Alexey Myshkin

Роутер — устройство торчащее попой наружу и отделяющее Вашу локальную сеть от глобальной, а посему, найдётся много «доброжелателей» пытающихся заполучить контроль на Вашим роутером. Чаще всего это брутфорс.

Самый частый сценарий — тот в котором вы сами не сможете на него(роутер) попасть или он перестанет обрабатывать пакетики и тырнет в офисе встанет. Чтобы спастись нужно включить Cisco IOS Login Enhancements.

Настраиваем.

Проверим текущее состояние службы:

#sh login
     No login delay has been applied.
     No Quiet-Mode access list has been configured.

     Router NOT enabled to watch for login Attacks

Это значит что «Login-Block» выключена.Сейчас настроим…

1. Включим ожидание между последовательными входами (время в секундах на ваше усмотрение)
2. Логируем успешные авторизации
3. Логируем ложные авторизации
4. Включаем саму службу с нужными нам параметрами

configure terminal
login delay 10
login on-success log
login on-failure log
login block-for 180 attempts 3 within 180

Мы сказали что после 3х неверных попыток входа, придётся отдыхать 180 секунд. После этого уже все брутфорсеры начинают напрягаться 🙂

Давайте на них посмотрим:

#show login failures
Total failed logins: 33
Detailed information about last 50 failures

Username      lPort  Count      TimeStamp                SourceIPAddr
root            23    2     20:52:09 UTC Mon Sep 14 2020 95.129.151.122
telnetadmin     23    1     20:52:03 UTC Mon Sep 14 2020 60.254.96.8
admin           22    11    21:25:18 UTC Mon Sep 14 2020 103.145.12.194
root            23    1     20:57:18 UTC Mon Sep 14 2020 27.5.29.191
ubnt            23    1     20:57:27 UTC Mon Sep 14 2020 27.5.29.191
NJ0233          22    1     21:00:42 UTC Mon Sep 14 2020 103.145.12.194
support         23    1     21:01:14 UTC Mon Sep 14 2020 121.98.53.182
prodstlouis     22    1     21:04:58 UTC Mon Sep 14 2020 103.145.12.194
admin           23    1     21:08:15 UTC Mon Sep 14 2020 115.96.66.165
administrator   23    1     21:08:24 UTC Mon Sep 14 2020 115.96.66.165
user            22    1     21:13:20 UTC Mon Sep 14 2020 85.206.165.112
root            23    2     21:16:50 UTC Mon Sep 14 2020 220.161.160.91
mother          23    1     21:16:51 UTC Mon Sep 14 2020 95.129.151.122
signa           22    1     21:20:52 UTC Mon Sep 14 2020 103.145.12.194
admin           23    1     21:25:13 UTC Mon Sep 14 2020 27.6.199.175

Видим всех желающих попасть на мой роутер.

#sh login
     A login delay of 5 seconds is applied.
     No Quiet-Mode access list has been configured.
     All successful login is logged.
     All failed login is logged.

     Router enabled to watch for login Attacks.
     If more than 3 login failures occur in 180 seconds or less,
     logins will be disabled for 180 seconds.

     Router presently in Normal-Mode.
     Current Watch Window
         Time remaining: 148 seconds.
         Login failures for current window: 0.
     Total login failures: 33

В решении есть минусы. Помимо всех «доброжелателей» мы блокируем вход и себе.

Добавим исключения (пример для хоста 192.168.100.5):

access-list 10 permit 192.168.100.5
login quiet-mode access-class 1

После обновления перестали регистрироваться телефоны на CME.
У меня стоит Cisco 3925. Firmware 157-3.m4b.
При попытке пересоздать конф файлы для телефонов вываливалась ошибка о том что прямо сейчас они создаются (что не является правдой).

Решение: (Задокументированный баг старой прошивки)

conf t
telephony service
no ip source-address

Далее добавляем нужные адреса обратно…

МФУ MB OC-420 полный аналог SHARP, поэтому и дрова подходят. Проблема в том что эти дрова не подписаны и винда не даст их установить. Нужно отключить проверку подписи драйвера.

Далее используете виндовое «Добавить принтер»

Отключение проверки подписи драйвера.

Есть, как говорится два путя 🙂

Первый (я использовую) отключить её совсем, делаем (с правами администратора):

bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON

ЛИБО

bcdedit.exe /set NOINTEGRITYCHECKS ON

Обязательное условие (!) в UEFI должен быть отключен Secure BOOT. Далее следует обязательная перезагрузка.

Чтобы пользователей не нервировало сообщение о том что винда в ТЕСТОВОМ РЕЖИМЕ, пишем:

bcdedit.exe -set TESTSIGNING OFF

ВАРИАНТ ВТОРОЙ, делаем это через утилиту восстановления Виндовс.

Пуск -> Параметры -> Обновление и безопасность -> Восстановление, жмём «Перезагрузить сейчас». 

На синем экране выбираем Диагностика (или Поиск неисправностей) -> Дополнительные параметры -> Параметры загрузки -> Перезагрузить

После перезагрузки выбираем пункт «Отключить обязательную проверку подписи драйвера»

Не так давно, я начал вникать в тонкости работы розничной сети на основном месте работы, организация не богатая, излишков ресурсов не замечено и хочет динамично развиваться J

Классический пример малого бизнеса в России.

Однажды, я стал свидетелем того, как девочки из «Маркетинга», после очередного шабаша продавцов активно впихивали им флешки с рассказывали что они туда залили. Мне стало дико интересно что происходит.

Они передавали флешки со слайд-шоу для «телевизоров» в наших бутиках…

Дорогой читатель, я надеюсь ты такой же филантроп и только поэтому искал эту статью!

В данный момент на рынке достаточное количество организаций предлагает свои услуги по управлению контентом на рекламных поверхностях, но как оказалось стоит это очень приличных денег.

Спросив у Гугла на тему платформ Digital Signage я нашё массу интересных предложений, но среди них было одно сходство, как ни странно за них хотели денег и причём на мой взгляд не малых.

Лирическим отступлением будет моя задача, выбирая платформу, я ориентировался только на показ рекламы на экранах, автоматическое управление контентом по расписанию и прочие приблуды. Никаких смарт панелей, интерактивных вопросов и иной чертовщины не было в моих мыслях (может будет позже).

Из всего многообразия, я выбрал платформу Xibo. В качестве аргумента приведу её цену, равную 0 🙂 Что конечно не может не радовать. Если Вы планируете использовать планшеты, или иное не виндовое ПО, то Вам следует листать дальше, ввиду того что и клиент тут стоит денег(кроме виндового). Есть и линуксячья версия, но она очень сырая.

Погнали!

Есть несколько вариантов установки этого ПО. Я выбрал не путь самурая и стал ставить оную без контейнеров.Нам понадобится CentOS7

Проверим что у нас всё самое свежее:

yum update -y

Установим минимально необходимый софт

yum install -y vim wget net-tools mc

Выключим Selinux

vim /etc/sysconfig/selinux
SELINUX = disable

Устанвим Apache, добавим в автозагрузку и откроем в порты

sudo yum -y install httpd
sudo systemctl enable httpd
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

Установим репозиторий Epel

yum install -y epel-release
rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

yum install -y php56w php56w-opcache php56w-common
yum install -y php56w-pear php56w-devlop.x86_64
yum install -y php56w-devel php56w-intl php56w-soap php56w-mcrypt json
yum install -y php56w-pdo php56w-gd
yum install -y php56w-mysql
yum install -y php56w-mbstring

Установим СУБД и настроим

yum -y install mariadb-server
systemctl enable mariadb
systemctl start mariadb
mysql_secure_installation

Ответим на вопросы

Enter current password for root (enter for none): 

Set root password? [Y/n] 

Remove anonymous users? [Y/n] Y

Disallow root login remotely? [Y/n] Y

Remove test database and access to it? [Y/n] Y

Reload privilege tables now? [Y/n] Y

Установим набор утилит разработчика

yum groupinstall "Development Tools"

Ставим  ZeroMQ

yum install zeromq
pecl install zmq-beta

Качаем саму CMS в домашний каталог

wget https://github.com/xibosignage/xibo-cms/releases/download/1.8.11/xibo-cms-1.8.11.tar.gz

tar zxvf xibo-cms-1.8.11.tar.gz
mv xibo-cms-1.8.11 /var/www/xibo

vim /etc/httpd/conf/httpd.conf

DocumentRoot "/var/www/xibo/web"
<Directory “/var/www/xibo/web”>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
Require all granted
</Directory>

В секции <Directory «/var/www»> заменим значение на AllowOverride all

Сменим владельца

chown -R apache:apache /var/www/xibo

В создадим скрипт

vim /var/www/xibo/vendor/bin/config.json

добавим в него:

{
  "listenOn": "tcp://localhost:50001",
  "pubOn": ["tcp://YOUR_IP_ADDRESS:9505"],
  "debug": false
}

вызовем crontab -e

* * * * * /usr/bin/php /var/www/xibo18/bin/xtr.php

Изменим vim /etc/php.ini

max_execution_time = 120
memory_limit = 256M
post_max_size = 256M
upload_max_filesize = 256M
extension=zmq.so
date.timezone = TIME_ZONE

Перезапускаем Apache и всё

Ну погнали…

У меня контроллер и 2 полки, поставил в стойку, первым делом соединил полки с контроллером согласно гайду из коробки потом подключил все порты.

Ошибка№1

Не включайте контроллер до включения полок иначе он их не увидит. Для устранения ошибки достаточно просто перезагрузить контроллер, но проще включить первыми полки и пронумеровать их.

Тут есть БестПрактис по поводу нумерации (чтобы не было стыдно перед наследниками)

При обновлении опирался на официальную документацию. На шаге 4 возникла ошибка:

BEGIN failed--compilation aborted at /opt/otrs/Kernel/System/DateTime.pm line 27.
Compilation failed in require at /opt/otrs/Kernel/Language.pm line 20.
BEGIN failed--compilation aborted at /opt/otrs/Kernel/Language.pm line 20.
Compilation failed in require at /opt/otrs/Kernel/Output/HTML/Layout.pm line 18.
BEGIN failed--compilation aborted at /opt/otrs/Kernel/Output/HTML/Layout.pm line 18.
Compilation failed in require at /opt/otrs/Kernel/System/ObjectManager.pm line 25.
BEGIN failed--compilation aborted at /opt/otrs/Kernel/System/ObjectManager.pm line 25.
Compilation failed in require at scripts/DBUpdate-to-6.pl line 29.
BEGIN failed--compilation aborted at scripts/DBUpdate-to-6.pl line 29.

Для того чтобы залогиниться под OTRS используйте:

su -l -s /bin/bash otrs

Для исправления ошибки мне помогло:

apt-get install libdatetime-perl

MS SQL Server 2014
Ошибка СУБД: Microsoft SQL Server Native Client 11.0: Memory allocation failure
HRESULT=80004005

Заходим в SQL Server Configuration Manager -> SQL Native Client 11.0 Configuration -> Client Protocol Protocols -> Properties

1. Остановить службу IIS
2. Удалить все файлы из C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
3. Запустить IIS

При последующей загрузке страница это займёт немного больше времени эти файлы будут созданы заново.

Бывает так, что настраивая какой-либо сервис возникает необходимость переадресации пользователя на другую страницу (будь то в папке или поддомен или замена расширения). Несколько примеров которые я использовал в своём опыте ниже.

Для того чтобы воспользоваться модулем переадресации, надо чтобы он был установлен и активирован. Команды в нужном порядке ниже (из под root):

LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so
a2enmod rewrite
service apache2 restart

Переадресация URL из корня / в папку /folder

RedirectMatch ^/$ /folder/

При установке сертификата мы хотим чтобы перманентно был только https

RewriteEngine on   //включаем модуль
RewriteCond %{SERVER_NAME} =domain.ru   //при совпадении по имени домена
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]  
// перезаписываем все возможные к нему обращение

Либо

a2enmod alias
service apache2 restart

// в конфигурационном файле сайта (или дефолт-сайта) добавим:

Redirect / https://example.com/

Добавление субдомена

RewriteEngine on 
RewriteCond %{HTTP_HOST} ^!domain.ru$ [NC]
RewriteRule ^(.*)$ http://sub.domain.ru/$1 [R=301,L]

Чтобы собирать заявки с почты раз в минуту в настройках системы идём в Daemon -> SchedulerCronTaskManager

Есть два параметра:

1. Daemon::SchedulerCronTaskManager::Task###MailAccountFetch — отвечает за обработку писем из настроенных ящиков
2. Daemon::SchedulerCronTaskManager::Task###SpoolMailsReprocess — отвечает за обработку писем из тех же ящиков если большая очередь и не все заявки могли быть обработаны

Для себя напомню формат записи в Cron:

(во первых есть отличный ресурс https://crontab.guru, но если его закроют ниже в текстовом виде)

*/1 * * * * ( периодичность(*)/ минуты(*) часы(*) числа 1-31(*) месяцы (*) дни недели (*)