theillien's questions

Estou criando um robocopyarquivo de trabalho para os usuários fazerem backup de seus dados locais em um compartilhamento de rede. Quero dar a eles a opção de não apenas fazer backup dos dados do usuário, mas também dos arquivos de configuração do aplicativo que podem estar em outros locais da unidade. Quando adiciono uma /SDlinha adicional, por exemplo

/SD:C:\PATH\TO\FIRST\DIR\
/SD:C:\PATH\TO\SECOND\DIR\

Eu recebo um erro

ERROR : Invalid Job File, Line #12 :"/SD:C:\PATH\TO\SECOND\DIR\"

A resposta óbvia é que o robocopy só pode suportar um /SDparâmetro por execução. Existe uma maneira de permitir vários?

Eu tenho um packermodelo que estou tentando executar. Geralmente faz o que eu quero: cria uma VM do Azure, generaliza-a e carrega-a em uma galeria de computação. Agora estou tentando expandi-lo para instalar um aplicativo via Powershellscript. O problema é que não consigo descobrir onde o script deveria estar ou como deveria chamá-lo no modelo.

Analisei vários exemplos em que as pessoas usaram formatos diferentes, como usar caminhos relativos, por exemplo script = "./install_app.ps1", ou apenas chamar o próprio nome do script, por exemplo script = "install_app.ps1", . Eu tentei das duas maneiras apenas para obter um erro do packer.

Error: Failed preparing provisioner-block "powershell" ""

on .\win10Packer.pkr.hcl line 56:
  (source code not available)

1 error(s) occurred:

* Bad script './install_app.ps1': CreateFile ./install_app.ps1: The system
cannot find the file specified.

Minha build{}seção:

build {
  sources = ["source.azure-arm.autogenerated_1"]

  provisioner "powershell" {
    inline = ["Set-PSRepository -Name 'PSGallery' -InstallationPolicy Trusted","Install-Module PSCompression"]
  }

  provisioner "powershell" {
    script = "./install_npp.ps1"
  }

  provisioner "powershell" {
     inline = ["& $env:SystemRoot\\System32\\Sysprep\\Sysprep.exe /oobe /generalize /quiet /quits", "while($true) { $imageState = Get-ItemProperty HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Setup\\State | Select ImageState; if($imageState.ImageState -ne 'IMAGE_STATE_GENERALIZE_RESEAL_TO_OOBE') { Write-Output $imageState.ImageState; Start-Sleep -s 10 } else { break }}"]
   }

}

Eu tenho configurado as configurações de proxy em uma imagem Win10 da qual os usuários iniciarão instâncias. Inicialmente, configurei as configurações na ferramenta Opções da Internet e usei netsh winhttp import proxy source=ie-as para puxá-las para esse sistema.

Eu precisava alterar a lista de bypass. Tentei fazer isso adicionando a entrada em Opções da Internet , mas não persistiu. Cada vez que eu fechava a ferramenta e a reabria, a entrada desaparecia. Eu corri netsh winhttp reset proxycaso essa configuração estivesse substituindo a outra.

Por que estou realmente confuso, porém, é que estou usando a opção de política de grupo local Make proxy settings per-machine (rather than per-user). Quando ativado, as configurações de proxy são definidas usando as configurações anteriores, incluindo a lista de ignoráveis. Tentei modificar a lista novamente, mas, novamente, a entrada não persiste. Quando desabilito a política por máquina, as configurações de proxy desaparecem das Opções da Internet . Habilite-o novamente e eles reaparecem.

Passei pelo registro e removi todas as entradas do servidor proxy. Tenho certeza de que todas as entradas desapareceram com base nas pesquisas que fiz por "proxy", o endereço IP do proxy, o número da porta do proxy, "bypass", etc.

Então estou confuso. De onde vem a configuração de proxy quando eu habilito Make proxy settings per-machine (rather than per-user)?

Estou tentando obter alguns esclarecimentos sobre como os GPOs locais funcionam na janela 10. De acordo com a página Configurar configurações de política de segurança da Microsoft

Você deve ter as permissões apropriadas para instalar e usar o Microsoft Management Console (MMC) e para atualizar um Objeto de Diretiva de Grupo (GPO) no controlador de domínio para executar esses procedimentos.

A impressão que tenho disso é que uma política de domínio é necessária. Caso contrário, por que um administrador precisaria de permissões de domínio?

O computador em questão não está associado a um domínio. O GPO local ainda será aplicado ou depende de uma política de nível de domínio antes que a política local entre em vigor?

Eu tenho configuração de trabalho para SSL batendo no Squid 4.4 e RHEL8. Estou descobrindo, porém, que alguns sites que não têm SSL configurado (por exemplo, http://squidguard.org ) não estão funcionando.

Eu tive que remendar minha configuração usando várias fontes diferentes, pois nenhuma parece oferecer uma abordagem definitiva para configurar o aumento de SSL. É possível que eu tenha perdido algo que permitiria ao Squid lidar com tráfego HTTP e HTTPS?

Isto é o que estou vendo no log:

1624658033.150  59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966  60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html

O erro na página do navegador diz

The following error was encountered while trying to retrieve the URL: http://squidguard.com/
Connection to 3.223.115.185 failed.
The system returned: (110) Connection timed out
The remote host or network may be down. Please try the request again.

O host remoto ou rede não está inativo, no entanto. Eu posso alcançá-lo quando não estiver passando pelo proxy.

Meu squid.conf:

acl vdi src 10.108.0.0/20

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching

http_access deny !Safe_ports

http_access allow localhost manager
http_access deny manager

http_access allow vdi

http_access deny all

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump stare all
ssl_bump bump all

cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

shutdown_lifetime 1 second

Eu não tenho iptables rodando então não tenho nenhuma regra de REDIRECT. Eu suspeito que este seja o problema.

Nossa rede é composta principalmente de servidores Windows em nosso domínio interno que é gerenciado pelo Active Directory (natch). Também temos uma pequena população de servidores Linux que, por motivos, são gerenciados pelo IDM. Também por motivos, o IDM é configurado com uma relação de confiança unidirecional para o AD (o IDM confia no AD) para facilitar o gerenciamento de usuários em um único local (isso não pode ser alterado).

No momento temos três domínios (nomes alterados para proteger os inocentes):

• interno.dom
• windows.internal.dom
• linux.internal.dom

linux.internal.dom é mantido no servidor IDM e os outros dois estão no AD. Como a confiança entre o IDM e o AD é unidirecional, ela não é visível na interface do usuário do AD. Os outros, é claro, são visíveis no AD, pois é onde são mantidos.

Estamos configurando os Serviços de Certificados do AD para que possamos emitir certificados para cada domínio. No entanto, como o linux.internal.dom está no IDM, que possui apenas a confiança unidirecional e, portanto, não aparece no AD, não é possível criar certificados para ele na interface do usuário. Em última análise, não usaremos a interface do usuário de qualquer maneira, pois um método automatizado/com script será mais eficiente.

Então, agora minha pergunta: É possível que um AD CA emita um certificado para um (sub)domínio que não seja totalmente confiável? Ou seja, poderemos emitir certificados para linux.internal.dom mesmo que não apareça na interface do usuário do AD?

Estou tentando instalar o ansible em uma instância. Achei que poderia usar AWS::CloudFormation::Initpara executar sudo pip install ansible. Isso não parece estar funcionando, no entanto. Este é o meu recurso de instância:

ansibleInstance:
  Type: 'AWS::EC2::Instance'
  Metadata:
    'AWS::CloudFormation::Init':
      commands:
        ansible:
          command: "sudo pip install ansible"
          test: "pip --version"
          ignoreErrors: 'false'
  Properties:
    ImageId: ami-467ca739
    KeyName: Candidate-EyMm7zuOcn
    InstanceType: t2.micro
    SubnetId: !Ref subnetTest
    SecurityGroupIds:
    - !Ref allowSSH
    Tags:
      - Key: Name
        Value: Test

Existe uma maneira de ver o que está acontecendo quando isso é tentado para que eu possa descobrir onde / por que está falhando? Existe alguma coisa que outros possam sugerir olhar para descobrir isso?

EDIT1: Eu removi o sudocaso que pudesse estar atrapalhando por qualquer motivo (eu não achei que fosse, mas eu queria eliminá-lo do mesmo jeito). Isso não teve impacto. Também verifiquei que as aws-cliferramentas estão instaladas, o que era esperado, pois é a AWS Linux AMI

EDIT2: Esta é uma versão do recurso ansibleInstance em que tentei executar comandos via UserData:

ansibleInstance:
  Type: 'AWS::EC2::Instance'
  Properties:
    ImageId: ami-467ca739
    KeyName: Candidate-EyMm7zuOcn
    InstanceType: t2.micro
    SubnetId: !Ref subnetTest
    SecurityGroupIds:
    - !Ref allowSSH
    Tags:
      - Key: Name
        Value: Test
  UserData:
    Fn::Base64:
      !Sub |
        #!/bin/bash -xe
        pip install ansible

Suspeito que haja algo errado com a formatação, mas não consigo descobrir o que é.

EDIT3: Corri cfn-initpela sugestão jordanm. Isso parece fornecer os metadados para a instância e, se eu fizer login e executar manualmente, cfn-initos comandos serão processados:

[ec2-user@ip-192-168-1-121 ~]$ sudo /opt/aws/bin/cfn-init -v -s cfTest --resource ansibleInstance
[ec2-user@ip-192-168-1-121 ~]$ ansible --version
sensível 2.5.4
  arquivo de configuração = Nenhum
  caminho de pesquisa do módulo configurado = [u'/home/ec2-user/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  localização do módulo python ansible = /usr/local/lib/python2.7/site-packages/ansible
  local do executável = /usr/local/bin/ansible
  versão python = 2.7.13 (padrão, 31 de janeiro de 2018, 00:17:36) [GCC 4.8.5 20150623 (Red Hat 4.8.5-11)]

Então agora minha pergunta é: por que não será cfn-initexecutado de acordo com o UserData?

SOLUÇÃO: Graças a @jordanm, consegui resolver isso. Meu trecho de trabalho:

  ansibleInstance:
    Tipo: 'AWS::EC2::Instância'
    Metadados:
      'AWS::CloudFormation::Init':
        configuração:
          comandos:
            ansible:
              comando: "sudo pip install ansible"
              teste: "pip --version"
              ignoreErrors: 'false'
    Propriedades:
      ImageId: ami-467ca739
      KeyName: Candidate-EyMm7zuOcn
      Tipo de instância: t2.micro
      SubnetId: !Ref subnetTest
      SecurityGroupIds:
      - !Ref allowSSH
      Tag:
        - Chave: Nome
          Valor: Teste
      Dados do usuário:
        Fn::Base64:
          !Sub |
            #!/bin/bash -xe
            # Instale o Ansible a partir dos metadados
            /opt/aws/bin/cfn-init -v -s ${AWS::StackName} --resource ansibleInstance

Se eu definir uma opção de configuração em httpd.confque não seja usada novamente em nenhum de nossos vhosts, ela terá efeito para cada um dos vhosts ou cada um precisará ter a opção configurada?

Especificamente, quero definir as opções RewriteLoge RewriteLogLevel. Infelizmente, temos muito mais configurações de vhost do que é sensato, portanto, definir essa opção em cada arquivo e validar seria um aborrecimento no momento em que precisa ser implantado (não me faça começar no gerenciamento de configuração). Então, se eu configurá-lo httpd.confe me certificar de que não está em nenhuma das configurações do vhost, ele se aplicará a todos os vhosts?