Hope This Helps

Debian 12 - Probleme mit NVIDIA Treiber 590.11.XX

nospam@example.com (Christopher Pope) — Fri, 12 Dec 2025 22:08:00 +0100

Nach einem Update meines Debian 12 Systems auf die aktuellsten Treiber hat nichts mehr funktioniert.
Die Grafik hat zwar funktioniert allerdings wurden meine Input Quellen gestört. Die Tastatur hat komische Zeichen gesendet und es war immer wieder als ob mir jemand die Cursor Tasten zwischen durch drückt. Kurzum ein arbeiten war nicht mehr möglich. Nach meiner Analyse habe ich den aktuellen NVIDIA Treiber als Verursacher ausgemacht.

Zuerst hab ich mal alles runter geworfen das mit nvida zu tun hatte.

sudo apt purge nvidia-*

Um das Problem zu lösen habe ich dann den Treiber auf den 580er Zweig gepinnt, dazu folgende Datei anlegen /etc/apt/preferences.d/nvidia-driver-pin und diesen Inhalt einfügen

# Basic driver packages, includes foreign architectures
Package: src:nvidia-graphics-drivers:any src:nvidia-kmod-open:any
Pin: version 580*
Pin-Priority: 1000

# Basic driver packages, only in the native architectures
Package: src:nvidia-modprobe src:nvidia-persistenced src:nvidia-settings src:nvidia-xconfig
Pin: version 580*
Pin-Priority: 1000

# Meta packages, includes foreign architectures
# cuda-compat, built from cuda-drivers must not be part of the pinning
Package: cuda-drivers* src:nvidia-open:any
Pin: version 580*
Pin-Priority: 1000

# Extra driver packages, only in the native architectures
Package: src:libnvidia-nscq src:libnvsdm src:nvidia-fabricmanager src:nvidia-imex src:nvlink5 src:fabricmanager src:imex
Pin: version 580*
Pin-Priority: 1000

dann die Treiber erneut installieren mit

sudo apt install cuda-drivers

Die Lösung funktioniert nur wenn das NVIDIA Repository eingebunden ist !

Mehr Infos : Nvidia Driver

Powershell to set new DNS Server for DHCP Reservations

nospam@example.com (Ralf Entner) — Fri, 18 Apr 2025 11:14:00 +0200

I have IP reservations in my DHCP server for some clients. In this reservations I set an special DNS server for special name resolution. But now I have to change this IP because the DNS service was moved to a new server with new IP address.
I'm ltry to write a script which will change the DNS entry in all my reservation.

Solution:
I create a CSV file with all IP addresses which should be changed to the new DNS server (easy export from DHCP Server).
The column with the IP addreses in the CSV file needs a heading called "IP" and save the CSV in UTF-8 format with Delimiter ";" (even if we don't need it here).

Script to change the settings with log file

# new IP auf DNS server 
$NewDNS = '192.168.100.100'

# import csv file with all IPs
$IPs = Import-Csv -Path "C:\data\reservations.csv" -Delimiter ";" -Encoding "UTF8"

# write a log file
Start-Transcript -Path "C:\data\Set_New_DHCP_Settings.log"

# loop through all imported IP addresses
foreach ($IP in $IPs){

    # change the OptionId 6 (DNS server) for the IPs
    Write-Host "IP:" $IP.IP "Type:" $IP.Type "- Set new DNS server:" $NewDNS
    Set-DhcpServerv4OptionValue -ReservedIP $IP.IP -OptionId 6 -Value $NewDNS -Verbose
    
}

#Stop log file writing
Stop-Transcript

If you need to change another DHCP Option you can find all OptionIDs here:
iana.org: DHCP and BOOTP Parameters

Block downloading and installing "Malicious Software Removal Tool" via Update

nospam@example.com (Ralf Entner) — Fri, 18 Apr 2025 11:08:00 +0200

I'm looking for a methode to block "Malicious Software Removal Tool" updates from being downloaded and installed when doing Windows Update?

Solution:
You can set the following registry key to prevent downloading and installing MRT at windows update process.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
"DontOfferThroughWUAU"=dword:00000001

You can download and install the MRT manually without problems but via Microsoft Update or WSUS Update the patch will not downloaded.

Debian 12 : Sicheres löschen von Datenträgern

nospam@example.com (Christopher Pope) — Fri, 29 Nov 2024 14:21:00 +0100

Wer unter Debian 12 einen Datenträger sicher löschen will kann hierfür shred verwenden.

mit lsblk kann man sich alle Datenträger anzeigen lassen und dann als root den Löschvorgang starten.

In meinem Fall habe ich den folgenden Befehl genutzt:

shred -vzn 1 /dev/DEVICE

DEVICE ist natürlich duch den Namen der HDD zu ersetzen die mit lsblk ermittelt wurde (z.B. sdd)

Wenn man nicht mit der Konsole arbeiten möchte kann man auch nwipe verwenden. Das dürfte einigen aus der Darin Boot and Nuke Suite bekannt sein. (Fork von dwipe)

The Requested Template is not Supported by this CA (Error 0x80094800)

nospam@example.com (Ralf Entner) — Sun, 20 Oct 2024 11:50:00 +0200

Problem:
Ich hatte vor einigen tagen das Problem, dass ich ein neu erstelltes Zertifikats-Template nicht ausrollen konnte. Immer wenn der Benutzer das Zertifikat angefordert hatte, bekam ich folgende Fehlermeldung:

“The requested certificate template is not supported by the CA. Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy:XXXXXXXXX. CRTSRV_E_UNSUPPORTED_CERT_TYPE”

Ich habe also erneut das Template geprüft und einen Fehler bei den Berechtigungen vermutet. Der Benutzer hatte "Read" und "Enroll" Berechtigung, was eigentlich hättte genügen müssen.

Lösung:
Die Lösung war mal wieder einfach und simpel. Nachdem ich mir ein Default-Template der CA angeschaut hatte, fiel es mir wie Schuppen von den Augen. Es ist zwingend nötig, dass die Gruppe der "Authenticated Users" das Recht "Read" besitzen, damit das Enrollment funktioniert. Es genügt nicht, dass der Benutzer oder die Gruppe die Berechtigung besitzt. Ein ähnliches Thema, wie bei der Sicherheitsfilterung von Gruppenrichtlinien.

Upgrade SQL Server Instances from Eval to Standard

nospam@example.com (Ralf Entner) — Sun, 20 Oct 2024 11:35:00 +0200

The procedure describe the upgrade from SQL eval to SQL Standard edition.

The follwoing tpoics are important before starting the process:
• If you have an volume license you get no key. The Key is in the downloaded ISO hard set.
• The upgrade must be done for every existing SQL instance step-by-step
• The SQL instances will be restartet in the process

ATTENTION: This upgrade can be undone and will restart the upgrading SQL instance.

Check the actually edition on Server -> Evaluation Edition

Download iso file from for Microsoft license portal, mount iso file"Microsoft SQL Server 2022 English x64" to VM and run setup.exe
In the "SQL Server Installation Center" click on "Maintenance" and "Edition Upgrade"

The Edition Upgrade Wizard will start and we have to select the correct license type.
ATTENTION: The product key will be automatically filled from the iso file when we have an volume license SQL server and downloded the iso file from your license portal.

After clicking next we have to accept the EULA

Now we can specify the SQL instance which we would like to upgrade.
IMPORTANT: The upgrade must be done for ALL instances!!

At the first run the wizard will check if the key, license and installed optionals are valid.
HINT: The warning of the downgrade can be ignored because the eval version has more features than the standard edition

Now we can start the upgrade process
ATTENTION: This upgrade can be undone and will restart the upgrading SQL instance.

Database and Agent service will be restarted in this upgrade process
After upgrading we get a summary for the done steps

ATTENTION: This procedure must be done for ALL existing SQL Instances.
New one will automatically created as standard instances.

After upgrading all instances we can check the SQL server edition in the Studio again:

Sources of Information:
Upgrade Microsoft SQL Server Evaluation Edition to Standard/Enterprise | Windows OS Hub (woshub.com)
Upgrade SQL Server from Evaluation Edition to Standard or Enterprise (mssqltips.com)

VMWare: Installationsfehler "Die Microsoft-Software-Lizenzbedingungen wurden nicht gefunden"

nospam@example.com (Ralf Entner) — Sun, 06 Oct 2024 08:50:00 +0200

Problem:
Bei der Installation eines Windows Betreibssystems unter VMWare oder VMWare Workstation kommt es zu folgendem Fehler:

Die Microsoft-Software-Lizenzbedinungen wurden nicht gefunden. Stellen Sie sicher, dass die Installationsquellen gültig sind, und starten Sie die Installation erneut.

Lösung:
Die Lösung ist einfach wie simpel. Windows scheint hier ein Problem mit dem Floppy zu haben. Entfernen Sie das Floppy-Laufwerk in der Hardwareliste der VM und führen Sie die Installation erneut durch. Diese wird nun fehlerfrei durchlaufen.

Activation windows server via KMS Server

nospam@example.com (Ralf Entner) — Fri, 31 May 2024 21:58:00 +0200

First, we must set a generic volume license key on the server. Every server edition has a unique generic key.
Start the command "systeminfo" in a command prompt to see what Server Edition you need:

systeminfo | find "OS"

You find the commands to install the correct keys in the following list.
Install Product Keys
This step is not needed if you have converted the server from eval to standard/datacenter edition because you installed the key at the process of converting.

Please enter the following command depend of your server edition and version in an administrative command prompt.

cscript.exe c:\windows\system32\slmgr.vbs /ipk CB7KF-BWN84-R7R2Y-793K2-8XDDG

Start activation via KMS server
Now activate the windows server edition.

cscript.exe c:\windows\system32\slmgr.vbs /ato

Show KMS activation information
The next command shows you the state of activation.

cscript.exe c:\windows\system32\slmgr.vbs /dli

Convert a MAC key activated server to KMS activation
If a server is already activated with an MAC key looks like this:

cscript.exe c:\windows\system32\slmgr.vbs /dli

You can simply do the same procedure to install the generic key and activate!

Delete an existing MAC key if necessary
If you have trouble to overwrite the existing MAC key, you can delete the existing windows key with this command:

cscript.exe c:\windows\system32\slmgr.vbs /upk

ATTENTION: After this command the windows is not activated!
Now you install and activate the KMS key as descripted above.

Microsoft Source of KMS Keys: Key Management Services-Clientaktivierung (KMS) und Product Keys

Convert Windows Server Evaluation to Standard/Datacenter Edition

nospam@example.com (Ralf Entner) — Fri, 31 May 2024 10:33:00 +0200

Problem:
You want to convert your windows server evaluation edition to a standard or datacenter edition.

Solution:
Before we can activate the server via KMS or MAC we need to convert the evaluation edition into an standard or datacenter.

Check the current Edition

DISM /online /Get-CurrentEdition

Here you see the server edition. If it is an ServerXXXEval you must convert the server edition into standard or datacenter

Check the possible target editions

To check the possible target edition, you can execute the next command:

DISM /online /Get-TargetEditions

Convert the eval to standard or datacenter edition

ATTENTION: The next step will need an intermediate reboot of the server!!
Now you can convert your evaluation edition to the target edition with the command below:

Standard:

DISM /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Datacenter

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

For the product key please use the generic volume license keys from the table below. With this keys you can also activate the server via KMS. If you have MAC Keys please use this keys for converting.

Server 2025 Standard TVRH6-WHNXV-R9WG3-9XRFY-MY832
Server 2025 Datacenter D764K-2NDRG-47T6Q-P8T8W-YP6DF
Server 2022 Standard VDYBN-27WPP-V4HQT-9VMD4-VMK7H
Server 2022 Datacenter WX4NM-KYWYW-QJJR4-XV3QB-6VM33
Server 2019 Standard N69G4-B89J2-4G8F4-WWYCC-J464C
Server 2019 Datacenter WMDGN-G9PQG-XVVXX-R3X43-63DFG
Server 2016 Standard WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Server 2016 Datacenter CB7KF-BWN84-R7R2Y-793K2-8XDDG

VMWare Workstation: Netapp Simulator hängt scheinbar beim Booten

nospam@example.com (Ralf Entner) — Sun, 19 May 2024 10:34:00 +0200

Problem
Nach der initialen Einrichtung des Netapp Simulators unter VMWare ESX oder VMWare Workstation scheint das ONTAP beim Starten stehen zu bleiben. Nach einigen Minuten ist der Node oder Cluster aber per SSH und HTTPS erreichbar.

Lösung
Leider handelt es sich hier um einen BUG, der nicht gefixt wird (weder VMWare noch Netapp).
Entweder man ignoriert das Verhalten, da der Cluster bzw. Node nach der Bootvorgang ganz normal erreichbar ist, oder man kann im VLOADER anpassen, damit die Anzeige korrekt ist. Das ist vor allem im Fehlerfall hilfreich!
Die Anpassung muss aber JEDES MAL gemacht werden und ist nicht persistent:

- Bootvorgang des Nodes am Anfang (Countdown) mit einer non-Enter-Taste unterbrechen.
- Der Prompt "VLOADER>" wird angezeigt
- Hier den Befehl "setenv screen.textmode 1" eingbene
- Bootvorgang mit dem Befehl "boot_ontap" starten
- Die Anzeige ist nun korrekt und der Bootvorgang wird vollständig angezeigt

Quelle:
ONTAP Select node 9.13.1 appears to hang during boot

VirtualBox: Set DmiSystemVendor Installation ROK Datenträger Windows

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 15:28:00 +0200

Problem:
Wir wollten einen physikalischen Server inkl. Applikation auf einen virtuell Server umziehen und from scratch neu installieren (kein P2V). Hierzu mussten wir die originalen Installationsmedien des Herstellers verwenden, da es sich um eine ROK-Lizenzen gehandelt. Bei der Installation in einer VM unter VirtualBox kam der Hinweis, dass das installationsmedium Vendor branded ist und die Installation bricht ab.

Lösung:
Man kann der VM unter VirtualBox einen Vendor BIOS Tag mitgeben, damit die Installation funktioniert. Das konnten wir bei Fujitsu und HP sauber abbilden.

Folgende Befehle haben hier den Vendor im BIOS gesetzt:

Fujitsu

VBoxManage setextradata "Analysis" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemVendor"      "FUJITSU"
VBoxManage setextradata "Analysis" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVendor"        "FUJITSU // Phoenix Technologies Ltd."

VBoxManage setextradata "VM Name" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVendor" "HP"
VBoxManage setextradata "VM Name" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemVendor" "HP"

Ein überblick aller Befehle findet man hier: Configuring the BIOS DMI Information

Powershell: Unpin App from Taskbar

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 15:21:00 +0200

Problem:
Ich habe nach einer Möglichkeit gesucht den Internet Explorer von der Taskleiste auf unseren Terminalservern zu entfernen und den Edge dafür zu setzen. Die Ernüchterung war, dass Unpin funktioniert, aber Pin nicht mehr unterstützt wird. Somit konnte ich zumindest den Internet Explorer von der Taskleiste entfernen.

Unpin App from Tasskbar

Deutsches OS

$appname = "Internet Explorer"
((New-Object -Com Shell.Application).NameSpace('shell:::{4234d49b-0245-4df3-b780-3893943456e1}').Items() | ?{$_.Name -eq $appname}).Verbs() | ?{$_.Name.replace('&','') -match 'Von Taskleiste lösen'} | %{$_.DoIt(); $exec = $true}

Englisches OS

$appname = "Internet Explorer"
((New-Object -Com Shell.Application).NameSpace('shell:::{4234d49b-0245-4df3-b780-3893943456e1}').Items() | ?{$_.Name -eq $appname}).Verbs() | ?{$_.Name.replace('&','') -match 'Unpin from taskbar'} | %{$_.DoIt(); $exec = $true}

Set NTFS Permissions via Powershell

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 14:11:00 +0200

Für die Migration eines Fileservers musste ich die NTFS-Berechtigungen neu setzen. Da mir die manuelle Berechtigung zu umständlich war, wollte ich das per Powershell durchführen. Die Berechtigung ist nicht ganz einfach zu setzen und auch nicht gleich verständlich. Hier ein Skript, welches ich verwendet habe um die entsprechenden Berechtigungen zu setzen. darin sind auch einige Ausführungen beinhaltet.

Eine sehr gute Übersicht wie ACLs zu setzen sind, findet man hier:
blue42: Changing NTFS Security Permissions using PowerShell

<# 
.NAME
    Set-NTFSPermissions.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script set NTFS permissions for a folder.

.DESCRIPTION 
    Script set NTFS permissions for a folder. 
    It will get the original acces controll list (ACL), adds the permissions, remove inhitered permissions and save the new ACL.
 
.NOTES 

.COMPONENT 
    No powershell modules needed

.LINK 
    https://blue42.net/windows/changing-ntfs-security-permissions-using-powershell/#propagation-flags
 
.Parameter ParameterName 

#>


# Folder
$Folder = "C:\Data\Produktion"

# Get ACL From Folder
$acl = Get-Acl -Path $Folder

# Generate access tokens

# 1: group (with domain part)
# 2: permission
# 3: inheritance flag
# 4: propagation flag
# 5: allow or deny permission
# For flags 3 and 4 look at: https://blue42.net/windows/changing-ntfs-security-permissions-using-powershell/#propagation-flags

$mdRule = New-Object System.Security.AccessControl.FileSystemAccessRule("acme\FS_Produktion_M","Modify","ContainerInherit,ObjectInherit","None","Allow")
$roRule = New-Object System.Security.AccessControl.FileSystemAccessRule("acme\FS_Produktion_R","ReadAndExecute","ContainerInherit,ObjectInherit","None","Allow")

# Disable/Enable inheritance (keep or delete inherited permissions)
# The first $true says we are blocking inheritance from the parent folder. The second parameter $false removes the current inherited permissions.
# OPTION 1: Block inheritance, keep inherited permissions and add the new
$acl.SetAccessRuleProtection($true, $true)

# OPTION 2: Block inheritance, remove inherited permissions and set only new
$acl.SetAccessRuleProtection($true, $false)

# Add Modify Rule to ACL Object
$acl.SetAccessRule($mdRule)
$acl.SetAccessRule($roRule)

# Save ACL-object to folder
Set-Acl -Path $folder -AclObject $acl

Powershell S/MIME Certificat Exporter

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 13:55:00 +0200

Ich habe ein Skript benötigt, welches S/MIME Verschlüsselungs-Zertifikate exportiert um diese für eine Client-Migration zu erhalten. Das Skript setzt voraus, dass der S/MIME Private Key exportiertbar ist. Wenn das nicht gegeben ist, dann kann das Zertifikat nur noch an der CA mittels Key Recovery Agent (falls konfiguriert) oder Mimikaz wiederhergestellt werden.

Es kann auch sein, dass die Suchroutine nach dem richtigen Zertifikat angepasst werden muss, je nachdem was man als Key Usage für das S/MIME-Zertifikat hinterlegt hat.

Um des Export möglichst einfach für Endbenutzer zu machen, habe ich hierzu auch eine GUI außenherum gebaut.

<#
.SYNOPSIS
    This script exports an S/MIME certificate with a private key and sends it as an email attachment.
.DESCRIPTION
    This script prompts the user to select an S/MIME certificate, exports it with the private key to a PFX file,
    and then sends an email with the exported PFX file as an attachment. The user is prompted to enter a password
    for the private key. After sending the email, the script deletes the PFX file.
.NOTES
    File Name: Export-SMIMECertificate.ps1
    Author   : Ralf Entner
    Date     : 2024-03-24

    Version History:
    1.0 - [2024-03-24] - Initial version.
    1.1 - [2024-04-01] - Only certificate for Encryption and language specific settings 

    Prerequisites:
    - This script requires Windows PowerShell.
    - The user running the script must have permission to access the S/MIME certificate.
    - The script relies on the user having access to Outlook for sending emails.
    - The user must enter a password for certificate export
#>

Add-Type -AssemblyName System.Windows.Forms
Add-Type -AssemblyName System.Drawing

# Create a new instance of Windows Form
$form = New-Object System.Windows.Forms.Form
$form.Text = "S/MIME Certificate Exporter"
$form.Size = New-Object System.Drawing.Size(500,300)
$form.StartPosition = "CenterScreen"

# Create a label for certificate selection
$labelCert = New-Object System.Windows.Forms.Label
$labelCert.Location = New-Object System.Drawing.Point(10,20)
$labelCert.Size = New-Object System.Drawing.Size(460,20)
$labelCert.Text = "Select the S/MIME certificate to export:"
$form.Controls.Add($labelCert)

# Create a dropdown list (ComboBox) for certificates
$comboBoxCert = New-Object System.Windows.Forms.ComboBox
$comboBoxCert.Location = New-Object System.Drawing.Point(10,40)
$comboBoxCert.Size = New-Object System.Drawing.Size(460,20)
$form.Controls.Add($comboBoxCert)

# Create a label for password
$labelPass = New-Object System.Windows.Forms.Label
$labelPass.Location = New-Object System.Drawing.Point(10,80)
$labelPass.Size = New-Object System.Drawing.Size(460,20)
$labelPass.Text = "Enter password for private key:"
$form.Controls.Add($labelPass)

# Create a textbox for password
$textBoxPass = New-Object System.Windows.Forms.TextBox
$textBoxPass.Location = New-Object System.Drawing.Point(10,100)
$textBoxPass.Size = New-Object System.Drawing.Size(460,20)
$textBoxPass.PasswordChar = "*"
$form.Controls.Add($textBoxPass)

# Get OS language for certificate oid friendly name

if((Get-WinSystemLocale).Name -eq "de-dE"){

    $OIDFriendlyName = 'Schlüsselverwendung'

} else{

    $OIDFriendlyName = 'KeyUsage'

}

# Get certificates for "secure email configuration"
$certificates = Get-ChildItem -Path cert:\CurrentUser\My | ?{$_.EnhancedKeyUsageList -like "*1.3.6.1.5.5.7.3.4*"}
# Get only certificates for de/encryption
$certificates = $certificates | Where-Object{ $_.Extensions | Where-Object{ ($_.Oid.FriendlyName -eq $OIDFriendlyName ) -and ($_.Format(0) -like "*(20)*") }}

# Populate the ComboBox with S/MIME certificate subjects
foreach ($cert in $certificates) {
    $comboBoxCert.Items.Add($cert.Thumbprint)
}

# Create an export button
$buttonExport = New-Object System.Windows.Forms.Button
$buttonExport.Location = New-Object System.Drawing.Point(150,140)
$buttonExport.Size = New-Object System.Drawing.Size(200,60)
$buttonExport.Text = "Send S/MIME Certificate via Outlook Mail"
$buttonExport.Add_Click({
    $selectedThumbprint = $comboBoxCert.SelectedItem
    if ([string]::IsNullOrWhiteSpace($selectedThumbprint)) {
        [System.Windows.Forms.MessageBox]::Show("Please select your S/MIME certificate.", "Error", 
        [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Error)
        return
    }

    # Get the selected certificate
    $cert = $certificates | Where-Object {$_.Thumbprint -eq $selectedThumbprint}

    # Export the S/MIME certificate with private key
    $exportPath = $env:TEMP + "\"+ $cert.Thumbprint + ".pfx"
    $password = $textBoxPass.Text

    if ([string]::IsNullOrWhiteSpace($password)) {
        [System.Windows.Forms.MessageBox]::Show("Please enter a password for the certificate.", "Error", 
        [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Error)
        return
    }

    try {
        Export-PfxCertificate -Cert $cert -FilePath $exportPath -Password (ConvertTo-SecureString -String $password -AsPlainText -Force)
        [System.Windows.Forms.MessageBox]::Show("S/MIME Certificate exported successfully.", "Success", 
        [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Information)
    } catch {
        [System.Windows.Forms.MessageBox]::Show("Error exporting S/MIME certificate with private key: $_", "Error",
        [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Error)
        return
    }

    # Create a new Outlook application object
    $outlook = New-Object -ComObject Outlook.Application

    # Create a new mail item
    $mail = $outlook.CreateItem(0)

    # Set email properties
    $mail.Subject = "S/MIME Certificate"
    $mail.Body = "Please find the S/MIME certificate attached."

    # Attach the certificate file
    $attachment = $exportPath
    $mail.Attachments.Add($attachment)

    # Display the mail item
    $mail.Display()

    # Delete the PFX file after sending the email
    Remove-Item -Path $attachment -Force

})
$form.Controls.Add($buttonExport)

# Show the form
$form.ShowDialog() | Out-Null

Printserver Migration Part #4: Import Printer and Settings

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 12:44:00 +0200

Ich stelle hier ein paar Skripte zur Verfügung, welche einem die Migration eines Printservers etwas vereinfachten. Selbstverständlich kann man das auch mir Printmig oder anderen Tools durchführen. Ich wollte meinen neuen Printserver from scratch neu installieren, daher der etwas andere Weg. Die Migration wird in vier Teile erfolgen:

Part #1: Export TCP- und LPR-Ports
Part #2: Export Drucker mit allen Settings in eine XML-Datei
Part #3: Import TCP- und LPR-Ports
Part #4: Import aller Drucker mit allen Settings

WICHTIG: Vor dem nächsten schritt müssen erst alle nötigen Druckertreiber installiert werden. Sollte sich der Name oder die Version der Druckertreiber ändern, dann müssen diese vorher in der exportierten CSV-Datei angepasst werden.
Nachdem die Druckertreiber installiert wurden, kann man mit einem Get-PrinterDriver dir Druckertreiber anzeigen lassen. Hier findet man unter dem Punkt "Name" den Namen, welcher in der CSV entsprechend ausgetauscht werden muss. Sollte der Name nicht übereinstimmen, dann erhält man einen Fehler bei der Erstellung des Druckers, dass der Treiber nicht gefunden wurde. Nachdem dir Treiber installiert sind und die CSV ggf. angepasst wurde, können dir Drucker nun per Powershell erstellt werden (inkl. Konfiguration aus der XML).
Hinweis: Es hat sich gezeigt, dass Etikettendrucker nochmals gesondert geprüft werden müssen, da manche Informationen nicht im Windows-Treiber gespeichert wird (Druckkopf-Konfiguration).
Außerdem benötigt die Erstellung von Druckern, welche offline sind, ca. 1 Minute (TCP-Timeout).

Create-Printers_from_CSV.ps1

<# 
.NAME
    Create-Printers_from_CSV.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script creates all printers from a csv file. Config will be restored by import xml file.

.DESCRIPTION 
    Script creates all printers with all settings from a csv and xml file.
    With the testmode $true you can run the script without any changes. It will only show whatif
    A log file will be created
 
.NOTES 
    You have to install the printer drivers on the system before you run the script.
    printer driver names must be changed in the csv file if it differs from the original names.
    If the pritner is offline the creation will take approximal 1 mintue.

.COMPONENT 
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define export path of the csv file
    $Testmode - Defines testmode: $true = test | $false = live
    $Logpath - Path for log file
#>

#Testmode ($true = active | $false = inactive)
$Testmode = $false

# CSV Import path
$CSVPath = "C:\tgswinv\Printmig\Printers.csv"

# XML import path
$XMLPath = "C:\tgswinv\Printmig\"

# Log File
$Logpath = "C:\tgswinv\Printmig\CreatePrinter.log"

#Start transciption 
Start-Transcript -Path $Logpath -Append

# Import Printers
$Printers = Import-Csv -Path $CSVPath -Delimiter ";"



foreach($Printer in $Printers){

    if(!(Get-Printer -Name $Printer.Name -ErrorAction SilentlyContinue))
    {
        Write-Host "Generating new pritner" $Printer.Name -ForegroundColor Green
        # If port not exists create a new one with parameters from csv import
        Add-Printer -Name $Printer.Name -PortName $Printer.Portname -DriverName $Printer.Drivername -Location $Printer.Location -Comment $Printer.Comment -WhatIf:$Testmode
        Start-Sleep -Seconds 2

        Write-Host "Import printer configuration from xml" $Printer.Name -ForegroundColor Green
        # If port not exists create a new one with parameters from csv import
        # Generate printer configuration path to xml file
        $XMLConfigFile = $XMLPath + $Printer.Name + ".xml"
        # Import printer configuration from xml file
        $XMLConfig = Get-Content $XMLConfigFile | Out-String
        # Set printer configuration from xml file
        Set-PrintConfiguration -PrinterName $Printer.Name -PrintTicketXml $XMLConfig -WhatIf:$Testmode
    }
}

Stop-Transcript

Printserver Migration Part #3: Import TCP- und LPR-Ports

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 12:33:00 +0200

Part #1: Export TCP- und LPR-Ports
Part #2: Export Drucker mit allen Settings in eine XML-Datei
Part #3: Import TCP- und LPR-Ports
Part #4: Import aller Drucker mit allen Settings

Part #3: Import TCP- und LPR-Ports
Jetzt können wir die TCP- und LPR-Ports auf dem neuen Printserver erstellen lassen.
Auch hier gibt es wieder zwei Skripte, da TCP-Ports anders erzeugt werden als LPD-Ports.
ACHTUNG: Vor der Erstellung der LPR-Ports muss der LPD-Service erst über den Servermanager installiert werden, damit der LPR-Porttype zur Verfügung steht.
TIPP: Sollten die Namen oder die IPs der Ports geändert werden, dann bitte vorher in der CSV anpassen!

Create-Printerports_TCP_from_CSV.ps1

<# 
.NAME
    Create-Printerports_TCP_from_CSV.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script creates all TCP Printer Ports from a csv file.

.DESCRIPTION 
    Script creates all TCP Printer Ports with all settings from a csv file. In the csv file there are address, port number and smtp settings.
 
.NOTES 
    With the testmode $true you can run the script without any changes. It will only show whatif

.COMPONENT 
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define import path of the csv file
    $Testmode - Defines testmode: $true = test | $false = live
#>

$CSVPath = "C:\tgswinv\Printmig\PortsTCP.csv"
$Testmode = $false

# Import CSV with Port Informations
$PrinterPorts = Import-CSV -Path $CSVPath -Delimiter ";"

# Loop through 
Foreach($Port in $PrinterPorts){

Write-Host "Creating Printerport $Name"

# Check if Printerport already exists
if(!(Get-PrinterPort -Name $Port.Name -ErrorAction SilentlyContinue))
    {
        Add-PrinterPort -Name $Port.Name -PrinterHostAddress $Port.PrinterHostAddress -PortNumber $Port.Portnumber -SNMPCommunity $Port.SNMPCommunity -SNMP $true -WhatIf:$Testmode
    }
}

Create-Printerports_LPR_from_CSV.ps1

<# 
.NAME
    Create-Printerports_LPR_from_CSV.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script creates all LPR Printer Ports from a csv file.

.DESCRIPTION 
    Script creates all LPR Printer Ports with all settings from a csv file.
    In the csv file there are name, protocol, port nubmer and printer host address.
 
.NOTES 
    With the testmode $true you can run the script without any changes. It will only show whatif

.COMPONENT 
    ATTENTION: You have to install the LPR printer monitor before you add the ports!
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define import path of the csv file
    $Testmode - Defines testmode: $true = test | $false = live
#>

$CSVPath = "C:\tgswinv\Printmig\PortsLPR.csv"
$Testmode = $false

# Import CSV with Port Informations
$PrinterPorts = Import-CSV -Path $CSVPath -Delimiter ";"

# Loop through 
Foreach($Port in $PrinterPorts){

Write-Host "Creating Printerport "$Port.Name

# Check if Printerport already exists
if(!(Get-PrinterPort -Name $Port.Name -ErrorAction SilentlyContinue))
    {
        #Add-PrinterPort -Name $Port.PrinterName -PrinterHostAddress $Port.hostname -WhatIf:$Testmode
        Add-PrinterPort -PrinterName $Port.Printername -HostName $port.Hostname   -WhatIf:$Testmode
    }
}

Printserver Migration Part #2: Export Printer and Printer Settings

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 12:22:00 +0200

Part #1: Export TCP- und LPR-Ports
Part #2: Export Drucker mit allen Settings in eine XML-Datei
Part #3: Import TCP- und LPR-Ports
Part #4: Import aller Drucker mit allen Settings

Part #2: Export Drucker mit allen Settings in eine XML-Datei
Mit dem nachfolgenden Skript erfolgt der Export aller installierten Drucker, welche Netzwerkdrucker sind. Es wird eine CSV mit den grundlegenden Druckerinformationen erstellt. Außerdem wird für jeden Drucker die Konfiguration in eine XML-Datei exportiert, welche die komplette Konfiguration der Schächte und Papierquellen etc. enthält. Mit diesen Informationen können später die Drucker vollständig auf dem neuen Server wiederhergestellt werden.

Export-Printer_and_Printerconfiguration.ps1

<# 
.NAME
    Export-Printer_and_Printerconfiguration.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script exports all network printers and printer settings.

.DESCRIPTION 
    Script exports all network Printers with all settings to a single csv file.
    The printer configurations are also exported in a xml file for each printer name (printername.xml)
    The export includes name, shared name, port name, driver name, location, comment und publishing information.

.NOTES 
    The script exports only network printers.

.COMPONENT 
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define export path of the csv file
    $XMLPath - Define export path of xml file for each printer configuration
#>
# Export CSV path
$CSVPath = "C:\Printmig\Printers.csv"
$XMLPath = "C:\Printmig\"

# Get all printers and informtaions
$Printers = Get-Printer | ?{$_.PortName -ne "PORTPROMPT:"} | select Name, ShareName, PortName, DriverName, Location, Comment, Published, Shared

# Export Printers to csv
$Printers | Export-Csv -Path $CSVPath -Delimiter ";" -Encoding UTF8 -NoTypeInformation

Foreach ($Printer in $Printers){

    #Exportpaht for XML

    $XMLFilePath = $XMLPath + $Printer.Name + ".xml"

    # Export PrinterConfiguration to XML
    $GPC = get-printconfiguration -PrinterName $Printer.Name
    $GPC.PrintTicketXML | out-file $XMLFilePath
}

Printserver Migration Part #1: Export TCP- und LPR-Ports

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 12:13:00 +0200

Part #1: Export TCP- und LPR-Ports
Part #2: Export Drucker mit allen Settings in eine XML-Datei
Part #3: Import TCP- und LPR-Ports
Part #4: Import aller Drucker mit allen Settings

Part #1: Export TCP- und LPR-Ports
Für den späteren Import der zwei Port-Typen werden unterschiedliche Informationen benötigt, daher habe ich hierfür zwei Skripte erstellt, welche die Konfigurationen exportieren:

Export-PrinterPorts_TCP_to_CSV.ps1

<# 
.NAME
    Export-PrinterPorts_TCP_to_CSV.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script exports all TCP Printer Ports to a csv file.

.DESCRIPTION 
    Script exports all TCP Printer Ports with all settings to a csv file. In the csv file there are address, port number and smtp settings.
 
.NOTES 
    The script exports only TCP Ports, not LPR Ports (see other script).

.COMPONENT 
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define export path of the csv file
#>

# Export CSV path
$CSVPath = "C:\Printmig\PortsTCP.csv"

# Get Printerports with all nessesary informations
$Printerports = Get-PrinterPort | ?{$_.Description -like "*TCP*"} | select Name, PrinterHostAddress, PortNumber, SNMPCommunity, SNMPEnabled 

#Export informations to CSV
$Printerports | Export-Csv -Path $CSVPath -Delimiter ";" -Encoding UTF8 -NoTypeInformation

Export-PrinterPorts_LPR_to_CSV.ps1

<# 
.NAME
    Export-PrinterPorts_LPR_to_CSV.ps1

.AUTHOR
    Ralf Entner

.SYNOPSIS
    Script exports all LPR Printer Ports to a csv file.

.DESCRIPTION 
    Script exports all LPR Printer Ports with all settings to a csv file. In the csv file there are name, protocol, port nubmer and printer host address.
 
.NOTES 
    The script exports only LPR Ports, not TCP Ports (see other script).

.COMPONENT 
    No powershell modules needed

.LINK 
    No Links
 
.Parameter ParameterName 
    $CSVPath - Define export path of the csv file
#>
# Export CSV path
$CSVPath = "C:\Printmig\PortsLPR.csv"

# Get Printerports with all nessesary informations
$Printerports = Get-PrinterPort | ?{$_.PortMonitor -eq "LPR Port"} | Select-Object Name, Protocol, PortNumber, PrinterHostAddress

#Export informations to CSV
$Printerports | Export-Csv -Path $CSVPath -Delimiter ";" -Encoding UTF8 -NoTypeInformation

Microsoft VAMT: The specified product key is invalid or is unsupported

nospam@example.com (Ralf Entner) — Sun, 05 May 2024 11:48:00 +0200

Problem
Ich habe einen KMS Server aufgesetzt und das Volume Activation Management Tool (VAMT) installiert um die Produkt Keys zu aktivieren. Dabei konnte ich die Server 2019 Keys nicht hinzufügen. Server 2016 und Server 2022 haben problemlos funktioniert. Beim Server 2019 habe ich immer die folgende Fehlermeldung erhalten:

The specified product key is invalid or is unspported by this version of VAMT.
An update to support additional products may be available online.

Ursache
Nach einiger Internetsuche bin ich auf ähnliche Einträge mit anderen Windows Versionen gestoßen. Scheinbar kann das VAMT den Schlüssel nicht korrekt identifizieren. Die Identifikation erfolgt über die pkconfig Files im Ordner
C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\VAMT3\pkconfig
auf dem VAMT Server.

Lösung
Nach etwas Recherche hat sich gezeigt, dass diese Dateien auch auf den jeweiligen Server-/Client-Betriebssystemen existieren. Diese findet man unter C:\Windows\System32\spp\tokens\pkeyconfig
Hier geht es um die dort befindliche Datei pkeyconfig-csvlk.xrm-ms
Diese ist auf dem VAMT-Server auch bereits vorhanden. Die Lösung sieht nun wie folgt aus:
- Datei pkeyconfig-csvlk.xrm-ms auf dem VAMT-Server umbenennen
- Datei vom zu aktivierenden OS in das Verzeichnis kopieren (in meinem Fall von einem Server 2019)
- VAMT starten und Produkt Key eintragen
- VAMT schließen und originale Datei pkeyconfig-csvlk.xrm-ms auf dem VAMT-Server wieder umbenennen

Ich habe das Problem nicht bei Mircrosoft identifizieren können. Es gab scheinbar beim Server 2012 R2 schon mal das Problem. Dieser Artikel hat mich zumindest auf die richtige Spur gebracht.

Quelle: Microsoft Learn: VAMT known issues

xz-utils supply-chain attack : Scan nach Versionen

nospam@example.com (Christopher Pope) — Sat, 30 Mar 2024 00:40:00 +0100

Leider wurde heute ein cve für die xz-utils veröffentlicht. Hier wurde eine supply-chain attack durchgeführt und schadhafter Code eingeschleust.
https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

Ich hab dann meine Server durch gescannt nach verwundbaren Versionen. Hier das ansible-playbook dazu.

---
- name: Scan for xz-utils and output Version
  hosts: all
  become: true
  gather_facts: true
  tasks:
    - name: Get Packages
      ansible.builtin.package_facts:
        manager: apt
      register: packages
    - name: scan for xz-utils
      ansible.builtin.set_fact:
        xz_ver: "{{ packages.ansible_facts.packages['xz-utils'][0].version }}"
    - name: ouput Package Version
      ansible.builtin.debug: 
        var: xz_ver

Der Output sieht dann so aus :

TASK [ouput Package Version] ******************
 ok: [HOSTNAME] => { "xz_ver": "5.4.1-0.2" }
 ...

Links:
https://www.tenable.com/cve/CVE-2024-3094
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Proxmox 8 : Clusternode hat graues Ausrufezeichen

nospam@example.com (Christopher Pope) — Fri, 29 Mar 2024 17:24:00 +0100

Manchmal kann es vorkommen das unter Proxmox ein Node nur ein graues Ausrufezeichen zeigt. Das ist meistens auf einen Fehler mit dem Storage zurückzuführen. In meinem Fall hatte ich testweise den Proxmox Backup Server virtualisiert, das Storage kann dann beim booten nicht verbunden werden und sorgt für einen Fehler, daraus resultiert das graue Ausrufezeichen.

Ein Neustart des Dienstes pvestatd auf dem betroffenen Node hat den Fehler behoben und der Node wurde grün

systemctl restart pvestatd.service

Debian 12 : ssh absichern mit port knocking

nospam@example.com (Christopher Pope) — Wed, 30 Aug 2023 00:50:00 +0200

Eins Vorweg Port Knocking ist kein 100% Schutz für den ssh Dienst , eine saubere Konfiguration ist notwendig. Was man aber damit erreicht ist das Portscanner diesen Port als nicht offen sehen. Somit hat man schon mal einen Teil der Angriffe weggefiltert. Hat der Angreifer jedoch die Möglichkeit den Traffic zwischen Client und Server mitzuschneiden kommt er früher oder später auf die Sequenz und kann den Port öffnen.

Verwendet hier keine fortlaufende Ports und mischt am besten die Protokolle.Wenn ein Portscan auf den Server ausgeführt wird ist sonst die Gefahr zu groß das durch Zufall die Sequenz getroffen wird.

Ich habe das einfach mal aus Interesse eingerichtet und getestet, und es funktioniert

Installation von knockd (Server und Client)

apt install knockd

Installation von iptables (Server)

apt install iptables iptables-persistent

Konfiguration des knockd (Server)

Die Konfiguration des knock Daemon (knockd) wird in der Datei /etc/knockd.conf und /etc/default/knockd durchgeführt.

In der Datei /etc/default/knockd ändern wir die Startart und definieren die KNOCKD_OPTS.

...
START_KNOCKD=1
KNOCKD_OPTS="-i enp0s3"

enp0s3 ist hier der Networkinterface Name.
START_KNOCKD=1 sorgt dafür das der Daemon beim Systemstart mit gestartet wird.

Jetzt kümmern wir uns um die Datei /etc/knockd.conf und schließen die Konfiguration ab.

[options]
        logfile = /var/log/knockd.log

[openSSH]
        sequence    = 8000,7000,9000,2123:udp
        seq_timeout = 5
        command     = /usr/sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,7000,8000,2123:udp
        seq_timeout = 5
        command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

Alle Konfigurationsmöglichkeiten kann man sich mit man knockd anschauen (und es gibt viele). Für das Beispiel hier verwende ich eine rudimentäre Konfiguration. Die Ports die unter Sequenz (sequence) angegeben sind muss man nacheinander "anklopfen" dann wird das command ausgeführt. Hier sieht man das iptables den Client auf den SSH Port freigibt. Und eben wieder entfernt wenn die Sequenz für closeSSH übergeben wird.
Nachdem die Konfiguration abgeschlossen ist muss der Dienst aktiviert und gestartet werden.

systemctl enable knockd && systemctl start knockd

Jetzt bereiten wir die Firewall für den Einsatz vor. Hiermit erstellen wir eine Regel das vorhandene Verbindungen nicht getrennt werden

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

in der folgenden Regel verbieten wir die Connection auf den Port 22

iptables -A INPUT -p tcp --destination-port 22 -j DROP

jetzt wird das ganze noch gespeichert das es einen reboot überlebt

iptables-save > /etc/iptables/rules.v4

Wenn ihr euch jetzt den Server einmal mit nmap anschaut, natürlich von einem anderen Client, ist der Port geschlossen.

Ruft man jetzt knock auf dem Client mit der richtigen Sequenz auf wird der Port geöffnet

knock SERVERIP 8000 7000 9000 2123:udp

das kann man auch wieder schön mit nmap ermitteln.

Im Logfile von knockd sieht das ganze dann so aus. Im ersten Block wurde die Sequenz richtig angegeben und somit der Client zugelassen. Im zweiten Block wurde die Sequenz richtig angegeben und der Port wurde wieder geschlossen.

Überprüfen von EoL (End of Life) Software

nospam@example.com (Christopher Pope) — Sat, 26 Aug 2023 01:14:00 +0200

Ich werde öfter in meinem Job gefragt wie ich so schnell das Datum einer Software ermittele die EoL ist. Naja in vielen Fällen ist es ein curl auf die API von https://endoflife.date/. Möchte ich mir z.B. alle .NET Versionen anzeigen lassen (;) greetz an JH) dann geht das mit diesem curl Aufruf

curl --request GET -s --url https://endoflife.date/api/dotnet.json --header 'Accept: application/json' | jq

der Output liefert mit dann alle .NET Versionen mit den benötigten Versionen.

Das Projekt ist natürlich nur so gut wie die Contributors , Bock mit zu machen ? hier gehts zum Github https://github.com/endoflife-date/endoflife.date/

Debian 12 : System Härten - Allgemein

nospam@example.com (Christopher Pope) — Sat, 26 Aug 2023 00:52:00 +0200

Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an

sudo sysctl -a > /tmp/default_sysctl.txt

dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.
Die Erklärung zu den jeweiligen Konfiguration kann unter dem Link in der Quellenangabe nachgelesen werden.

Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.

kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
kernel.unprivileged_bpf_disabled=1
net.core.bpf_jit_harden=2
dev.tty.ldisc_autoload=0
vm.unprivileged_userfaultfd=0
kernel.kexec_load_disabled = 1
kernel.sysrq=4
kernel.unprivileged_userns_clone=0
kernel.perf_event_paranoid = 3
kernel.yama.ptrace_scope=2
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
fs.protected_symlinks=1
fs.protected_hardlinks=1
fs.protected_fifos=2
fs.protected_regular=2

Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit

service procps force-reload

sofort einlesen.
Quelle :
https://www.kernel.org/doc/html/latest/admin-guide/sysctl/

Debian 12 : System Härten - Netzwerk

nospam@example.com (Christopher Pope) — Fri, 25 Aug 2023 23:51:00 +0200

Über Kernelparameter kann die Sicherheit des Systems noch etwas verbessert werden.

Wichtig ist das die Einstellungen zu der eingesetzten Software passen !
Ein OpenVPN Server z.B. würde mit den folgenden Einstellungen nicht laufen. Ein Apache Webserver hingegen schon.

Erstmal legen wir uns ein Backup der Default Config an

sudo sysctl -a > /tmp/default_sysctl.txt

dann legt man diese Datei an (sollte sie nicht bereits existieren) /etc/sysctl.d/98_ip.conf und fügt diese Zeilen ein.

net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.default.secure_redirects=0
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv6.conf.all.forwarding=0
net.ipv6.conf.all.accept_source_route=0
net.ipv6.conf.default.accept_source_route=0
net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0
net.ipv6.conf.all.accept_ra=1
net.ipv6.conf.default.accept_ra=1

Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit

service procps force-reload

sofort einlesen. Hier kann nachgelesen werden was hier überhaupt konfiguriert wurde. ip-sysctl.txt

Debian 12 : weiteres Absichern ssh Zugang

nospam@example.com (Christopher Pope) — Fri, 25 Aug 2023 23:16:00 +0200

In einem diesem Artikel habe ich erklärt wie man mfa für ssh konfiguriert. Jedoch ist hier noch der Zugriff aus allen IP Ranges möglich (solange die FW nicht anderweitig konfiguriert ist).

Es gibt die Möglichkeit den Zugang in den den beiden Dateien /etc/hosts.allow und /etc/hosts.deny einzuschränken.

Ich gehe mal davon aus das das Netzwerk die Mask 192.168.10.0/24 verwendet. Um jetzt nur Rechner aus dem Netzbereich eine ssh Verbindung zu ermöglich trägt man in die Datei /etc/hosts.allow folgende Werte ein. Die Loopback Adressen sind aus Gründen der Kompatibilität mit aufgeführt.

sshd: 192.168.10.
sshd : localhost
sshd : 127.0.0.1
sshd : ::1

und in der Datei /etc/hosts.deny kann man Verbindungen die auf den ssh Deamon von allen anderen Adressen verbieten. Das erreicht man mit diesem Eintrag :

sshd: ALL

Debian 12 : MFA für ssh/su/sudo aktivieren

nospam@example.com (Christopher Pope) — Mon, 21 Aug 2023 00:00:00 +0200

Unter Windows ist es recht einfach einen MFA Schutz zu realisieren. Hier haben wir Windows Hello oder das Azure AD das uns das abnimmt.
Für den Mac gibt es TouchID aber für Linux muss man hier selbst etwas bauen.

Installation des benötigten Pakets

apt install libpam-google-authenticator -y

Konfigurieren von libpam-google-authenticator

google-authenticator

Jetzt kommen einige Fragen zur Konfiguration

Do you want authentication tokens to be time-based (y/n) y

An dieser Stelle wird der QR Code Angezeigt, dieser kann kann jetzt gescannt werden und in der Authenticator App deiner Wahl eingepflegt werden. Und dann gehts weiter mit folgenden Fragen

Do you want me to update your "/chris/.google_authenticator" file? (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

Jetzt ist die Konfiguration abgeschlossen. Der Zeitpunkt ist gekommen in der wir die zu sichernden Dienste konfigurieren.
Hier als Beispiel ssh

Öffnen der Datei /etc/pam.d/common-auth und das PAM Modul aktivieren.
Dazu diese Zeilen einfügen in der config einfügen.

# google mfa
auth required pam_google_authenticator.so nullok

Nachdem alle User die Konfiguration durchlaufen haben muss nullok aus der Zeile entfernt werden. Das sorgt dafür das nur noch User mit MFA eine Authentifizierung möglich ist.

Und jetzt noch die Datei /etc/ssh/sshd_config anpassen.

KbdInteractiveAuthentication yes
UsePAM yes

Jetzt noch den sshd Service neu starten und wir müssen uns mit einem MFA Token anmelden.

systemctl restart sshd

Noch sicherer wäre das ganze wenn man das Login auf pubkey umstellt. Hierzu muss VOR der Einrichtung ein Pubkey erzeugt und hinzugefügt werden. Dann kann man in der Datei /etc/pam.d/sshd den Part @include common-auth auskommentieren (# davor) und danach die Zeilen einfügen.

# google mfa
auth required pam_google_authenticator.so

Hintergrund ist das wir hier das common-auth modul deaktivieren , dieses ist für die Passwort Anmeldung zuständig. Wechseln wir auf das Pubkey Verfahren wird dieses Modul nicht mehr angezogen , was die Einstellung die oben erwähnt wurde deaktivert.

Da wir die Einstellungen im common-auth Modul setzen sind alle Dienste davon betroffen die dieses verwenden. d.h. jetzt sind alle Dienste über MFA abgesichert die dieses PAM Modul verwenden.

Debian 12 : Apache2 entfernen des Server Headers

nospam@example.com (Christopher Pope) — Wed, 09 Aug 2023 22:33:00 +0200

Nachdem ich erklärt habe wie man das für den nginx umsetzt wurde ich gefragt ob ich das auch für Apache erklären könnte. Ja kann ich

Problem : Entfernen des Apache Server Headers aus dem Response des Webservers

Lösung :

als erstes installieren & aktivieren wir die benötigten Module.

apt install libapache2-mod-security2 -y
a2enmod headers
systemctl restart apache2

In der Konfigurationsdatei /etc/apache2/conf-available/security.conf folgende Werte setzen

ServerTokens Prod
ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set Content-Security-Policy "frame-ancestors 'self';"

gefolgt von einem Neustart des Services

systemctl restart apache2

Um auch den Servernamen aus dem Response zu entfernen muss die Konfiguration angepasst werden.

SecRuleEngine DetectionOnly
ServerTokens Full
SecServerSignature "Gameboy"

gefolgt von einem Neustart des Services

systemctl restart apache2

Hier gibts mehr Informationen :
https://return42.github.io/handsOn/apache_setup/mod_security2.html
https://github.com/coreruleset/coreruleset
Hier hatte ich mal Ärger mit Grafana und mod_security

Debian 12 : nginx Server Header entfernen

nospam@example.com (Christopher Pope) — Sat, 29 Jul 2023 00:07:00 +0200

Problem : Entfernen des nginx server headers aus dem response des webservers

Lösung : Aus dem Security Aspekt sollte man diese Informationen entfernen.

Um nur die Server Version zu entfernen , reicht es in der config Datei /etc/nginx/nginx.conf den configparameter "server_tokens off;" zu setzen.

Will man den Namen nginx komplett aus den Headern entfernen , müssen noch einige Packete installiert werden.

apt install libnginx-mod-http-headers-more-filter

nach der Installation setzt man in der config noch folgende Parameter :

more_clear_headers Server;
more_set_headers 'Server: Gameboy';

Auszug aus der Config:

http {

        ....
        
        server_tokens off;
        more_clear_headers Server;
        more_set_headers 'Server: Gameboy';

        ...

[ PROXMOX ] - Debian 11 schlechte Performance beim SSH Login

nospam@example.com (Christopher Pope) — Fri, 28 Oct 2022 17:56:00 +0200

Ich habe festgestellt das wenn man einen LXC mit Debian 11 auf einem Proxmox laufen lässt, die Performance auf ssh ziemlich schlecht ist. Auch sudo dauert ziemlich lange (wenn man es verwendet)

Das liegt am Service systemd-logind wenn man diesen deaktiviert hat man wieder die gewohnte Performance.

Um zu verifizieren ob es an diesem Service liegt , grept einfach mal nach 'org.freedesktop.login1' in der Datei /var/log/auth.log

grep 'org.freedesktop.login1' /var/log/auth.log

wenn ihr dort Einträge findet, die wie folgt aussehen, liegt es vermutlich an diesem Dienst.

Failed to activate service 'org.freedesktop.login1': timed out (service_start_timeout=25000ms)

Problem wird dann mit diesen Befehl behoben (muss als root ausgeführt werden)

systemctl mask systemd-logind && pam-auth-update