Charlweed's questions

Eu quero que um usuário específico altere recursivamente o proprietário e o grupo de todo o conteúdo de um diretório específico e apenas desse diretório. O diretório é uma espécie de "caixa de entrada", onde um serviço grava arquivos e subdiretórios.

Atualmente, tenho um administrador sudo chown, mas prefiro que o proprietário do destino faça isso sozinho, sem que esse usuário tenha mais permissões do que as necessárias. Digamos que o proprietário original é "chefe", e o proprietário final deve ser "público". Nenhum usuário está no mesmo grupo.

sudo chown -R audience:watchers /usr/files/pathofdir Não está certo, porque não quero que o público tenha autoridade ilimitada para usar chown. Meu primeiro palpite foi tentar adicionar "audiência" a /etc/ sudoers com permissão para /usr/bin/chown e /usr/bin/chgrp. Mas isso é autoridade demais.

Pensei em escrever um script exclusivamente para audiência, mas não sei como fazer esse script ter as permissões corretas e nada mais.

Qual é uma boa maneira de fazer isso?

TL;DR; Como descobrir o que está errado com a resposta OCSP no Windows?

Estou tentando instalar um novo certificado no Exchange Server 2019 local. Mas o Exchange sempre informa que o novo certificado falha na verificação de revogação e não o usará. O novo certificado tem uma cadeia de confiança do novo certificado, por meio de uma CA intermediária até meu ca raiz. Quando abro o novo certificado no certmgr.msc, vejo que essa cadeia e todos os certificados são relatados como OK no certmgr. Instalei minha autoridade de certificação raiz na loja "Autoridades de certificação raiz confiáveis". Instalei a CA intermediária na loja “Autoridades de certificação intermediárias”.

A URL de acesso de informações de autoridade do novo certificado especifica meu próprio respondedor OCSP. Eu sei que isso não é um problema de conexão nem de proxy, porque eu observo os logs do OCSP em tempo real e sei que a conexão foi feita, e meu respondente do OCSP envia o certificado “OK”. Eu testei com openssl-ocsp em um host linux e essa validação é bem-sucedida, quando uso este comando openssl:

   openssl ocsp 
      -issuer "$ca_sub_cert_file" 
      -cert "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

Observe que o comando openssl acima se refere explicitamente ao emissor e ao CApath , e isso habilita a confiança na CA intermediária. No Windows, eu esperava que a instalação do root-ca e do CA intermediário habilitasse a confiança para a resposta OCSP da mesma forma. Mas não sei como testar isso.

Não deveria ser necessário, mas também “instalei” um certificado para o ocsp-responder. Eu permiti que o assistente escolhesse a loja automaticamente, e não consigo encontrar onde ela foi colocada. Ele não aparece quando procuro no certmgr.msc. Não instalei manualmente, pois não sei qual loja devo usar.

Suspeito que a resposta do meu respondedor OCSP openssl esteja errada para o Exchange Server 2019. Minhas teorias são:

• Uma cadeia de confiança não pode ser construída a partir do novo certificado para minha CA raiz
• A cadeia é construída, mas um dos certificados para ocsp-responder, o intermediário-ca ou o root-ca não é confiável. Mesmo que o intermediário-ca e o root-ca estejam instalados.
• A resposta openSSL é incompatível com Windows e/ou Exchange Server 2019

Como posso testar as teorias acima? Pesquisei nos logs de eventos do Windows, mas eles não contêm nenhuma menção a OCSP ou revogação.

Eu tenho o CentOS 7 e quero espelhos lvm no meu volume lógico raiz.

Eu tive algum pânico depois que usei "lvconvert -m3 cl_excalibur/root" para criar dois espelhos e não inicializou. O volume lógico não é ativado na inicialização quando é raid1. Eu inicializei a partir de um liveUSB e usei "lvconvert -m0" para convertê-lo de volta para não espelhado, e tudo parece bem. Mas estou de volta à estaca zero. Espero que deva usar dracut -f --add<-drivers?> <name of the lvm raid kernel module>, mas não sei os argumentos exatos de que preciso.

Durante uma inicialização com falha, na ferramenta dracut lvm, tentei lvchange -ay cl_excalibur/root, mas o lvm reclamou que o módulo "dm-raid" não estava no kernel. Então é isso que eu acho que eu preciso instalar.

Encontrei o arquivo /usr/lib/modules/3.10.0-1062.1.1.el7.x86_64/kernel/drivers/md/dm-raid.ko.xz. No entanto, não sei qual sinalizador de adição usar, nem como ir do nome do arquivo acima para o argumento que o dracut requer.

Esse host é importante para nossa infraestrutura, então ainda não tentei nada. Eu agora construí um servidor virtual CentOS 7 para que eu possa hackear com dracut e grub2, mas agradeço qualquer ajuda :)

No Linux, quero substituir um script bash pelo powershell. O script precisa testar um arquivo para determinar se é um link simbólico. No bash, pode-se usar o -Loperador:

if [[ -L "/tmp/mysteryfile" ]] ; then ; echo "It is a link" ; fi

Como posso fazer o mesmo no powershell no Linux?

Eu tenho sistemas Centos 7+ e todos eles usam systemd. Às vezes, a melhor maneira de proceder após uma alteração importante do sistema é reiniciar cada serviço em execução no momento. Se eu reiniciar cada serviço um de cada vez, o sistema geralmente permanece online e é muito fácil ver os problemas de serviço à medida que eles aparecem. Então eu hackeei este pequeno script bash, que reinicia cada serviço systemd em execução, EXCETO certos serviços nomeados que eu acho que são essenciais para manter a caixa online.

#!/bin/bash
set -e
set -u
running=$(systemctl list-units --type service | grep running \
    | grep -iv audit \
    | grep -iv disk \
    | grep -iv drive \
    | grep -iv getty \
    | grep -iv irq \
    | grep -iv libstoragemgt \
    | grep -iv lvm \
    | grep -iv multipath \
    | grep -iv polkit \
    | grep -iv storage \
    | cut -d' ' -f1)

for service in $running ; do
    echo "$service"
    systemctl restart "$service"
done

Há várias coisas que eu gostaria que fossem melhores:

• Grepping para "executar" é uma maneira grosseira de filtrar tarefas em execução, e os vários tubos são bastante caros.
• O uso cuté realmente frágil e quebra quando o formato de saída do systemd muda.
• systemctl restartnão define um código de retorno na falha de inicialização, portanto, o script continua funcionando mesmo se um serviço falhar ao parar ou iniciar.

Quais podem ser algumas maneiras melhores para isso?

Eu tenho um servidor membro Samba 4.6.2 samba ActiveDirectory. A cada mês ou mais, todos os clientes perdem a capacidade de se conectar a todos os compartilhamentos. Posso contornar o problema deixando o domínio, excluindo a conta da máquina e reingressando no domínio, mas obviamente é errado ter que fazer isso a cada poucas semanas. Eu pensei que era um problema de expiração de senha da conta da máquina, mas executar a atualização do adcli não ajuda. Tentei alterar a Diretiva de Grupo para expiração de senha da máquina, mas isso também não ajudou.

• Centos 7.4.1708
• Samba 4.6.2
• sssd-krb5-1.15.2
• SSSD 1.15.2-50
• reino-0.16.1-9

A mensagem de erro no lado do cliente é

"\\cheetoes is not accessible. You might not have permissions to use this network resource. Contact the administrator of this server to find out if you have access permissions.
Login Failure: The target account name is incorrect"

No lado do servidor, na inicialização, o log.smbd contém:

[2018/05/09 12:03:41.622878,  0] ../source3/libads/kerberos_util.c:74(ads_kinit_password)
  kerberos_kinit_password CHEETOES$@HYMESRUZICKA.ORG failed: Preauthentication failed
[2018/05/09 12:03:41.622923,  1] ../source3/libads/sasl.c:821(ads_sasl_spnego_bind)
  ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/true-companion.hymesruzicka.org with user[CHEETOES$] realm=[HYMESRUZICKA.ORG]: Preauthentication failed

E o log por cliente mostra:

[2018/05/09 12:06:58.259646,  1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
  gss_accept_sec_context failed with [Unspecified GSS failure.  Minor code may provide more information: Request ticket server cifs/CHEETOES.hymesruzicka.org@HYMESRUZICKA.ORG not found in keytab (ticket kvno 3)]
[2018/05/09 12:06:59.099902,  1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
  gss_accept_sec_context failed with [Unspecified GSS failure.  Minor code may provide more information: Request ticket server cifs/CHEETOES.hymesruzicka.org@HYMESRUZICKA.ORG not found in keytab (ticket kvno 3)]

Imediatamente após o reingresso, não recebo as falhas do cliente, nem o erro "Falha na pré-autenticação" no log.smbd. Estou particularmente intrigado por que a reintegração funciona, mas apenas por um tempo.

Meu servidor openvpn rodando no CentOS 7, tenho cerca de 20 usuários com dispositivos IOS modernos metade com iOS 11. Geramos scripts .ovpn com python e usamos o iTunes para configurar o cliente IOS OpenVPN, até que a Apple o quebrou.

A partir do iTunes 12.7, todos os recursos de gerenciamento de aplicativos foram removidos. Em particular, os usuários não podem usar o iTunes para carregar arquivos em aplicativos específicos. Essa foi a maneira recomendada de instalar arquivos ovpn no OpenVPN para iOS. As versões mais antigas do iTunes mantêm essa funcionalidade, mas não são compatíveis com dispositivos mais recentes que o iPhone 5, iPad Air. Então agora o que eu faço? Vou tentar servir via apache http, pois vi um post que dava a entender que você pode configurar metadados MIME para fazer com que o iOS Safari abra um arquivo no OpenVPN. Eu nunca vi esse trabalho, então estou cético.

Alguma outra ideia?

Temos um pequeno desastre em um sistema Centos7. Um bug em um script de configuração define recursivamente /, /bin e /usr/bin para 400 permissões. Isso significa que comandos básicos como chmod, mount e quase todo o resto não podem ser executados. Estou bastante confiante de que posso consertar isso inicializando a partir de um live-usb, mas teria que fazer um. Além disso, a máquina danificada é o nosso roteador, então, quando ela cai, perdemos nosso acesso à Internet.

Eu tenho outra caixa com binários linux x64 para chmod, bash, mount e o resto, existe alguma maneira inteligente de executá-los a partir de um usb (ou da rede ou qualquer outra coisa) sem reiniciar?