venerdì 24 maggio 2013

Scherzi da ufficio: apertura del lettore cd.

La vita da ufficio, si sa, è noiosa. Per risollevare il morale, non c'è niente di meglio di un simpatico scherzetto.
Il prerequisito per la fattibilità della carognata, è la possibilità di accedere da remoto al pc del malcapitato di turno. Quindi munitevi di un account di dominio, un tool tipo psexec e questo simpatico script in vbscript da salvare come ejectCD.vbs

Const CDROM = 4
For Each d in CreateObject("Scripting.FileSystemObject").Drives
  If d.DriveType = CDROM Then
    Eject d.DriveLetter & ":\"  
  End If
Next

Sub Eject(CDROM)
  Dim ssfDrives
  ssfDrives = 17
  CreateObject("Shell.Application")_
    .Namespace(ssfDrives).ParseName(CDROM).InvokeVerb("Eject")
End Sub
Facciamo partire lo scherzone: si va in console nella directory dove avremo messo lo script e il psexec e si lanciano in sequenza i comandi:
C:\> psexec \\NomePcCollega -u utente -p password "cscript //H:CScript" 
C:\> psexec \\NomePcCollega -u utente -p password -c ejectCD.vbs
Il primo imposta di default l'esecutore dei vbs in console, il secondo fa partire lo script vero e proprio, dopo averlo copiato sul pc del malcapitato
Lo script va alla ricerca dei drive di tipo cdrom e per ognuno di essi lancia il comando Eject utilizzando la lettera che lo identifica (es F:\)

Schedulare l'apertura

Per rendere ancora più subdola la cosa, si può schedulare un task sul pc del collega per aprire il cdrom a intervalli regolari. Innanzitutto bisogna copiare lo script in una directory sul pc della povera vittima. Fatto? bene! Sempre con il psexec ci colleghiamo in console da remoto sul pc
C:\> psexec \\NomePcCollega -i -s -u utente -p password cmd.exe
oppure utilizzando il telnet se sul pc è attivo. Una volta ottenuta la console si schedula  un processo tramite il tool schtasks
C:\> schtask /Create /SC HOURLY /TN scherzone /TR ejectCD.vbs
In questo modo, se tutto va bene, abbiamo impostato l'apertura del cd del povero collega ogni ora.

Non nascondo che io l'ho messo in pratica con successo. Il malcapitato ha messo lo scotch sul lettore...

Pubblicato da alle Nessun commento:
Etichette: , ,

venerdì 10 maggio 2013

Clonare una VM con ESXi v5

Sono diventato il fortunato possessore di un server ESXi v5 sul quale far girare un po' di VM per i vari test. Una delle sfortune del suddetto server è che non ha tutte le fantastiche (e costose) features delle varie versioni superiori, in primis la clonazione. Fortunatamente grazie all'accesso ssh e un po' di console, si può tranquillamente portare a compimento l'operazione.

Attivare connessione SSH dal vSphere Client

Apriamo il client e ci connettiamo al server con un utente amministrativo. Nella tag configuration, si seleziona Security Profile e poi Properties.. nella sezione Services. Selezionando SSH e Options... si ha la possibilità di fare un bel Start. Fatto ciò ci si connette con utente root via ssh.

Clonare Disco

Giunti in console ci vengono in aiuto un sacco di tool. Il primo è vmkfstools che consente di fare la copia del disco virtuale. Requisito necessario è che la VM origine sia spenta, altrimenti non è possibile ottenere il lock esclusivo. Ci spostiamo quindi sul datastorage e lanciamo la copia del disco.
~ # cd /vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/vm1
/vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/vm1 # mkdir ../vm2
/vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/vm1 # vmkfstools -i vm1.vmdk ../vm2-vm2.vmkd
Destination disk format: VMFS zeroedthick
Cloning disk 'vm1.vmdk'...
Clone: 100% done.

Ecco fatto. A questo punto sarebbe sufficiente creare una nuova vm con il disco appena copiato. ma io sono pigro e quindi mi copio pure la configurazione.

Clonare Configurazione

Il file .vmx è un semplice file di testo. Si può quindi copiare tranquillamente e poi editare a mano.
/vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/vm1 # cp vm1.vmx ../vm2/vm2.vmx
si edita quindi il file vm2.vmx e si sostituiscono le occorrenze di nome, file del disco, file della memoria virtuale e file di swap, adattandoli a quelli appena creati, come ad esempio:
nvram = "vm2.nvram"
displayName = "vm2"
extendedConfigFile = "vm2.vmxf"
ide0:0.fileName = "vm2.vmdk"
sched.swap.derivedName = "/vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/XPPlcTestDebe/vm2-ab51994b.vswp" 

Aggiungere la VM all'inventario

Abbiamo tutto quello che serve alla nuova VM. Registriamola, quindi, con il comando
~ # vim-cmd solo/registervm  /vmfs/volumes/4f466873-289b519c-2689-d067e5e5780e/vm2/vm2.vmx
che restituisce l'id della vm appena creata.
Attenzione che nel caso di windows bisogna poi cambiare l'hostname e il SID tramite il tool della sysinternals

Ciao
Debe
Pubblicato da alle Nessun commento:
Etichette: , ,

venerdì 3 maggio 2013

Cambiare IP al volo con Netsh + HTA

Quando scendo nei vari impianti dove lavoro mi capita di dover collegare il mio portatile su reti diverse (senza DHCP). Cambiare ogni volta l'indirizzo ip cliccando in giro per le varie voci di windows 7 non è abbastanza geek per me, per cui ho deciso di trovare un sistema più diretto.

Netsh

Questo tool, presente di serie sui sistemi windows dai tempi di xp, permette di configurare diversi aspetti della rete via shell (netsh -> net shell), tra cui ovviamente anche l'indirizzo ip.
Il netsh lavora per contesti, quindi prima di dare il comando vero e proprio si deve dichiarare in quale si lavora, nel nostro caso  interface ip. Per impostare l'indirizzo vero e proprio si utilizza set address con questa sintassi:
set address "nome interfaccia" static x.x.x.x y.y.y.y z.z.z.z
completando con il nome dell'interfaccia (di solito Local Area Network) e la famosa terna indirizzo ip, netmask e gateway.
Il comando completo quindi è:
netsh interface ip set address "Local Area Network" 192.168.1.10 255.255.255.0 192.168.1.1

HTA

Dato che comunque sono pigro e non ho voglia di scrivere un intero comando nella shell, ho pensato bene di accorciare il lavoro facendo una applicazione HTA (html application) che richiede le informazioni e lancia il comando di conseguenza.
L'HTA non è altro che una pagina web con un po' di VBScript dentro un file con estensione .hta.


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>

 <meta content="text/html; charset=ISO-8859-1" http-equiv="content-type">
 <title>Change IP Address</title>
 <HTA:APPLICATION ID="ChengeIP"
 APPLICATIONNAME="ChangeIP"
 CAPTION="yes"
 BORDER="thick"
 SCROLL="no"
 SHOWINTASKBAR="yes"
 SINGLEINSTANCE="yes"
 SYSMENU="yes"
 MINIMIZEBUTTON="yes"
 MAXIMIZEBUTTON="no"
 >
 <script language="VBscript">
 Sub Window_onLoad
 window.resizeto 380,300
 end Sub
 function ChangeIP(lsNetworkName, lsIp, lsNM, lsGateway)
 DIM objShell
 if lsIp <> "" then
 set objShell = CreateObject("wscript.shell")
 iReturn = objShell.Run("CMD /S netsh interface ipv4 set address """ & lsNetworkName & """ static " & lsIp & " " & lsNM & " " + lsGateway , , True)
 set objShell = Nothing
 end if
 end function
 </script>
</head>
<body bgcolor="#008040">
<p style="text-align:center">
Cambio IP
</p>


<table style="text-align: left; margin-left: auto; margin-right: auto; height: 100px; width: auto;" border="0" cellpadding="2" cellspacing="2">

  <tbody>

 <tr>

      <td style="width: 100px; height: 30px;">Network Name:</td>

      <td style="text-align: center; height: 30px; width: 212px;"><input style="width:200" name="NetworkName" value="Local Area Connection"><br></td>

    </tr>

    <tr>

      <td style="width: 100px; height: 30px;">IP:</td>

      <td style="text-align: center; height: 30px; width: 212px;"><input style="width:200" name="IP"><br></td>

    </tr>

    <tr>

      <td style="width: 100px; height: 30px;">Netmask:</td>

      <td style="text-align: center; height: 30px; width: 212px;"><input style="width:200" value="255.255.255.0" name="Netmask"></td>

    </tr>

    <tr>

      <td style="width: 100px; height: 30px;">Gateway:</td>

      <td style="text-align: center; height: 30px; width: 212px;"><input style="width:200" value="" name="Gateway" ></td>

    </tr>

  </tbody>

</table>

<br>

<div style="text-align: center;"><button onclick="call ChangeIP(NetworkName.value, IP.value, Netmask.value, Gateway.value)" name="Cambia IP" type="button" style="CURSOR: hand">Cambia IP</button><br>

</div>
</body>
</html>
Pubblicato da alle Nessun commento:
Etichette: , ,

venerdì 19 aprile 2013

Raspberry PI: Two Factor Authentication via Google

Ebbene sì: sono uno dei fortunati possessori di una RaspberryPI. In realtà ne posseggo due, una utilizzata per i test e l'altra che se ne sta allegramente collegata al modem di casa per "fare cose". Quest'ultima è direttamente accessibile dalla Grande Rete attraverso la più classica delle connessioni SSH.
La raspberryPI e la maglietta. Stiloso!
Un bel giorno mi sovvenne l'idea di rendere il login un pochino più sicuro, introducendo la Two Factor Authentication:
un metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.
Nello specifico i due metodi sarebbero:
  1. qualcosa che si conosce (la coppia user/password);
  2. qualcosa che si possiede (un generatore di codici);
Nulla di nuovo, insomma. Diversi istituti bancari da tempo utilizzano questa modalità per l'accesso all'e-banking. Anche Google consente di attivare il meccanismo sui suoi account utilizzando, come generatore di password temporanee, una applicazione per smartphone. Il tutto è generosamente rilasciato sotto forma di modulo PAM.
Ma veniamo alla pratica e cerchiamo di farla valere più della grammatica.
Prendiamo la raspberry sulla quale sta girando la raspbian e installiamo il modulo che serve.
debe@raspberrypi ~ $ sudo apt-get install libpam-google-authenticator
Fatto? Bene! Passiamo alla configurazione.
Lanciando il tool google-authenticator viene chiesto se si vuole utilizzare un token time-based (TOTP) cioè che cambia a intervalli regolari, oppure no.
Do you want authentication tokens to be time-based (y/n) n
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://hotp/utente@host%3Fsecret%3DCHIAVESEGRETISSIMA
Your new secret key is: CHIAVESEGRETISSIMA
Your verification code is 123456
Your emergency scratch codes are:
  xxxxxxxx
  yyyyyyyy
  zzzzzzzz
  qqqqqqqq
  hhhhhhhh
 Do you want me to update your "/home/debe/.google_authenticator" file (y/n)
Se decidiamo per la prima strada, bisogna tener presente che il clock della macchina deve essere corretto e quindi, probabilmente, serve installare anche un client ntp.
Scelto il tipo, ci viene fornito il materiale per sincronizzare l'applicazione che genera i codici. Si può scansionare il QR Code direttamente in console (generato tramite la libreria libqrencode3), seguendo il link fornito, oppure inserendo manualmente la chiave di partenza. Al termine salviamo il file di configurazione.
Ora indichiamo a sshd di utilizzare il modulo appena installato. Aggiungiamo al file /etc/pam.d/sshd (dopo tutte le autenticazioni di default) la riga.
auth required pam_google_authenticator.so nullok
nullok serve per consentire l'accesso anche a chi non ha un file di configurazione (quindi solo con user-pass).
I codici di emergenza servono, con somma fantasia, in caso in cui non abbiamo a disposizione qualcosa per generare il codice.
Prima di far ripartire sshd manca ancora un passo: nel file /etc/ssh/sshd_config il parametro ChallengeResponseAuthentication deve essere yes.
Facciamo ripartire il servizio sshd e tentiamo il login:

debe@host1:~> ssh <indirizzoIP>
Password:
Verification code:
Linux raspberrypi 3.6.11+ #371 PREEMPT Thu Feb 7 16:31:35 GMT 2013 armv6l
debe@raspberrypi ~ $
Il verification code è quello generato dalla applicazione.

That's all folks!
Ciao
Debe
Pubblicato da alle Nessun commento:
Etichette: , , ,

mercoledì 3 aprile 2013

Proxy NTLM e Linux

L'accesso a internet sul luogo di lavoro avviene spesso con un proxy Microsoft con autenticazione di dominio. Purtroppo i vari programmi del pinguino di uso quotidiano (si pensi ad esempio a wget) non ne conoscono il protocollo proprietario (NTLM). Ci viene quindi in aiuto il software cntlm che altro non è che un proxy il cui unico compito è veicolare le richieste, intervenendo solo nel momento della autenticazione.

INSTALLAZIONE SU CENTOS

Fortunatamente il simpatico tool è già pacchettizzato in rpm. Basterà quindi scaricarlo e installarlo sulla nostra distro con il comando (da root):
[root@AutmTest Desktop]# rpm -ivh cntlm-0.92.3-1.x86_64.rpm


CONFIGURAZIONE

Ovviamente prima di utilizzarlo è necessario configurare le nostre credenziali e il proxy al quale collegarsi.
Apriamo quindi con il nostro editor di fiducia il file /etc/cntlm.conf e impostiamo i seguenti parametri base
Username mioutente
Domain dominio
#Password non impostare (si useranno gli hash)
Proxy ip:porta del proxy
Listen la porta di ascolto del proxy http
Gateway yes se si vuole che sia raggiungibile anche da altri ip della rete
Non abbiamo impostato la password perché sarebbe in chiaro. E' meglio utilizzare gli hash che introducono un livello di sicurezza in più (essendo determinati da l'unione di user, dominio, host e password).
Lanciamo quindi il comando:
[root@AutmTest Desktop]# cntlm -c /etc/cntlm.conf -I -M http://www.google.com
Password:
Config profile 1/11... OK (HTTP code: 200)
----------------------------[ Profile 0 ]------
Auth NTLMv2
PassNTLMv2 782589B6EB85EDCD5C93020F604CE2AA
------------------------------------------------ 
copiamo le righe del profilo individuato e inseriamole nel file di configurazione.


PRONTI PARTENZA VIA!

Fatto ciò siamo pronti a partire. Possiamo lanciare il servizio (da root)
[root@AutmTest Desktop]# /etc/init.d/cntlmd start
e impostare l'applicazione per connettersi con il proxy via http.
Se ci fossero dei problemi è sempre possibile vedere il log delle operazioni lanciando da console
[root@AutmTest Desktop]# cntlm -v -f
In tal modo il software si mette in esecuzione in foreground e mostra il log delle operazioni.


Ciao a tutti.
Debe
Pubblicato da alle Nessun commento:
Etichette: , ,
Iscriviti a: Post (Atom)