Estou tentando configurar o Windows Hellow for Business (WHfB) para que, quando eu fizer login no meu servidor Windows híbrido local, eu possa usar meu usuário administrador do Entra com um prompt MFA para fazer login. Para fazer isso, editei o GPO que afeta o servidor. Eu o habilitei assim:

O problema que estou enfrentando é que não consigo fazer login. Não sei o que está faltando para que eu possa fazer login usando meu nome de usuário + senha do Entra. Sinto que estou esquecendo de uma configuração necessária da qual não tenho conhecimento. Tentei os seguintes logins:

• domínio
• usuário
• [email protegido]
• [email protegido]

Nenhum dos logins funciona e sempre recebo esta mensagem: "Você deve usar o Windows Hello ou um cartão inteligente para entrar".

%rSaídas do formato de log do Apache : "GET /server?id=1 HTTP/2.0".

Preciso ter exatamente o mesmo valor de parâmetro de consulta ?id=1como campo separado em meus logs.

Então tentei a %qopção, que infelizmente retorna a mesma solicitação:

?ReturnUrl=Example.aspx?id=1

Com certeza há uma reescrita envolvida, mas deve haver uma maneira de obter exatamente o que o cliente envia, certo? Como?

• Veja os formatos de log personalizados do Apache

De vez em quando vejo logs do postfix como este:

Mar 18 13:19:19 ... smtpd[1217240]: SSL_accept error from mx0b-002b8002.pphosted.com[148.163.140.242]: -1
Mar 18 13:19:19 ... smtpd[1217240]: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:

Eu bloqueio cifras antigas:

smtpd_tls_mandatory_ciphers = high                                                             
smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA                                        
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3                                                 
smtpd_tls_protocols = >=TLSv1  

Então agora eu gostaria de ver quais cifras o cliente está oferecendo quando ele tenta se conectar ao meu servidor, mas não consigo ver isso nos logs. Existe uma maneira de obter essas informações?

Estou tentando há horas configurar corretamente o ssh MFA com a chave pública ou a senha sendo solicitada antes do código OTP no Debian 12.

Atualmente, consigo configurar publickey+MFA e password+MFA, mas não consigo configurar publickey|password+MFA

chave pública+MFA

• Editar/etc/pam.d/sshd

  • Comentário@include common-auth
  • Adicione auth required pam_google_authenticator.sona linha depois

• Crie um arquivo /etc/ssh/sshd_config.d/mfa.confcom o seguinte conteúdo

UsePAM yes
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

Com esta configuração consigo logar com publickey+MFA, porém ao usar a senha recebo umaPermission denied (publickey)

senha+MFA

• Editar/etc/pam.d/sshd

  • Manter@include common-auth
  • Adicione auth required pam_google_authenticator.sona linha depois

• Crie um arquivo /etc/ssh/sshd_config.d/mfa.confcom o seguinte conteúdo

UsePAM yes
ChallengeResponseAuthentication yes

Com esta configuração consigo logar com password+MFA, porém ao utilizar a publickey auth o código OTP não é pedido

Tentei muitas configurações diferentes e fiz muitas pesquisas, mas não consigo encontrar uma maneira de configurar a autenticação como eu quero.

Por exemplo com

AuthenticationMethods publickey,keyboard-interactive password,keyboard-interactive

Consigo efetuar login corretamente com publickey+MFA, mas quando uso a senha recebo a mensagem "Permissão negada", mesmo usando a senha correta.

Eu até tentei usar um arquivo de configuração pam personalizado como segue

auth    substack                        pam_unix.so
auth    required                        pam_google_authenticator.so
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

Mas nada que tentei funciona corretamente

Não entendo por que é tão difícil configurá-lo, já que o sshd lida com isso nativamente, mas ao adicionar OTP MFA, ele não pode ser conectado diretamente após a autenticação básica do sshd

Se alguém encontrar uma maneira de obter essa configuração, ficarei feliz em saber.

desde já, obrigado

Devido ao tamanho máximo de volume de 16T ao usar o tamanho de cluster NTFS padrão (4K), vou migrar para um novo volume de cluster de 64K, copiando todos os dados via robocopy. Não estou usando compactação ou desduplicação. Há algum problema de compatibilidade conhecido com o tamanho de cluster maior? Devo prestar atenção a algo especial, além do desperdício de espaço para arquivos pequenos?

Acabei de ler esta resposta. Execute o script de shell sempre que qualquer usuário fizer logon .

Debian estável aqui. Meu servidor SSH tem conexão de chave pública, não por senha. No entanto, eu gostaria de executar um script no servidor quando um usuário se conecta, antes que ele possa obter acesso à máquina. Se o script retornar falso, o usuário é rejeitado, mesmo que ele tenha a chave adequada para se conectar.

Entendo que /etc/profile poderia ser usado, mas existe uma maneira melhor, no momento em que escrevo esta pergunta, que possa lidar com essa situação? (ou ainda mais segura ou mais fácil? Não vejo nenhum problema com /etc/profile, mas talvez alguém mais versado nessa área saiba)

Não quero escapar desse controle de forma alguma.

Obrigado, rapazes

Na página do manual do netcat GNU (não BSD), diz:

netcat -l -p porta [opções] [nome do host] [porta] ...

e:

-s ENDEREÇO ​​Especifica o endereço de origem usado para criar soquetes.

Qual é a diferença entre [hostname]e -s, e [port]e -p?

Não consegui encontrar a resposta nas páginas do manual ou em --help.

Estamos executando o Proxmox VE 8.3 em alguns ProLiant DL360p Gen8. Cada um deles está conectado a um storage array 1/2 MSA 2040 com duas conexões. O array é acessível como /dev/sdb para a primeira conexão e /dev/sdc para a conexão de fallback.

Gostaríamos de usar o array como lvm-thin. Para fazer isso, criei uma partição única no array, criei um volume físico e um grupo de volumes.

sgdisk -N 1 /dev/sdb
pvcreate /dev/sdb1
vgcreate vg-proxmox1-array /dev/sdb1

Até agora, tudo funcionou. Antes de criar o thin pool, executei pveupgradee reiniciei os servidores. Após a reinicialização, o grupo de volume vg-proxmoxN-arraynão apareceu mais ao executar vgsor vgscan. Nem o volume físico ao executar pvsor pvscan. No entanto, ao nomear explicitamente o dispositivo, o PV e o VG são exibidos:

root@proxmox1:~# pvscan --devices /dev/sdb1
  PV /dev/sdb1   VG vg-proxmox1-array   lvm2 [<4.91 TiB / <4.91 TiB free]
  Total: 1 [<4.91 TiB] / in use: 1 [<4.91 TiB] / in no VG: 0 [0   ]

De acordo com alguns recursos da Internet, um filtro na configuração lvm pode ser a causa - mas não vejo nenhum que corresponda/dev/sdb

grep -v "#" /etc/lvm/lvm.conf | grep filter
     global_filter=["r|/dev/zd.*|","r|/dev/rbd.*|"]

Alguns recursos apontaram para 10.1.2. Adicionando dispositivos ao arquivo system.devices , mas a ferramenta mencionada lvmdevices --adddev <device_name>não parece estar disponível no Proxmox VE 8.3.

• Eu ficaria muito grato por quaisquer dicas sobre como fazer com que o volume físico seja exibido de forma confiável durante a execução pvs, pvscanbem como o grupo de volumes seja exibido de forma confiável durante a vgsexecução vgscan.
• O que posso ter feito de errado para eles não aparecerem? Posso confiar no hardware na situação atual?
• Qual é a melhor maneira de prosseguir a partir daqui para usar 99% do vg-proxmox1-array para um pool lvm-thin e o 1% restante para os metadados?

Muito obrigado antecipadamente!

Tenho dois servidores conectados via WireGuard: um servidor local ( server1, WireGuard IP 10.0.0.2) e um servidor em nuvem ( server0, WireGuard IP 10.0.0.1). Meu objetivo é usar server0como um gateway para acessar serviços server1sem expor o IP público do servidor local. Por exemplo, SSH para server1deve ser acessível via server0:2222.

Detalhes da configuração:

1. Configuração do WireGuard:

   • O túnel está funcional (verificado via ) .ssh -p 2222 [email protected]serve0r
   • server0e server1usar iptables para encaminhar tráfego.

2. Regras do IPTables:

   • Regras do DNAT/MASQUERADE:

# For TCP 
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p tcp -d 10.0.0.2 --dport 2222 -j MASQUERADE

# For UDP (if needed) 
iptables -t nat -A PREROUTING -p udp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p udp -d 10.0.0.2 --dport 2222 -j MASQUERADE 

2. • Tabela NAT atual:

Chain PREROUTING (policy ACCEPT)
target     prot opt source    destination         
DNAT       tcp  --  anywhere anywhere tcp dpt:2222 to:10.0.0.2:2222
DNAT       udp  --  anywhere anywhere udp dpt:2222 to:10.0.0.2:2222

Chain POSTROUTING (policy ACCEPT)
target        prot opt source      destination         
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    tcp  --  anywhere    10.0.0.2 tcp dpt:2222
MASQUERADE    udp  --  anywhere    10.0.0.2 udp dpt:2222

3. Configuração SSH:

   • server1escuta em 0.0.0.0:2222(confirmado em sshd_config).

4. Encaminhamento do Kernel:

   • net.ipv4.ip_forward=1está habilitado e aplicado.

Emitir:

Conectar-se externamente via ssh -p 2222 user@<server0-public-ip>resulta em Conexão recusada . No entanto, conectar-se diretamente de server0para 10.0.0.2:2222funciona.

Solução de problemas concluída:

1. Conectividade WireGuard verificada (bem-sucedida).
2. Regras verificadas iptables -t nat(parecem corretas).
3. O SSH confirmado está escutando em server1.

Problemas suspeitos:

1. Tabela de filtros IPTables : A FORWARDcadeia pode bloquear o tráfego mesmo após regras NAT.
2. Regras do MASQUERADE : Regras redundantes ou mal configuradas POSTROUTING.

Questões:

1. Existem iptablesregras de filtro ausentes (por exemplo, FORWARDcadeia) permitindo tráfego entre interfaces (por exemplo, eth0para wg0)?
2. As MASQUERADEregras estão tratando corretamente o NAT de origem para o tráfego de retorno?

Qualquer informação será bem-vinda!

Tive que gerenciar o controle de acesso de um evento, ele funciona com poucos dispositivos PDA conectados à infraestrutura Wi-Fi existente.

No momento do teste antes do evento, a conexão parecia boa, todos os PDAs tinham um bom sinal e funcionavam todos juntos com bom tempo de resposta.

Como você imaginou durante o evento, as coisas aconteceram um pouco diferentes.

Temos enfrentado falhas em camadas de rede, interrupções de sinal de Wi-Fi (dispositivos foram desconectados por alguns segundos), tempos limite de conexão TCP, sinal mais baixo e alguns outros problemas relacionados à camada 7, como falhas de resposta de DNS.

Os dispositivos, o número e as posições dos APs não foram alterados.

Então eu estava pensando se uma presença massiva de outros dispositivos wifi não conectados ao mesmo Wifi poderia ser a causa dessa degradação. Quero dizer, é possível que a pesquisa de wifi feita por todos os smartphones das pessoas pudesse ter degradado os APs?

Existe alguma solução? Por exemplo, usando um SSID oculto?