Un monde d'octets

l'application d'un exploit metasploit (ici en exemple l'enumération ssh des utilisateur) se décompose généralement ansi :

use auxiliary/scanner/ssh/ssh_enumusers
show options
set RHOSTS 192.168.9.2
set USER_FILE userfile
exploit

Dans notre exemple, nous auront créé un fichier "./userfile" qui listera les utilisateurs à tester (parfois aux vue des logs de mes bastions, je pense que certains hackers utilisent cela, ahahah)

quelques options sont dites avancées :

show advanced
set verbose true
set SSH_DEBUG true

Dans votre virtualhost, il faut les directives suivantes :

  OIDCProviderMetadataURL http://192.168.9.165:8080/auth/realms/Shura/.well-known/openid-configuration

  OIDCClientID "ka.local"
  OIDCClientSecret "d36e706f-faaf-460b-8b85-ec226afc0799"
  OIDCCryptoPassphrase "shawapouf"
  OIDCScope "openid email profile email"
  OIDCSessionType client-cookie

  OIDCRemoteUserClaim sub
  OIDCOAuthRemoteUserClaim sub
  OIDCSSLValidateServer Off

  OIDCPassClaimsAs "headers"
  OIDCPassUserInfoAs "claims"
  OIDCPassRefreshToken "On"
  OIDCClaimPrefix Oidc-Claim-

  OIDCRedirectURI http://ka/sfhp/redirect_uri

  DocumentRoot /var/www/html/

  ProxyPreserveHost On
  SSLProxyCheckPeerCN off

  ProxyPass /sfhp http://ka:5000/
  ProxyPassReverse /shfp http://ka:5000/

  <Location />
     AuthType openid-connect
     Require valid-user

     Redirect /sfhp/oidc/ /oidc/
  </location>

Les ip et crédentials oidc doivent être conformes à celles déclarées dans votre keycloak

qm importdisk <vmid> image.vmdk local-lvm --format raw

Le fichier s'importe, mais peut bloquer un certain temps a 100%. Ne pas killer. Il faut ensuite rescanner les volumes.

qm rescan

et voila.

Type d'inventaire

Nous utilisons un inventaire de type file dont les propriétés sont :

Format: resourceyaml
File Path:/etc/rundeck/resources.yaml 
Generate: Yes
Require File Exists: Yes
Writeable: Yes

Contenu du fichier

ce fichier peut (et doit) être modifié avec l'éditeur inégré pour cette définition 'inventaire dans rundeck

interceptor: 
  nodename: interceptor
  hostname: 192.168.9.79
  description: raspberry pi 
  username: interceptor
  osFamily: unix
  sh-authentication: privateKey
  ssh-key-passphrase-option: option.sshKeyPassphrase
  ssh-key-storage-path: keys/interceptor/id_rsa.priv
  ssh-key-passphrase-storage-path: keys/interceptor/privkey.password

les paths des clefs et passphrase ssh auront, bien évidemment, été créé.

Plus di'informations sur les noeuds et leurs options sur la documentation officielle

Pour voir tous les messages de tous les indexes, utiliser "#" comme topic. Vous pouvez même utiliser "#" comme une sous partie de votre topic.

kubectl -n default get secret argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 -d

La solution est de passer le type de CPU de la vm à "host"

oc get image.config.openshift.io/cluster -o yaml

apiVersion: config.openshift.io/v1
kind: Image
metadata:
  annotations:
    include.release.openshift.io/ibm-cloud-managed: "true"
    include.release.openshift.io/self-managed-high-availability: "true"
    include.release.openshift.io/single-node-developer: "true"
    release.openshift.io/create-only: "true"
  creationTimestamp: "..."
  generation: 3
  name: cluster
  ownerReferences:
  - apiVersion: config.openshift.io/v1
    kind: ClusterVersion
    name: version
    uid: ...
  resourceVersion: "..."
  uid: ...
spec:
  registrySources:
    insecureRegistries:
    - harbor.mydomain.tld
    - harbor.otherdomain.tld

Mêttre à jour et appliquer !

Pour extraire toute une cartographie de son cluster et de ses problèmes, nous pouvons utiliser un pod particulier qui s'invoque par une commande spécifique:

oc adm must-gather --image=registry.redhat.io/ocs4/ocs-must-gather-rhel8:v4.6 --dest-dir=.

Ces données peuvent être envoyées à RedHat pour debugging, ou utilisé localement.

docker pull praqma/network-multitool

Peux s'utiliser en contexte kube en étant lancé dans le même namespace que le pod à contacter.

oc logs -n openshift-cluster-storage-operator  $(oc get pods -A | grep detector-operator  | awk '{print $2}')

Quand on fait un clone lié, il est impossible de détruire le template si un clone est encore présent.

Pour trouver le clone, il suffit de se connecter en SSH sur le cluster, et de faire :

cd /etc/pve/nodes/{cluster_name}/qemu-serve/
cat {{template_id}}.conf

vous trouvez la variable "scsi0" qui contient votre image disque.

Il vous suffit de chercher cette image dans tous les autres ID

cd /etc/pve/nodes/{cluster_name}/qemu-serve/
grep  {{image}} *.conf

Vous obtiendrez l'ID des vm qui sont linkées à votre template. Il vous suffit de faire des full clone de ces vm puis de les détruire. Vous pourrez alors supprimer votre template et le recréer.

 
oc exec velero-664f99d459-98rxh -it -- ./velero backup describe backup --details

Trouvez sur quel noeud tourne votre pod :

oc get pod -o wide
oc debug -t --image registry.redhat.io/rhel8/support-tools:latest node/${NODE_NAME}

Trouver maintenant l'interface d'écoute et filtrez par ip ou port :

tcpdump -nn -s 0 -i ${INTERFACE} -w ${FILENAME} ${TCPDUMP_EXTRA_PARAMS}

le site endoflife recense les fin de vies de produits (date de release, date de fin de support)

il arrive que professionnellement vous ayez une machine qui accède à deux réseaux vpn, mais que ces réseaux eux ne communiquent pas ensemble et que vous n'ayez pas la possibilité de router vos paquets par votre machine, n'étant pas administrateur.

il vous reste une possibilité via les tunnels ssh :

pour que A joigne C via B :

dans un screen :

ssh B -L 2222:localhost:22

dans un autre screen :

ssh A -R 2222:localhost:2222

une vois cela fait vous pouvez aller sur la machine A, et faire ssh localhost:2222, vous arriverez sur la machine B magiquement.

vous pouvez décliner ce paramétrage à beaucoup d'autre usages.

Centos8 comme beaucoup d'autres a dépassé sa date de maintenance depuis longemps. Pour compeser, il faut passer par les dépots vault, et pour cela j'ai mis en place un script :

curl http://88.164.239.143/distribs/obsoletes/centos.sh | sh

premier pas avec ansible vault :

créer un fichier de clef :

echo "passwd" > ./vault_ansible_pass

Modifier ansible.cfg pour ajouter :

vault_password_file=./vault_ansible_pass

Tester un crypage de chaine :

ansible-vault encrypt_string 'test'

on obtient :

!vault |
          $ANSIBLE_VAULT;1.1;AES256
          32366137346335353631326132326337336364656439313064366532393236633935623962393865
          6435623261396163613363313438643365373362336137320a316365363033663463656232376562
          66356431646238666466323237346464636135343231653263316165633132306134313564363439
          3639333136373638660a323036633265653335323434376530666561353230623162616662333637
          65393832343137356230393332383839393338343837383662366631636338313262

il suffit de copier/coller dans la variable ansible !

Ce fichier est bien entendu secret, et ne doit pas être publié dans git. Une solution est d'utiliser un dossier ~/.ansible_vault et de nommer vos roles selon vos domaines (exemple : vault_ovh_password)

Ceci est un draft issu d'un site dont je n'ai plus l'url en tête mais qu'il serait facile de trouver

Configure Keycloak

We will now use Keycloak’s admin Web UI to setup LDAP and add OnDemand as an OIDC client that will authenticate with Keycloak.

Add a new realm

Log into https://webdev07.hpc.osc.edu:8443 as the admin user
Hover over “Master” on left and click “Add Realm”
Type in name “ondemand” and click “Save”. The new realm is loaded.
Click Login tab then adjust parameters:
Remember Me: ON
Login with email: OFF
Click Save.

Configure LDAP

Choose User Federation on the left (verify ondemand realm is current realm)
Select “ldap” for provider
Import Users set to OFF
Edit Mode set to READ_ONLY
Vendor set to other – for OpenLDAP
User Object Classes set to posixAccount – OSC specific and odd
Connection URL: ldaps://openldap1.infra.osc.edu:636 ldaps://openldap2.infra.osc.edu:636
User DN: ou=People,ou=hpc,o=osc
Auth Type: simple – OSC specific as we allow anonymous binds
Use Truststore SPI: never
Save

Warning : These LDAP settings are what we set for OSC. Your configuration may vary from this. If you run into any problems, please let us know so that once a solution is reached we can document those problem areas here. Contact us on the OOD Mailing List at https://lists.osu.edu/mailman/listinfo/ood-users.

Add OIDC client template

Choose Client
Templates
Click Create
Name ondemand-clients
Protocol openid-connect
Click Save
Mappers tab
Click Add Builtin
Check box username, email, given name, family name, full name
Click Add Selected
Click Scope tab
Set Full Scope Allowed to ON
Verify Mappers >> username has “Token Claim Name” with value preferred_username.

This means that when the user logs to OnDemand, the preferred_username claim will contain the username of the user. We will use this when deciding what system user to map a request to.

Add OnDemand as a client

Choose Clients, then click Create in top right corner
Client ID: webdev07.hpc.osc.edu
Client Protocol: openid-connect
Client Template: ondemand-clients
Save (leave Root URL blank)
Then edit Settings for the newly created client:
Access Type: confidential
Direct Access Grants Enabled: off
Valid Redirect URIs: Press the + button to the right of the URI field so you can insert two URLs:

  https://webdev07.hpc.osc.edu/oidc 

  https://webdev07.hpc.osc.edu 

Scroll to bottom and click “Save”
Finally, get the client secret to use with OnDemand installation:
Select the “Installation” tab of the “Client” you are viewing i.e. “Clients >> webdev07.hpc.osc.edu”
Select Format Option: Keycloak OIDC JSON

The “secret” string will be in the credentials section. Copy that for future use in this tutorial (and keep it secure).

Tout programme qui exporte ses données en json à pour compagnon JQ, cet outil java, dont l'interêt n'est plus à démontrer

exemple : destruction de tous les pods d'un cluster

kubectl get pods -o json | jq  ".items[].metadata.name"   | sed 's,.*,kubectl delete pod &,' | sh

https://killer.sh/

Solution :

git checkout master
git pull

puis :

git checkout yourBranch
git merge master

Creation de pod

  
kubectl run  my-nginx --image=nginx --dry-run=client -o yaml > nginx.yaml
kubectl apply -f nginx.yaml

Exposition de pod

 
kubectl expose pod my-nginx --port=80 --name=my-frontend

Create (le createur de tout ...)

kubectl create deployment nginx --image=nginx/1.7.1 --port 80 --replicas 2 --dry-run -o yaml > deploy-nginx.yaml

C'est ce genre de réponses qu'il faudra utiliser plutot que d'écrire des yaml intégralement manuellement.

Sur un I7 tout neuf tout beau, j'ai décidé aujourd'hui d'en faire un petit lab linux.

Pour cela j'ai commencé par en faire un faire serveur de virtualisation et téléchargé l'iso de proxmox 7.2

L'installation de dépile, mais lors du premier accès a l'interface, un écran blanc est c'est tout. En cherchant sur le web, il est préconisé de reinstaller ces paquets :

apt install --reinstal pve-manager
apt install --reinstall proxmox-widget-toolkit
apt install --reinstall libjs-extjs

Mais pour çà, il faut pouvoir se logguer sur le pc.

Boot en mode rescue, ajout de "init=/bin/bash" et fint de ligne de boot. Nous obtenons un shell root. Il faut remonter / en rw :

mount rw -o remount /

puis changer le pass root avec la commande.

Ca n'a pas résolu mon problème, ni ca, ni la mise a jout de distrib. Mais au moins j'ai la main sur le serveur pour pouvoir trouver ce qui cloche !

passwd

puis un peut sync et rebot.

Une fois logué root, il est conseillé d'ajouter le login root comme permit dans ssh (au mieu en without-passwd) et de copier sa clef ssh sur le server pve.

un fois le ssh root validé, il faut changer les repository de pve (/etc/apt/sources.list.d) pour remplacer les repo enteprise par les repo communautaires :

deb http://download.proxmox.com/debian/pve bullseye pve-no-subscription
deb http://security.debian.org/debian-security bullseye-security main contrib

ensuite nous pouvons mettre nos trois paquets en réinstallation.

ca arrive de temps en temps (installation fraiche) que même si wayland est en azerty, les logiciels pur gnome sont en qwerty. la solution :

setxkbmap fr

pour automatiser cela, créez le fichier $HOME/.config/autostart/kbfr.desktop contenant :

[Desktop Entry]
Name=kbfr
Exec=setxkbmap fr
Terminal=false
Type=Application
X-GNOME-Autostart-enabled=true

et voila, à l'ouverture de gnome, ce lanceur sera exécuté et votre clavier passera en français !