Авторизация



Теги сайта



0х0000007b 1c access control list acl activation active directory ad roles add route adexplorer apache authentication to zabbix bare metal recovery bg zsh bicycle books bruteforce ccna centos centos packet certificate change net adapter name chap chkrootkit chmod cinnamon cisco class clipboard cmd configuring cpu cores cron crontab csc custom object cut cvsup cvsup-without-gui db dekorator dev null 2 1 dhcp dhcp reservation disable ipv6 diskpart dism django dns domain naming master domain roles download download powershell enable routing on windows enabled encapsulation english english language esx eventlog fail2ban fastest_cvsup fedora fg zsh field formatdatabase freebsd fsmo get-aduser hardware https hyper-v idioms iis inheritance iperf iptables iscsi jobs kernel panic ldap ldap аутентификация zabbix limit lingualeo linux mcitp mcsa memory check method microsoft mod_ssl mount mssql mysql mysql user password netcache network network config network load balance cluster network scripts nginx nlb num lock numlock oop openssl pap partition pdc permissions pfx php pipeline pkg_version polymorphism ports upgrade portupgrade posix powershell ppp puppet pwdlastset python rdp regedit registry remote enable restrictions reverse proxy rhel rid rope jumping bridge мост прыжок высота route add route freebsd routing protocol rpm sc sc sdset sc sdshow schema scope script output secure web security service permissions services session set dns servers set ip address sftp shell script show variables snmp sound scheme sounds speed ssh ssl standard-supfile subinacl supfile switch switchport sync syncronization task sсheduler tempdb tripplite monitoring tweaks unix user must change password at next logon utf8 vim vlan vmware w32tm web windows windows 2003 r2 windows 2008 r2 windows firewall windows server windows server 2012 windows server backup windows service permissions windows пингалка winre wsus xargs xrdp yum zabbix zabbix external check zabbix ldap authentication zsh автоматическое обновление портов freebsd автономные файлы активация английский язык база данных безопасность active directory буфер вело велосипед видео включение роутинга в windows внешняя проверка zabbix вредоносное программное обеспечение posix задание двумерного массива звуки звуковая схема идиомы иероглифы киев кодировка командная строка конфигурация сети маршрутизация маршруты в freebsd маршруты в redhat linux область обновление портов ограничения windows основные команды пакеты centos перевод перенос планировщик задач покатушки полет над днепром проблемы кодировки протокол путь развития в it разрешения служб windows регистрируем cmd скриптом недоступность хоста реестр резервирование ip скриптом роли домена русские символы синхронизация скачать скачать powershell скачать книгу скорость сети списки контроля доступа тарзанка твики фоновые процессы цикл mssql

Главная страница
Получение DHCP Leases в указанном Scope Печать
 
PS C:\> Get-DhcpServerv4Lease -ComputerName dc2 -ScopeId '10.1.0.0' | ft -Wrap -AutoSize -Property ipaddress,hostname,clientid,description # Показать все аренды в области 10.1.0.0 на DHCP-сервере dc2
PS C:\> Get-DhcpServerv4Lease -ComputerName dc2 -ScopeId '10.1.0.0' | where { $_.clientid -match '12(-?)83(-?)ee' } | ft -Wrap -AutoSize -Property ipaddress,hostname,clientid,description # Показать аренду/ы на сервере dc2, MAC-адрес которой содержит 12-83-ee (или 1283ee)
PS C:\> Get-DhcpServerv4Lease -ComputerName dc2 -ScopeId '10.1.0.0' | where { $_.hostname -match 'comp133' } | ft -Wrap -AutoSize -Property ipaddress,hostname,clientid,description # Показать аренду/ы на сервере dc2, имя хоста которой содержит comp133
 
Поиск событий в журналах EventLog на DC Печать

В данных примерах условлено, что выполнение идет с конкретного контроллера домена. Если выполнять удаленно, либо сразу на нескольких DC, можно указать аргумент -ComputerName dc1,dc2,dc3

 

PS C:\> Get-EventLog -LogName security -InstanceId 4740 | ft -Property index,TimeGenerated,Message -AutoSize -Wrap # Найдет в логе события блокировки учетных записей в домене

PS C:\> Get-EventLog -LogName security -InstanceId 4625 | ft -Property index,TimeGenerated,Message -AutoSize -Wrap # Полезное дополнение для предыдущего командлета. Найдет в логе ошибки входа, которые предшествуют блокировке учетной записи. В сообщении будет IP адрес источника

PS C:\> Get-EventLog -LogName security -After "05/02/2015" | where { ($_.message -match "Comp1") -or ($_.message -match "User1") } | ft -Property index,TimeGenerated,Message -AutoSize -Wrap # Найдет в логе Security все события после указанной даты, относящиеся к рабочей станции Comp1, или к учетной записи User1

 

Еще интересный пример по парсингу эвентлогов

image_EventLog_SVN-Parsing.png

Нужно выбрать поля User и PROPFIND из тела события

 
[array]$svnUsers = @()

Get-EventLog -LogName 'VisualSVNServerActivity' -After '06/04/2018' | ?{$_.Message -like 'PROPFIND*'} | %{$svnUsers += [pscustomobject]@{UserName=((([regex]::Match($_.Message,'(?<=User:\s).+')).Value) -replace "`t|`n|`r",'');Repo=(([regex]::Match($_.Message,'(?<=PROPFIND\s)/.+?/.+?/')).Value)}}
 
$svnUsers | Select-Object -Unique -Property UserName,Repo | Export-Csv -Path ('{0}\Documents\svnUsers.csv' -f $env:USERPROFILE) -Force
 
Настройка защиты от брутфорса Fail2Ban на примере CentOS 7 Печать

Установка и настройка fail2ban для защиты SSH от bruteforce атак по перебору паролей

[]# wget https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-2.noarch.rpm # Скачаем пакет установки дополнительного репозитория EPEL. Естественно этого делать не нужно если репозиторий EPEL у нас уже установлен

[]# yum install epel-release-7-2.noarch.rpm # Установим репозиторий

[]# vim /etc/yum.repos.d/epel.repo # Лично я не люблю когда дополнительные репозитории включены по умолчанию, поэтому исправляем значение enabled на 0.
[epel]
name=Extra Packages fоr Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=0
gpgcheck=1
gpgkey=filе:///etc/pki/rрm-gpg/RPM-GPG-KEY-EPEL-7


[]# yum --enablerepo=epel install -y fail2ban ipset


[]# cd /etc/fail2ban/ # Переходим в директорию с конфигами

[]# cp jail.conf jail.local # Копируем дефоултный конфиг в тот, что впоследствии будем редактировать

[]# vim jail.local # Меняем некоторые настройки конфига под себя, если это необходимо
bantime = 600 # время в секундах, на которое будет забанен провинившийся. Если выставить значение -1 то бан будет вечный
findtime = 600 # если в течение этого времени будет обнаружен предельный порог попыток maxretry, то выполнить бан
maxretry = 5 # предельный порог неверных попыток


[]# cd /etc/fail2ban/jail.d/

[]# touch sshd.local # Создаем файл, в котором будут настройки мониторинга SSH/SFTP

[]# vim sshd.local
[sshd]
enabled = true
action = firewallcmd-ipset


[]# systemctl enable fail2ban.service # Включаем сервис в автозагрузку

[]# systemctl start fail2ban.service # Стартуем сервис

Наблюдение за работой

[]# tail -f /var/log/fail2ban.log # Смотрим текущие события в логе

[]# fail2ban-client status sshd # Узнать забаненные IP

[]# cat /var/log/fail2ban.log | grep Ban # Посмотреть забаненные IP способ №2.
2014-11-03 11:47:44,480 fail2ban.server.actions[20250]: NOTICE  [sshd] Ban 192.168.1.5

[]# fail2ban-client set sshd unbanip 192.168.1.5 # Вручную разбанить IP 
 
<< Первая < Предыдущая 1 2 3 4 5 6 7 8 9 10 Следующая > Последняя >>

Страница 6 из 62
Главная страница