Home
Guacamole - 1.1.0 - bedre og bedre...
For noget tid siden skrev jeg om guacamole, siden da har jeg brugt det en del, og der er kommet nogle gode opdateringer.
Støreste problem, som jeg dog som tekniker kan leve med, var mangle på dansk tastatur i RDP, dette er løst nu, blot husk at sæt det op på connectionen.
Sikkerheds mæssigt, er det nemt at få understøttelse at TOTP -> dvs. en MFA authentication code på min mobil.
Sidst jeg sat det op på en Debian 10 installation,var via guac-install.sh -> https://github.com/MysticRyuujin/guac-install/
Hvis man vælger at benytte "guac-install.sh" scriptet som er nemt og hurtigt, skal man huske at den forventer at man køre det som sudo og gør man det ikke går den i stå da ldconfig ikke kan findes.
Min hurtige workaround som jeg læse mig frem til var at tilføje ALWAYS_SET_PATH yes til /etc/login.defs ( kilde: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=918754)
køre man guac-install.sh --totp , får man fra sekundt 1 af mfa på admin kontoen, og husker man at give de bruger man oprettet lov til at skifte deres eget pw, kommer det også på dem...
En anden ting, er at man kan få NLA til at virke med RDS, dette kræver dog at man udfylder authentication felterne når man opsætter en ny host, til gængæld skal man ikke nedgrader RDP sikkerheden på klienten i baggrunden som jeg gjort i første omgang, laver man ldap integration med guacamole, kan man få det første logon, til at løbe hele vejen igennen, sådan det nærmest bliver dynamisk sso logon, agtigt.
beskrivelse af ldap kan ses her: https://github.com/Zer0CoolX/guacamole-install-rhel/wiki/LDAP-or-LDAPS-Authentication
Den helt korte og hurtige sekvens for at installer guacamole
hent sudo og git ned, det er bland de første commandoer som skal benyttes
apt-get install sudo git
Se at ens bruger er del af sudoers
sudoedit /etc/sudoers
Log ud og ind igen, såfremt man er forbundet via putty
Opret mappe til at køre installationen fra
mkdir -p /usr/src/guacamole/1.1.0
cd /usr/src/guacamole/1.1.0
Hent installationen
git clone https://github.com/MysticRyuujin/guac-install
cd ./guac-install
Se at git har hentet filerne ned
ls -lh
Gør installations scriptet eksikverbar
chmod +x guac-install.sh
Start installatinen, og besvar spørgsmål som kommer, hvilket primært at omkring mysql kodeord.
Sudo ./guac-install.sh --totp
Opleves nedestående fejl, skyldes path ikker er på plads og man ikke har kørt kommandoen som sudo
./guac-install.sh: line 440: ldconfig: command not found
betyder at man ikke har kør det som sudo
ryd op i mappen
rm -rf guacamole-*
rm -rf mysql-connector-java-8.0.19
rm -rf mysql-connector-java-8.0.19.tar.gz
og køre igen, hvor det huskes at benytte sudo
Exim4 - DKIM til flere domainer.
For noget tid siden fik jeg beskyttet mine domainer med Dmarc, en forholdvis let opgave, dog betød dette at jeg begyndte at løbe i nogle udfordringer i forhold til forenings arbejde, hvor vi benytter One.com som maillist distributions knud.
Efter Dmarc var kommet på plads, blev mine email der via mail listen hos One.com skulle videre til "gmail" afvise, jeg kunne sandsynligvis løse dette med at gå fra -all til ~all i min spf record, eller jeg kunne opsætte DKIM, noget jeg har haft planer om i noget tid.
Mit udgangs punkt blev beskrivelsen her: https://www.obstance.com/ubuntu/dkim-on-multiple-domains-with-exim4/ dog med nogle ændringer og naturligvis Exim dokumentationen her: https://www.exim.org/exim-html-current/doc/html/spec_html/ch-dkim_and_spf.html
Jeg benytter 2048 i mine certifiater og jeg benytter ikke default selector.
Step 1) oprette korrekte mapper
mkdir /etc/exim4/dkim
Step 2) opret keys
cd /etc/exim4/dkim
openssl genrsa -out mxbox.dk.pem 2048
openssl rsa -in mxbox.dk.pem -pubout > mxbox.dk.pub
Step 3) sæt korrekt permissions på keys
chown -R Debian-exim:Debian-exim /etc/exim4/dkim/
chmod 640 /etc/exim4/dkim/*
Step 4)
Derefter skal exim config filen ændres, jeg køre med split så hos mig var det
Nano /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
og indsæt i toppen
DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim4/dkim/${lc:${domain:$h_from:}}.pem
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
DKIM_SELECTOR = gw2019
DKIM_CANON = relaxed
Dkim selector er vigtigt at bide mærke i, da dette er den DNS TXT record som det public certificat skal ligges ind i.
Step 5)
Opret txt record. gw2019._domainkey.mxbox.dk
Text: v=DKIM1; p=MIGfMA0GCSqGS....... stregnen fra mxbox.dk.pub certificatet der blev oprettet i step 2)
Step 6)
test DNS opsætningen efter 5 minutter i hos dmarcian: https://dmarcian.com/dkim-inspector/?domain=mxbox.dk&selector=gw2019
det er for at sikre der ikke er nogle typo eller c&p fejl.
Step 7)
opdater exim config. med
update-exim.conf
derefter reload exim
/etc.init.d/exim restart
step 8)
Send en email til f.eks en gratis gmail konto og se at DKIM er blevet valideret korrekt.
echo "This is a123123123" | mail -r This email address is being protected from spambots. You need JavaScript enabled to view it. -s Test23123 This email address is being protected from spambots. You need JavaScript enabled to view it.
Herefter skulle dkim gerne køre korrekt. :-) husk at forny selector nøglen 1 gang årligt ;-)
Ovenstående bør naturligvis løbes igennem for alle de domains en gateways sender emails ud på vegne af.
Guacamole - what ?
Et af mine senste små projekter har være at lave en linux baseret RDS løsnig. JA, linux service som agere som RDS server :-)
Projektet er baseret på Guacamole og projekt sitet findes her: https://guacamole.apache.org/
Det virker super fint, men kræver at man ændre nogle sikkerhed indstillinger på windows 10 før RDP.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
“SecurityLayer” dword 1
“UserAuthentication” dword 0
Kort info om hvad konsekvensen af overnståene ændring giver kan læses her:
https://www.mvps.net/docs/how-to-secure-remote-desktop-rdp/
Ældre RDP kiienter ( windows 7 / server 2008R2 ser udtil at virke ude problemer )
Men ellers Guacamole er en fin lille java web-service hosted på en jboss motor.
Installationen er nem, jeg fulgte blot den samme som findes på debians Wiki : https://wiki.debian.org/Guacamole men brugte seneste pakker på siden.
Login page, hvor brugen godt kan styres fra en ldap f.eks ad i følge dokumentationen.
Efterfølgende kommer man en til landing sted, hvor de maskiner som man har rettigheder til en kan tilgåes fra.
Her under er der en RDP til en windows 10 klient ( jump station) og en ssh til en linux box.
Selve windows 10 logon via browser
og fuld desktop
What not to like ?
Hvis der ikke er mfa på siden, vil jeg nok have at folk skal køre ind igennem nogle "jump" stations, sådan det er 2 sæt credentials som skal crackes før data kan tilgåes.
Mit test har jeg en Haproxy foran, guacamole serveren og et Lets encrypt SSL certificat.
\Setup\Perf\ApaAgentPerfCounters.h. Verify that the file exists and that you can access it
Exchange 2013 CU22 opgrading som bestemt ikke er gået efter bogen...
Egent var det lidt min egenskyld.
1) jeg havde ikke fået holdt serveren opdateret, og lavede derfor en Jump fra en .net 452 understøttende CU til CU22 der understøtter .net 472
2) Hvade overset at C++ 2013 var prereq ( både 32bit og 64 bit )
Ingen af ovenstående ville havde været virkelighed, såfremt at det ikke var en Lille test server, med meget meget lidt data.
Første installations forsøg blev naturligvis stopped af manglende C++ 2013, hvilket jeg løse ved at blot installer C++ 2013 64 bit, og efter en genstart kom installationen igang, schema prep gennemførtes fint, men under "Copy Exchange Files" fik jeg en MSI 1603 - ikke godt.
Efter lidt googling fandt jeg en enkelt anden person som havde haft denne fejl, denne henviste til en eventuelt korrupt installations download, som blev løst ved en redownload.
Dette forsøgte jeg mig også med, kom forsat frem til ovenstående fejl, som I øverigt var total vrøvl, for den file som angives at skulle være fejl at læse fra, var fint til rådighed......
Et request ud på Microsoft Exchange 2013 forum, gav et hint om rootcause kunne være mangle på c++ 2013, jeg havde jo undladt at installere 32bit, så det blev straks forsøgt, men dette løste ikke mit problem.
Gode råd dyre, En server død i en opdatering er sjældent nem at recover, selv om jeg havde exporetet Pst filer, til nødstilfælde ( det er en test exchange server) og lavet alm exchange server backup af databaserne for at få fjernet logfilerne.
Et forsøg var at lave en Procmon trace på installationen, for at se hvad den virkelige fejl var.
Og meget tydeligt Msiexec forventede at der var en file som nedenstående som jo er den som Msiexec meldte fejl på.
Indskyldelse, hvis jeg nu manuel kopierede filen ind i mappen hvad så ??? det blev til handling og installationen forsatte videre, til næste file som kunne løses på sammevis og på denne måde blev hele "Copy exchange files" gennemført med ca 3 - 5 manuelle kopieringer.
Herefter forsat language installationen, og denne fejlede lidt på samme måde, nogle andre filer som skulle kopier til andre placeringe, under sprog mapperne, altid nogle filer til setup\perf\languageID og noglefiler til bin\languageID\Serverroles\common\......
Installation, kørt stille og rolig videre på denne måde.
Tilsidste kom "service delen" hvor den fejlede, da alle services stod som "disabled" og installerend ikke kunne finde udad at ændre disse til automatic, dette håndtede jeg dog manuelt ved at følge installations routinen og manuelt sætte alle services til automatic, hvergang at installeren havde sat dem til "disabled"
Tilsidst sprang exchange igang, og efter en genstart virkede exchange 2013 incl Cu22 igen.
Opgaven er nu at hurtigst muligt få bygget en ny test exchange server og flyttet dertil, jeg stoler bestemt ikke på holdbarheden af den gamle...
----------- Opdatering -----------------
En exchange admin jeg kender via mit tidligere arbejde oplevede det samme som ovenstående en af de seneste dage, dog lykkes det ham at omgå bøvlet ved at installere via et netværks share, om det så er severen selv man mapper, eller en anden node i et DAG betød ikke noget i følge ham
Page 1 of 2