Systemback là gì ? Systemback là phần mềm giúp tạo các bản sao lưu của hệ thống và các tệp cấu hình người dùng trên Linux. Trong trường hợp có vấn đề, bạn có thể dễ dàng khôi phục trạng thái trước đó  một cách dễ dàng.






Nghe tới đây giống giống windows ghost, xin thưa rằng nó cũng tương tự vậy, nhiệm vụ của nó backup lại một bản sao của OS tại thời điểm hiện tại.

Nếu ai đã từng ghost windowns thì khi đụng linux sẽ nghĩ ngay tới vấn đề này và sẽ biết đến Systemback này... Mình không nghĩ vậy vì mình toàn dùng ảo hóa cho linux nên clone lại không ah :)

OK, mục đích hôm nay mình nói tới là dùng Systemback để tạo một file OS.iso có cài đặt các phần mềm riêng cần thiết của mình.

Bài này chỉ bỗ trợ cho bài deployment linux nên sẽ nói khái quát cái cần thiết thôi, và mục tiêu sẽ có một giả thuyết như thế này.

Tất cả các WKS sẽ dùng linux PopOS 19.10, bên trong sẽ cài các phần mềm cần thiết của công ty và yêu cầu nhân viên IT không dùng bất cứ OS nào bên ngoài để cài, chỉ đúng OS công ty cung cấp. Để giảm thiếu thời gian cho nhân viên trong quá trình cài đặt bắt buộc OS này phải có những software cần thiết, sau khi cài xong OS là người dùng sẽ sử dụng và không cài thêm bất cứ phần mềm gì từ bên ngoài...

Trước tiên PopOS 19.10 sẽ cài 2 dịch vụ apache và ibus unikey, ví dụ là vậy đi và mình sẽ có OS chuẩn rồi đem nó dùng tất cả WKS...





OK, vậy đi và trình tự các bước sẽ cài đặt đơn giản như sau :

sudo add-apt-repository "deb http://ppa.launchpad.net/nemh/systemback/ubuntu yakkety main"

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 382003C2C8B7B4AB813E915B14E4942973C62A1B

sudo apt update

sudo apt install systemback

Sau khi cài đặt hết sức đơn giản như trên nó sẽ ra như thế này




Launch app lên thì cần xác nhận password




và giao diện phần mềm sẽ như thế này




Chọn Live system create để tiến hành backup lại toàn bộ OS ở thời điểm hiện tại




Tiếp theo chọn đường dẫn thư mục muốn lưu file file live của OS và tên file live OS này và Create new để bắt đầu tạo file live.




Sau khi đã có live image rồi thì muốn ạo iso lúc nào convert ra lúc đó




Cuối cùng convert iso nó sẽ ra như sau :




Cái tiện ích nhất của Systemback là phần lưu trữ file ISO, nếu muốn cắm USB vào để nó clone ra một bản vào USB khá là  tiện lợi.

Cuối cùng việc còn lại muốn làm gì với file ISO này là tùy bạn, sau đây là kết quả sau khi restore lại.

Bản ISO này đã là bản sao, nên nó hoàn toàn giống nguyên bản khi chạy live, boot từ CD or USB





Dùng ISO này install thì nó như sau :

Sau khi boot chọn Install sẽ vào giao diện system install và yêu cầu nhập thông tin



Đây là cài đặt nên nhập thông tin user mới



Cuối cùng sẽ đến phần chọn phân vùng, cứ chọn phân vùng cần cài đặt và chạy như bên dưới



Sau khi Systemback install xong thì bản OS hoàn thành.

Nhãn: LPIC-System Administrator(Red Hat)

Ah Ah, tối nay sẽ nói về Screen trên Centos 8, cách cài đặt và sử dụng Screen bao gồm các câu lệnh cơ bản liên quan đến Screen.

Screen là cái  gì có hay ho hay không ? Nói một câu duy nhất là khá là tuyệt, vậy dùng nó để làm cái gì ? Dạ xin thưa nói đơn giản nó là quản lý các cửa sổ terminal linux.


Vẫn không hiểu lắm ??? Nói túm lại một câu giải thích đơn giản như thế này, hồi giờ ông có sài KVM Screen or KVM Switch không, nếu không thì google đi, nếu có quay lại đây  nói chuyện tiếp :)





OK, Nếu dùng màn hình remote server hay gì đó thì KVM Screen or KVM Switch nó sẽ hỗ trợ chỉ một màn hình duy nhất có thể chuyển đổi từ một màn hình bạn có thể chuyển đổi để nhìn nhiều màn nhiều server để abcd gì gì đó, chẳng hạn đọc báo chẳng hạn :v :v


Ah, tới đây bạn sẽ hiểu là KVM Screen or KVM Switch là kết nối màn hình máy tính vậy dùng một Terminal chuyển đổi nhiều Termina remote khác thì sẽ như thế nào.


OK, Screen nó mục đích phục vụ cho nhu cầu này đây, và tối nay sẽ nói về Centos 8 nên sẽ cái nó lên Centos 8 để xem nó gì hay ho  nè.


Đầu tiên : Tôi có một con server Centos 8 master, nhiệm vụ là dùng nó remote terminal hết các con server còn lại.

Tôi sẽ cài đặt nó như sau :

[root@master ~]# yum install -y screen

Cài đặt xong sẽ tạo một file với kịch bản như sau :

[root@master ~]# vi .screenrc

Nội dung sẽ như sau, thứ tự đầu tiền sẽ là màn hình server master còn lại là các server cần connect vào.







Sau khi tạo file .screenrc với nội dung lần lượt các server cần remote terminal thì cần hiểu các phím tắt sau : Cần nhớ kỹ nhé, nó phục vụ cho thao tác bên dưới.




Mỗi câu lệnh ở trên là : Ctrl + a và chọn 1 phím chức năng.


Chạy lệnh screen sẽ xuất hiện màn hình đầu tiên là của Master.

[root@master ~]# screen

Ví dụ : Tôi đang ở màn hình Master và cần switch qua server1, như hướng dẫn phím ở trên bấm Ctrl + a xong chọn n, ok next thôi.




OK, next phát nữa xem nào :)





Tương tự Ctrl + a xong bấm p sẽ Prev bay về tab trước đó, cứ tương tự như bảng phím tắt ở trên....

Ctrl + a và number là số thứ tự tab màn hình hiện có.

Ctrl + a và i sẽ hiện thông tin của Terminal





Check xem đang dùng bao nhiêu tab, Ctrl + a và w.





OK, vân vân mà mây mây, tùy vào mục đích sử dụng thì lựa chọn phím tắt phù hơn :)

Nhãn: LPIC-System Administrator(Red Hat)

Như tiêu đề đã nói là Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8 thì cũng bắt đầu nhanh luôn để giải quyết vấn đề, khi viết bài này thì cũng khá là khuya nên sẽ đi rẹt rẹt vài phút.


Google Authenticator là cái quái gì thì đọc bài Giải quyết bài toán Microsoft Authenticator OTP trên Windowns sẽ biết nó là cái quái j.







Vào vấn đề chính luôn là vác con server Centos 8 ra cài Google Authenticator tạo xác thực qua OTP với SSH, có nghĩa là khi  đăng nhập bằng SSH và server linux không những phải dùng password đăng nhập và còn phải Verification code bảo mật bằng xác thức mã OTP.


Đầu tiên cần cài repo EPEL(Extra Packages for Enterprise Linux) vào nhé, có một chú ý như thế này, trên Centos 7  yum install epel-release chạy khá ok, nhưng Centos 8 thì nó không work nên install thẳng theo link bên dưới.


Nếu không cài thằng bên dưới này thành công thì google-authenticator vẫn cài về thủ tục vẫn ok nhé, nhưng khi đăng nhập sẽ không vào được.

[root@otp8 ~]#yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Tiếp theo là cài cái chủ chốt nhất là authenticator như bên dưới, khá là nhanh khoản chưa tới 40s đã xong.

[root@otp8 ~]#yum install google-authenticator

Cài xong thì làm gì tiếp theo, đó là config OTP và vác điện thoại ra scan.

[root@otp8 ~]#google-authenticator

Khi bắt đầu chạy google-authenticator trên Centos 8 nó sẽ tự động tạo 1 link QR code thì ta cứ mở lên và scan vào điện thoại, trên điện thoại cài app google authenticator như đã nói ở trên.

Cái thứ 2 nó cung cấp serect key, vậy nó để làm gì, nếu bạn xem kỹ phần trên thì sẽ biết thêm một mẹo hay từ serect key này.

Your emergency scratch codes are: 37711940 43070844 .... Nó sẽ cung cấp cho bạn 5 mã dự phòng, cất những mà này phòng trường hợp điện thoại hư hay gì hoặc bất đắc dĩ không có OTP general trên điện thoại.


Do you want me to update your "/root/.google_authenticator" file (y/n) : y  => cứ chọn yes cho nó update.

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) : y 


=> hãy chọn yes đi, vì sao nếu bạn chọn NO thì mã OTP của bạn thấy trên điện thoại sau khi bạn đăng nhập thì thằng khác nó dùng lại sẽ đăng nhập được. Không tin bạn có thể dùng mã OTP đăng nhập rồi đăng nhập lại sẽ rõ.

By default, a new token is generated every 30 seconds by the mobile app. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. This allows for a time skew of up to 30 seconds between authentication server and client. If you experience problems with poor time synchronization, you can increase the window from its default size of 3 permitted codes (one previous code, the current code, the next code) to 17 permitted codes (the 8 previous codes, the current code, and the 8 next codes). This will permit for a time skew of up to 4 minutes between client and server. Do you want to do so? (y/n) N 

=> Có nghĩa là nói liên quan về vấn đề đồng bộ, mặc định điện thoại sẽ 30s cung cấp 1 code, nó sẽ cung cấp 3 code access theo phiên thời gian 3*30, nếu bạn muốn tăng thêm thì chọn Yes, nếu thời gian chọn yes lên đế 4 phút cho, do nhu cầu của bạn, mình mở lên xào liền nên chọn No, tùy vào hệ thống và suy nghĩ logic xíu sẽ chọn phù hợp.


If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting? (y/n) y 

=> Hãy chọn yes nó sẽ an toàn hơn, 30s sẽ không quá 3 lần đang nhập, tránh tình trạng bị brute-force.


Tiếp theo là mục đích muốn dùng nó cho cái gì, như bài này là dùng cho SSH thì ta cần sửa 2 file sau :

[root@otp8 ~]# vi /etc/ssh/sshd_config

Tìm dòng  ChallengeResponseAuthentication no sửa lại thành ChallengeResponseAuthentication yes

Tiếp theo đi đến file sau

[root@otp8 ~]# vi /etc/pam.d/sshd

và thêm dòng sau vào bên dưới : auth required pam_google_authenticator.so nullok


Xong khởi động lại SSH là xong

[root@otp8 ~]# systemctl restart sshd

Trên điện thoại :



Cuối cùng là xúc thôi




Note : 
auth required pam_google_authenticator.so nullok có nullok là gì, tôi bỏ nó được không. OK bạn có thể bỏ nullok. Sau khi bạn bỏ nullok thì khi tạo một user mới cung cấp password cho họ, họ sẽ không đăng nhập được, bạn pải switch user sang user mới và chạy google-authencatior nó sẽ tạo key và profile cho user mới và bạn cung cấp thông tin cho người mới.

Cái này mang tinh bắc buộc của một doanh nghiệp hoặc cá nhân, nếu bạn thêm nullok thì quăng password qua là vào thôi, còn muốn OTP hay không là quyền của họ :)

Nhãn: LPIC-System Administrator(Red Hat)

Dành cho những ai đang dùng Office 365 và chính sách Policy yêu cầu xác thực OTP khi đăng nhập vào mail, hoặc các dịch vụ SSO cần dùng tài khoàn mail nhưng cần xác thực OTP liên quan đến anh chàng Microsoft.






Nói về sự an toàn thì nó thật sự an toàn thật, và sử dụng rất tốt, điều này không cần phải bàn cải làm gì.

Nhưng lúc nào cũng ôm khư khư cái điện thoại nếu có đăng nhập hay làm gì đó lâu ngày cũng tạo sự phiền phức, đang dùng trên máy tính thì sao ? Bài toán này sẽ được giải quyết như sau (Dành cho những bạn biết về Python ).

Trước tiên máy của bạn cần cài python trước, python là gì nếu bạn nghĩ đến giải quyết OTP này thì bạn đã biết nó là gì rồi :)

pip install pyotp

Tới đây là đồ chơi đã chuẩn bị xong, đăng nhập link bên dưới để lấy password serect

https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1

Chọn setup Authentication app -> click vào Configure app without notifications để nhận Secret Key






Cuối cùng Next và chọn  Verify now


Nó sẽ yêu cầu nhập mã verify thì mở cmd lên chạy python với Secrect key đã cung cấp, lấy mã và nhập vào là xác thực OK





Thế là xong, cuối cùng thì sau này cứ chạy lên là lấy OTP là sài.

Tạo 1 file .py để dùng lần sau :






Cuối cùng chạy file python này sẽ giải quyết bài toán :)




Note : Giải quyết nhanh hơn nữa dùng mẹo sau, set alias là xong :)

Nhãn: Reference

Trên Centos 8, Cockpit đã hỗ trợ sẵn tận răng chỉ cần enable lên là chạy phà phà, có nói sơ về nó ở bài Management CentOS 8 Linux With Cockpit Web Console

Vậy ở trên Centos 7 thì sao, về bản chất thì cũng như nhau cả thôi, cài sẵn và giờ cài nhưng được cái thao tác khá đơn giản.






Cài đặt nhanh bằng câu lệnh sau trên Centos 7

sudo yum install cockpit

systemctl enable --now cockpit.socket

[root@localhost ~]# firewall-cmd --zone=public --add-port=9090/tcp --permanent

[root@localhost ~]# firewall-cmd --reload

Kiểm tra trạng thái OK chưa :)






Sau khi open port firewall OK rồi, đăng nhập vào test thôi, đến đây thì chẳng khác gì Centos 8 :) Nhưng khi đăng nhập vào thì thiếu một số function do chưa cài đầy đủ như Centos 8.





Sau khi đăng nhập thì ta thấy backend đã rút gọn hơn so với Centos 8 là vì sao, vì hiện tại khi install Cockpit nó chỉ là trình điều khiển, vậy muốn điều khiển cái gì thì cài thêm service cho nó.






Test thử join domain nào, hiện tại trên Centos 7 chưa có realmd nên chức năng này sẽ bị ẩn, vậy cần phải cài đặt mới sử dụng được.

[root@centos7 ~]# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation

Sau khi cài đặt xong nó đã enable lên và có thể join domain ngon lành.






Ok, bắt tay vào giải quyết vấn đề nào :


Nhập thông tin domain vào và join như trên windowns




Sau khi join domain hoàn thành thì status sẽ như sau




Cuối cùng chỉ cần kiểm tra trên domain, thấy thông tin ngon lành là ok rồi.





Còn lại nếu bạn muốn làm gì thì cài service bạn cần vào là dùng thôi, Cockpit chỉ là công cụ giúp trực quan, còn làm được gì bên trong đòi hỏi kiến thức của bạn và vận dụng nó đúng và hợp lý. :)

Nhãn: Reference

Cockpit Web Console là gì ? Hiểu nôm na nó là một web console có thể quản lý server linux bằng giao diện web.

OK, tối nay chúng ta sẽ tìm hiểu cách cài Centos 8 ra sao có gì khác với phiên bản cũ không, và nó tích hợp sẵn Cockpit Web Console như thế nào, và dùng nó để làm gì :)





Trên Cockpit web console bạn có thể quản trị mọi thứ về server của bạn như storage, network, bla bla, giao diện khá trực quan.




Tại sao hôm nay mình nói tới Cockpit, trước đây nó không được tích hợp vào centos đời trước, muốn dùng thì phải cài , và cách cài đăt khá đơn giản sẽ có một bài riêng trên Centos 7


Ở bài này đang nói về Centos 8 mới ra, có nhiều cái mới mẽ và bên trong nó có phần Cockpit tích hợp sẵn thấy khá thú vị, cách cài đặt thì không có gì mới so với các phiên bản trước nên nội dung bên dưới sẽ review sơ về Centos 8.

Cài đặt Centos 8 đơn giản như sau :

Chọn Install Centos Linux 8




Chọn Language và Continue



Điểm khác biệt là Software Selection sẽ để default Server with GUI, riêng mình không dùng GUI nên chọn mỗi Server thôi.




Các bước sau chọn như phiên bản trước và chạy thôi, quá trình cài none GUI sẽ rất nhanh.

Điểm thú vị sau khi cài xong Centos 8 sẽ gợi ý Activate the web console với câu lệnh enable service lên.

systemctl enable --now cockpit.socket

OK, sau khi enable nó lên rồi check xem nó work ngon lành chưa, xanh là ngon rồi đấy :)





Thế là cứ đăng nhập vào thôi, và điểm lưu ý Cockpit Web Console sẽ chạy port 9090

https://xxx.xxx.xxx.xxx:9090/system

Và kết quả sau khi đăng nhập, có đủ thứ đồ chơi để chơi, quá tiện dụng.






Storage Centos 8, muốn thêm chia raid , group bla bla thì vò trong này ...




Networking có thể cấu hình đủ kiểu không cần dùng Terminal nhiều.




Thậm chí quản lý luôn service trên này luôn, rất là tiện lợi




Và cuối cùng Terminal web console cho tín đồ thích gõ lệnh hehe






OK, phần trên là review sơ sơ về Centos 8 và nói về  Cockpit Web Console, công nghệ ngày càng phát triển nên đồ chơi sẽ ngày càng nhiều. Thông qua đây nêu bạn muốn tìm hiểu về Cpanel thì có thể tham khảo vài sau : Hướng dẫn cài WHM cPanel trên Centos 7

Nhãn: Reference

OK, đến tối rãnh rỗi là lại lên, tối nay sẽ nói về câu chuyện muôn thuở How to Telnet multiple server and ports ... bla bla.

Bên dưới sẽ là những đoạn script hết sức đơn giản và gọn gàng giúp giải quyết nhanh bài toán về telnet để phục vụ cho nhu cầu.





Tuy nó đơn giản đôi lúc cần phải làm để phục vụ cho công việc, nói về telnet thì ai làm cũng được chỉ cần cài Telnet Client lên và check xem port nào đó có open hay không. Nhưng vài port thì quá đơn giản, giờ quăng cho vài chục IP vs vài chục port thì thấy mệt rồi ah nghen.

Điều này sẽ xảy ra chứ không phải là không, vì trong quá trình làm việc sẽ cần rất nhiều, có một đoạn script để test thì cũng tiện và ok.

Hôm nay sẵn tiện chạy 3 đoạn script trên 3 nền tảng : CMD (bash script) , PowerShell, Linux (Shell script), tuy nó đơn giản nhưng mục đích phục vụ công việc nếu muốn dùng windowns hay linux thì lôi ra làm, luôn làm chủ công việc của mình và không phải trong thế bị động :)

PowerShell :





OK, và cuối cùng kết quả nó sẽ như thế này




CMD (bash script) :

Thời gian timeout tùy chỉ phù hợp với host, nếu host trả về chậm hơn thì sẽ không chính xác, đây để 3 cho nhanh.






Và kết quả của CMD (bash script) nó như thế này :





Linux (Shell script) : 




Và kết quả chạy Shell script trên linux như thế này :




Tuy không có gì mới mẽ hay đặc sắc nhưng đôi lúc cũng cần :)

Nhãn: Reference

Lâu lắm ngẫu hứng làm tiếp bài tiếp theo của phần Python Impacket Tool - Công cụ Remote Execution, có thể tham khảo ở phần 1 : Python Impacket Tool - Công cụ Remote Execution mà system administrator chuyên nghiệp nên biết 





Cách làm việc thì không gì thay đổi nhiều, nên hôm nay sẽ nói về vấn đề Remote Execution không cần password mà dùng -hashes.


Đây là một trong những giả thuyết để phục vụ nhu cầu quản trị nên sẽ đưa ra bài toán như sau :


Một máy tính có nhiều tài khoản, và cần dùng 1 trong những tài khoản đó thể chạy chương trình nào đó, cụ thể như mở cmd.exe ...







OK, bài toán như trên vậy hen, công cụ thứ nhất dùng làm sao để -hashes windowns, công cụ sau sẽ giúp làm việc đó.


secretsdump.py :  Công cụ hỗ trợ dump thông tin Hashes .


Có rất nhiều cách và đây cũng là một cách, làm sao miễn có thông tin hashes rồi tính tiếp :)





Psexec.py : Ok thế là có thể dùng psexec để test như sau :)

Cú pháp sẽ bao gồm -hashes LMHASH:NTHASH  , user và IP.




wmiexec.py : Có thể dùng wmiexec để test thử, mói thứ sẽ hoạt động ok dựa theo mã hashes




Những ví dụ ở đây mang tính chất tìm hiểu sâu hơn về hệ thống để giúp bản thân tiến bộ hơn, nếu là một system admin thì cần nên biết, đôi khi trong công việc cũng cần đến, và lưu ý dám làm và dám chịu trách nhiệm về những gì mình đã làm, tìm hiểu kỹ va tự tin về bản thân :)

Nhãn: Reference