若要使用 Windows整合驗證來實現 SSO 通常是使用 IE 內建的 Windows整合驗證來做,但其實 Firefox 也可以!
在做專案什麼怪奇的客戶需求都有,不可能都要把它變成可能
也因為這樣讓自己學會許多東西
除了 IE 獨有的 Windows整合驗證,Firefox 也內建 Windows整合驗證,但預設並沒有開啟
文章目前都已轉入WordPress囉,請連這裡 https://shazi.info,若有連結失效請到新站台查詢!並告知站長,這裡僅提供第一次發文的同步更新,文章有編修將不再修正。
2014年9月29日 星期一
CentOS vim 將看到脫窗的註解文字 深藍色 改變顏色
在玩 Linux 的時候應該常常會遇到在編輯 vim 的時候,被註解的文字為深藍色而困擾,尤其當螢幕暗度又暗的時候,在客戶那邊又不可能調整人家的螢幕亮度
就只能在傷害眼睛的狀況下去看每一行字,或是用古老的 vi 來檢視
其實可以透過修改 vim color 的方式來調整預設顏色,但由於 Server 通常不只是我自己使用,還會有其他工程師一起共用
所以通常小弟僅修改在使用者家目錄下的 .vimrc 來針對每個使用者調整預設的顏色
就只能在傷害眼睛的狀況下去看每一行字,或是用古老的 vi 來檢視
其實可以透過修改 vim color 的方式來調整預設顏色,但由於 Server 通常不只是我自己使用,還會有其他工程師一起共用
所以通常小弟僅修改在使用者家目錄下的 .vimrc 來針對每個使用者調整預設的顏色
2014年9月26日 星期五
SSO 的 cache 認證設定-Windows 的自動登入認證資料庫
今天在解決一家客戶的 SSO 認證問題,花了兩個小時才處理完成
在多數使用者都沒有問題的情況來看,把矛頭指向單一使用者電腦設定錯誤來看
由於系統的 SSO 用的是 Windows整合驗證 ,是由 browser 跟 IIS 溝通,先釐清以下幾點問題
1. IE 開啟 Windows整合驗證
2. IE 清除所有 cookie 也進行 reset
3. 該網站加入「近端的內部網站」
4. LDAP驗證正常
在多數使用者都沒有問題的情況來看,把矛頭指向單一使用者電腦設定錯誤來看
由於系統的 SSO 用的是 Windows整合驗證 ,是由 browser 跟 IIS 溝通,先釐清以下幾點問題
1. IE 開啟 Windows整合驗證
2. IE 清除所有 cookie 也進行 reset
3. 該網站加入「近端的內部網站」
4. LDAP驗證正常
CentOS 6.5 利用 iptables 來建立 NAT Server (IP forwarding)
預想狀況
192.168.100.0/24 為 DMZ 區,不允許連上 internet 也不允許連到其他網段
192.168.99.0/24 為 LAN 區,不允許連上 DMZ,但可連上 internet
但偶爾 DMZ 的會有需求要連上 internet 進行 update 或是其他網段需求
在一般會使用 proxy ,但在沒有 proxy 的狀況最快的方式就是使用暫時 NAT 的方式來進行
※必須擁有 iptables 套件
192.168.100.0/24 為 DMZ 區,不允許連上 internet 也不允許連到其他網段
192.168.99.0/24 為 LAN 區,不允許連上 DMZ,但可連上 internet
但偶爾 DMZ 的會有需求要連上 internet 進行 update 或是其他網段需求
在一般會使用 proxy ,但在沒有 proxy 的狀況最快的方式就是使用暫時 NAT 的方式來進行
※必須擁有 iptables 套件
2014年9月25日 星期四
Bash 嚴重安全性漏洞 CVE-2014-6271
由網路安全 NVD 於2014/9/24 所提出有關 Linux 的 Bash 安全性漏洞有重大的 bug,其嚴重性等級為10,報告為 CVE-2014-6271
NVD 表示此漏洞只要擁有 Bash 就可以擁有 root 控制權,其以往的「Heartbleed」僅能查詢到主機資訊,表示其嚴重性。
被列為 等級10 除了擁有 root 權限以外,其被入侵的難度被列為低,主要是由於一般服務皆擁有 bash 權限,如 Apache , php .. 等等 cgi 模組。
被影響的 OS 範圍廣泛 由 CentOS 5、6、7 皆必須更新 bash
http://lists.centos.org/pipermail/centos/2014-September/146099.html
並可以使用 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 來進行測試 bash 漏洞
更新完成後再測試一次,已經無法檢測到。
參考資料:
Vulnerability Summary for CVE-2014-6271
Bash specially-crafted environment variables code injection attack
Orignal From: Bash 嚴重安全性漏洞 CVE-2014-6271
NVD 表示此漏洞只要擁有 Bash 就可以擁有 root 控制權,其以往的「Heartbleed」僅能查詢到主機資訊,表示其嚴重性。
被列為 等級10 除了擁有 root 權限以外,其被入侵的難度被列為低,主要是由於一般服務皆擁有 bash 權限,如 Apache , php .. 等等 cgi 模組。
被影響的 OS 範圍廣泛 由 CentOS 5、6、7 皆必須更新 bash
http://lists.centos.org/pipermail/centos/2014-September/146099.html
並可以使用 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 來進行測試 bash 漏洞
用環境變數測試出現 vulnerable 表示擁有 bash 漏洞
shell# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
shell# yum update bash
i386:
f17f9e203cc55846a050ce57efd67159e208ef8bd469633a471233e8b9c54a74 bash-4.1.2-15.el6_5.1.i686.rpm
11628832fb279e1bdca2cb8f403f7080fbab9fde554ed6ce3081344f92a93d7a bash-doc-4.1.2-15.el6_5.1.i686.rpm
x86_64:
eb8e41a4752e64c5c64371e5ae2ddbd5857b1e879832557a89fad195f4ab8f5b bash-4.1.2-15.el6_5.1.x86_64.rpm
16312fa5b190cd20b8ce2374e8ea2404aa17c849003dd080105e6225fc379df1 bash-doc-4.1.2-15.el6_5.1.x86_64.rpm
Source:
063b6c42042d97a7aa32f8d058947275085a95a1545d1fe018bdc888e4dc093f bash-4.1.2-15.el6_5.1.src.rpm
更新完成後再測試一次,已經無法檢測到。
shell# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
參考資料:
Vulnerability Summary for CVE-2014-6271
Bash specially-crafted environment variables code injection attack
Orignal From: Bash 嚴重安全性漏洞 CVE-2014-6271
2014年9月23日 星期二
Chrome AdBlock 杜絕所有廣告,篩選你想看到的廣告
在瀏覽網站的時候最討厭就是看到一堆廣告,一不小心還會點到彈出無數個廣告,這樣的狀況尤其在大陸網站以及一些免費網站尤其多
在 Chrome 就有一個非常好用的阻擋廣告元件, AdBlock
AdBlock 官網
在 Chrome 擴充商店搜尋 AdBlock
在 Chrome 就有一個非常好用的阻擋廣告元件, AdBlock
AdBlock 官網
在 Chrome 擴充商店搜尋 AdBlock
2014年9月19日 星期五
Windows 用 Sysprep 更改 SID , whoami 查 SID
2014年9月17日 星期三
Windows Route 網路卡的計量(自動公制)設定-兩組 Gateway 並行
路由「公制」(或稱計量,Metric)是每張網卡的路由值,是用來計算路由基準的公制。
會調整到 計量 通常都是在有兩張網卡 或是 兩個 Gateway 才需要調整,在 Windows 內計量預設都為「自動公制」,如果優先順序出現問題就需要查看計量是否有錯。
會衍生這篇其實是因為在某台 Server 上安裝了 Hyper-V 設定錯誤造成產生兩組 Gateway 後出現的。
會調整到 計量 通常都是在有兩張網卡 或是 兩個 Gateway 才需要調整,在 Windows 內計量預設都為「自動公制」,如果優先順序出現問題就需要查看計量是否有錯。
會衍生這篇其實是因為在某台 Server 上安裝了 Hyper-V 設定錯誤造成產生兩組 Gateway 後出現的。
關閉 IIS6 / IIS7 的 SSL v2 加密-降低網站資安風險
在資安方面 SSL v2 已被證實在加密過程中是有bug存在的,因此駭客通常能夠對 SSL v2 的封包反解,所以在絕大多數的弱掃軟體都會判別 SSL v2 是中高等級的弱點。
目前絕大多數的憑證都是採用 SSL v3 協定來進行加密,所以在資安的角度做法就是關閉 SSL v2 協定,即使關閉 SSL v2 還是可以透過 SSL v3 來進行通訊連線
在 client IE 支援的部分從 IE6 開始就已經同時支援 SSL v2 及 SSL v3,所以不必擔心關閉 SSL v2 會有瀏覽器不相容的問題。
目前絕大多數的憑證都是採用 SSL v3 協定來進行加密,所以在資安的角度做法就是關閉 SSL v2 協定,即使關閉 SSL v2 還是可以透過 SSL v3 來進行通訊連線
在 client IE 支援的部分從 IE6 開始就已經同時支援 SSL v2 及 SSL v3,所以不必擔心關閉 SSL v2 會有瀏覽器不相容的問題。
2014年9月13日 星期六
MSSQL tempdb 概念及壓縮減肥
此篇是有關於 SQL 中 tempDB 的概念及壓縮方式
tempdb 概念
其實就和系統中的 temp 一樣是一個暫時存在的空間,通常用來存放用來運算的資料或暫時存在的資料。
由於類似緩存的空間在預設裝起來的時候並沒有特別限制 tempdb 的大小,在長期使用後通常 tempdb 都會非常肥大。
從 MSDN 看到如果要最佳化 tempdb 則可以讓每個資料庫擁有自己的 tempdb,並且依照每個資料庫的運算屬性去調配大小。
tempdb 概念
其實就和系統中的 temp 一樣是一個暫時存在的空間,通常用來存放用來運算的資料或暫時存在的資料。
由於類似緩存的空間在預設裝起來的時候並沒有特別限制 tempdb 的大小,在長期使用後通常 tempdb 都會非常肥大。
從 MSDN 看到如果要最佳化 tempdb 則可以讓每個資料庫擁有自己的 tempdb,並且依照每個資料庫的運算屬性去調配大小。
2014年9月9日 星期二
SQL DBCC shrinkfile error - Msg 8985 清除交易紀錄失敗
之前寫的一篇[MSSQL]DB log減肥、資料表佔用空間筆記,在今天的一台 SQL 2000 出現了一些狀況
執行 DBCC SHRINKFILE ([DB_NAME],size) 之後出現以下問題
伺服器: 訊息 8985,層級 16,狀態 1,行 1
無法將檔案 'DB_Name_log' 放到 sysfiles。
DBCC 的執行已經完成。如果 DBCC 印出錯誤訊息,請聯絡您的系統管理員。
執行 DBCC SHRINKFILE ([DB_NAME],size) 之後出現以下問題
伺服器: 訊息 8985,層級 16,狀態 1,行 1
無法將檔案 'DB_Name_log' 放到 sysfiles。
DBCC 的執行已經完成。如果 DBCC 印出錯誤訊息,請聯絡您的系統管理員。
建立巢狀虛擬機架構-Nesting Hyper-V 2012 R2 on ESXi 5.5
建立 Nested VMs 最大的用途大多是用於實驗目的,一般使用者不會有這麼多的機器來試驗一些未實作的虛擬機功能,小弟也是如此。
針對一些試驗性的測試不免都是使用虛擬機來測試是比較方便,但如果要測試虛擬環境呢?
以下圖的架構為例,如果想要測試 Hyper-V 的虛擬環境功能就會遇到在 Guest 中再建立 Sub-Guest 出現 CPU 無法支援的問題
FreeFileSync 同步檔案的好幫手
補一下在這禮拜六用到的一個好用工具,這禮拜在幫一個客戶做移機的工作其中要搬移資料庫及大量的課程檔案,本來要寫一個排程的script來同步這些資料到新主機。但一直沒有時間用,等到了前一天才抱一下佛腳
記得才在前陣子用過的一套好用同步軟體,想到中秋連假就懶了乾脆拿現有工具才來同步一下就好囉
這套軟體的名稱是 FreeFileSync
主要拿來同步檔案,尤其當你的檔案資料很瑣碎的時候特別好用,也支援比對兩邊檔案「檔案大小和日期」或「檔案內容」檢查同步後兩邊的檔案是否正確
記得才在前陣子用過的一套好用同步軟體,想到中秋連假就懶了乾脆拿現有工具才來同步一下就好囉
這套軟體的名稱是 FreeFileSync
主要拿來同步檔案,尤其當你的檔案資料很瑣碎的時候特別好用,也支援比對兩邊檔案「檔案大小和日期」或「檔案內容」檢查同步後兩邊的檔案是否正確
2014年9月3日 星期三
IIS7 設定 MIME Type 播放mp4檔案
MIME 概念
多用途網際網路郵件擴展(MIME,Multipurpose Internet Mail Extensions)是一個網際網路標準
由原先電子郵件傳輸規範,後期由HTTP協議中也加入了MIME的規範,標準被擴展為網際網路媒體類型。
如果想要使用 IIS 來播放 mp4 檔案,必須設定 MIME Type 加入 .mp4 副檔名
多用途網際網路郵件擴展(MIME,Multipurpose Internet Mail Extensions)是一個網際網路標準
由原先電子郵件傳輸規範,後期由HTTP協議中也加入了MIME的規範,標準被擴展為網際網路媒體類型。
如果想要使用 IIS 來播放 mp4 檔案,必須設定 MIME Type 加入 .mp4 副檔名
2014年9月2日 星期二
LoadBalance 網路架構概念,一層式架構機房佈署
由網路上看到的一篇有關於網路架構加入 LoadBalance 後的架構示意圖
一個網路架構的好不好取決於 MIS 之後管理的成效
鑒於小弟任職的機房內有近百台 Server 在管理上的架構更為重要,當架構一個不對要再調整可能停機的時間就會拉得非常長,而且風險也相對提高
為了避免在未來的職務上重蹈覆轍,在概念的建構上是很重要的
此篇網路架構中加入了 LoadBalance ,就整體拓樸的架構 LoadBalancing 是擺在防火牆內,避免遭受各種外界的攻擊
目前就遇到了當初錯誤的決定把 LoadBalance 放在防火牆外,導致在分流的時候開啟 cache 的時候咬死 防火牆的 Session 導致連結至錯誤的 WebServer,關閉 cache 就恢復正常,但這樣分流的效果就降低了許多。
參考上方架構圖 APV 為 Array Networks,APV 建構在 Firewall 與 WebServer 之間。
APV 負責確認 policy 導向各 WebServer
L2 / L3 Switch 可以切 class
Firewall 管控出入 policy
Router 負責路由
以上各設備是最常見在一般機房的架構
就承載的 session 量及 throughpout 一定是 Router > Firewall > Switch > LoadBalance > WebServer,硬體效能亦是。
在架構上因小弟的客戶多數是上市櫃的企業,也常有看到非常嚴謹的兩層式防火牆架構,那就是更深一層的學問了,光是 policy 設定就會搞死人了!
參考資料
Server Load Balance
Orignal From: LoadBalance 網路架構概念,一層式架構機房佈署
一個網路架構的好不好取決於 MIS 之後管理的成效
鑒於小弟任職的機房內有近百台 Server 在管理上的架構更為重要,當架構一個不對要再調整可能停機的時間就會拉得非常長,而且風險也相對提高
為了避免在未來的職務上重蹈覆轍,在概念的建構上是很重要的
此篇網路架構中加入了 LoadBalance ,就整體拓樸的架構 LoadBalancing 是擺在防火牆內,避免遭受各種外界的攻擊
目前就遇到了當初錯誤的決定把 LoadBalance 放在防火牆外,導致在分流的時候開啟 cache 的時候咬死 防火牆的 Session 導致連結至錯誤的 WebServer,關閉 cache 就恢復正常,但這樣分流的效果就降低了許多。
參考上方架構圖 APV 為 Array Networks,APV 建構在 Firewall 與 WebServer 之間。
APV 負責確認 policy 導向各 WebServer
L2 / L3 Switch 可以切 class
Firewall 管控出入 policy
Router 負責路由
以上各設備是最常見在一般機房的架構
就承載的 session 量及 throughpout 一定是 Router > Firewall > Switch > LoadBalance > WebServer,硬體效能亦是。
在架構上因小弟的客戶多數是上市櫃的企業,也常有看到非常嚴謹的兩層式防火牆架構,那就是更深一層的學問了,光是 policy 設定就會搞死人了!
參考資料
Server Load Balance
Orignal From: LoadBalance 網路架構概念,一層式架構機房佈署
訂閱:
文章 (Atom)