert..

[Quellen]

Tags: Windows, Wireshark, Analyse, Debug, Trace, Localhost

AdBlocker auf dem OpenWRT-Router

Mittwoch, 21. Dezember 2016 - 10:17 Uhr  |  Kategorie: Security  |  Kommentare (0)

Bin eben über meinen RSS-Reader auf Pi-Hole aufmerksam geworden.
Mit dieser Softwarelösung kann man im gesamten Heimnetz Ads blocken ohne an den Clients weitere Änderungen vornehmen zu müssen (wie zB. Adblock-Plugins im Browser zu installieren)

Obwohl in meinem Heimnetz mehrere Rasperrys ihren Dienst verrichten, wollte ich diese Aufgabe gern direkt über den Router lösen und nach etwas recherche stieß ich auf eine Lösung bei Reddit (siehe Quelle).

Installation:

cd /root/
wget http://pastebin.com/raw/dxUwBF89 -qO- | awk '{ sub("\r$", ""); print }' >adblocker.sh

MD5 prüfen == cfed91c4630356bfcf5b9049a5499e9f

md5sum adblocker.sh

Wenn die MD5 übereinstimmt das Script ausführbar machen und starten:

chmod +x adblocker.sh
./adblocker.sh

Im Crontab sollte nun ein Eintrag enthalten sein, der für die regelmässige Aktualisierung der Advertising-Network-Listen zuständig ist.
Sollte noch Werbung angezeigt werden, ist eventuell ein Neustart von DNSMasq notwendig und ggf. ein DNS-Flush auf dem Client sowie die Löschung der temporären Browserdateien

Bei Gelegenheit werde ich mal schauen ob man das Script noch so abändern kann dass die IP-Adresse nicht mit 0.0.0.0 aufgelöst wird, sondern auf die IP-Adresse von meinem Webserver. Dort wird dann mit 1px-Images und eventuell sogar mit JS die Seite soweit manipuliert, dass die, nun leeren Werbeflächen, ausgeblendet bzw. soweit verkleinert werden, dass sie nicht mehr gross auffallen..

[Quellen]

Tags: OpenWRT, AdBlock, DNS, Routing, Router, Werbung, Block, Advertising, Browser, Sperre

Zuletzt verwendeten Standard-Drucker, bei Anmeldung erneut festlegen (ohne GPO)

Dienstag, 14. Juni 2016 - 13:49 Uhr  |  Kategorie: Errors, Solutions & Workarounds  |  Kommentare (0)

Der Titel für diesen Beitrag zu wählen war schon eine Herausforderung an sich :D

Die ursprüngliche Herausforderung war jedoch ein schneller Workaround für unseren Terminalserver, der es ermöglicht, den zuletzt verwendeten Standard-Drucker nach der nächsten Anmeldung an einem der Terminalserver erneut zur als Standard-Drucker zu definieren.

Wir haben eine Printer-GPO die nach der Anmeldung alle notwendigen Drucker verbindet, jedoch keine Standard-Drucker vorgibt.
Der User kann seinen Standard-Drucker selbst festlegen und dieser sollte (wie auch auf den W7-Workstations) nach einem erneuten Login erhalten bleiben.

Auf den 2012R2-Server passiert das aus misteriösen Gründen nicht. Und so machte ich mich im Netz auf die Suche nach einer zielführenden Lösung des Problems und wurde nicht wirklich fündig.
Ein Workaround musste her und so suchte ich nach einem Tool, das den Standard-Drucker vor der Abmeldung ausliest und nach der Anmeldung wieder setzt.
Es gibt viele Programme die es ermöglichen den Standarddrucker nach der Anmeldung zu setzen. Leider konnte ich kein Programm finden, welches sich den letzten Standard-Drucker merkt und diesen nach der Anmeldung setzen kann.

Selbst ist der IT-ler. Und so habe ich ein kleines Tool in AutoIt gebaut, dass genau diese Funktion beherscht und die User somit wieder glücklich sind.

Um das Tool einfach in den Autostart schmeißen zu können und nicht extra eine Richtlinie mit Loopback-Verarbeitung erstellen zu müssen, läuft das Tool im Hintergrund, prüft alle 10 Minuten den aktuellen Standard-Drucker und speichert diesen in einer Datei im Profil des Benutzers.

Nach der Anmeldung startet das Programm und liest den Drucker aus der Datei und setzt diesen als Standard-Drucker.
Anschließend läuft es wieder im Hintergrund und wartet auf Änderungen.

#include <WinAPI.au3>
#include <FileConstants.au3>
#include <WinAPIFiles.au3>
#include <File.au3>

$STD_Printer = ""
$DefaultPrinterFile = @AppDataDir & "\default_printer"

If FileExists($DefaultPrinterFile) Then

	;ConsoleWrite("Datei existiert" & @CRLF)

	$hFileOpen = FileOpen($DefaultPrinterFile, $FO_READ)
	$sFileRead = FileRead($hFileOpen)

	If $sFileRead <> "" Then
		If _WinAPI_SetDefaultPrinter ( $sFileRead ) Then
			ConsoleWrite("Drucker '" & $sFileRead & "' als Standarddrucker gesetzt" & @CRLF)
			$STD_Printer = $sFileRead
		Else
			MsgBox(0,"",$sFileRead & " konnte nicht als Standarddrucker gesetzt werden");
		EndIf
	EndIf

Else
	_FileCreate($DefaultPrinterFile)
EndIf

While 1

	$strComputer = "."

	$objWMIService = ObjGet ("winmgmts:\\" & $strComputer & "\root\cimv2")
	$colPrinters = $objWMIService.ExecQuery ("Select * From Win32_Printer Where Default = True")

	For $objPrinter in $colPrinters
			If $objPrinter.Name <> $STD_Printer Then
				$hFileOpen = FileOpen($DefaultPrinterFile, $FO_OVERWRITE)
				FileWrite($hFileOpen, $objPrinter.Name)
				$STD_Printer = $objPrinter.Name
				ConsoleWrite("Drucker '" & $STD_Printer & "' als Standarddrucker gesichert" & @CRLF)
			EndIf
	Next

	Sleep(600000)

WEnd

Der Code kann gern übernommen und/oder weiterentwickelt werden (über einen Link zum Beitrag freue ich mich natürlich trotzdem)

Tags: Windows, Terminalserver, Script, Automatisierung, GPO, Autoit, Drucker

Rechte-Vererbung in der AD über Powershell aktivieren

Mittwoch, 18. Mai 2016 - 11:16 Uhr  |  Kategorie: Errors, Solutions & Workarounds  |  Kommentare (0)

Da ich aktuell ein schnelles und einfaches Firmentelefonbuch (PHP, HTML, CSS, AJAX) programmiere, gab es mal wieder ein AHA-Erlebnis und eine coole Lösung für ein IT-Problem.

Um Änderungen an Benutzer-Accounts direkt im Web-Frontend des Telefonbuchs vorzunehmen (nach Authentifizierung), musste nicht nur ein AD-User mit Leseberechtigung sondern auch ein User mit Schreibberechtigung in der AD angelegt werden
User angelegt, Berechtigungen in der AD delegiert und siehe da.. keine Berechtigung auf einzelne Useraccounts.

Nach etwas Recherche stellte sich heraus, dass fast die Hälfte der Accounts die Vererbung der übergeordneten Objekte nicht übernimmt.

Folgendes Powershellscript hat dieses Problem elegant gefixt und bei allen Useraccounts die Vererbung aktiviert.

Import-Module activedirectory
$OU = "OU=Test-OU,DC=Domäne,DC=TLD"

$Users=get-aduser -Filter * -SearchBase $OU

if ($Users -ne $null) 
{

foreach ($Entry in $Users) 
{
[string]$dn = (Get-ADUser $Entry).DistinguishedName
$user = [ADSI]”LDAP://$dn”
$acl = $user.objectSecurity
Write-Host "Pruefe Benutzer:" (Get-ADUser $Entry).SamAccountName

if ($acl.AreAccessRulesProtected)
{
Write-Host "Fixe Benutzer:" (Get-ADUser $Entry).SamAccountName
$acl.SetAccessRuleProtection($false,$true)
$inherited = $acl.AreAccessRulesProtected
$user.commitchanges()
}
}

}
else 
{
Write-Host "Keine Benutzer in $OU gefunden"
}

Bei uns hatte es kein Grund, warum die Vererbung deaktiviert gewesen sein könnte. Es kann natürlich in anderen Unternehmen Gründe dafür geben und sollte somit vorher geprüft werden.

[Quellen]

Tags: Active Directory, Powershell, Script, Automatisierung, Windows, Domäne, Server

Datenträger unter Windows partitionieren

Montag, 18. Januar 2016 - 13:36 Uhr  |  Kategorie: Nice2Know  |  Kommentare (0)

Unter Windows in der Datenträgerverwaltung findet man eine SD-Karte mit 2 Partitionen.
Partition 1 = 50MB FAT32 -> lässt sich nicht partitionieren
Partition 2 = 1.86GB nicht verwendeter Speicher -> lässt sich nicht partitionieren

Mit Diskpart kann die SD-Karte wieder zu einer Partition zusammengeführt und formatiert werden.

Drücke die Windows Taste + R zusamen und gib cmd ein.

Es öffnet sich die Konsole. Anschliessend folgendes eingeben:
Diskpart (mit ENTER bestätigen)

list disk (mit ENTER bestätigen) -> nun werden dir die vorhandenen disk aufgelistet

select disk <USB-Stick> (mit ENTER bestätigen) -> gib die nummer ein für die sd... Scau auf die grösse!

clean (mit ENTER bestätigen)

create partition primary (mit ENTER bestätigen)

select partition=1 (mit ENTER bestätigen)

active (mit ENTER bestätigen)

format fs=fat32 QUICK (mit ENTER bestätigen)

assign (mit ENTER bestätigen)

Console Schliessen und Fertig

[Quellen]

Tags: Raspberry Pi, Speicher