以資安角度, 24小時網路提供的服務, 風險極高. 若確認只在特定國家使用, 就可以使用MaxMind提供ip所在國家資訊, 限制其他國家ip連線,避免不必要的麻煩.
最近想用軟體防火牆來取代公司老舊的硬體防火牆, 我考察很久捨棄PFsense, 改用OPNsense. OPNSense提供簡單MaxMind整合, 可以讓我們進行ip國家使用限制, 非常方便.
我們得先到 https://www.maxmind.com/en/geolite2/signup 註冊帳號,
註冊完畢登入網站, 接下來產生license key
https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=en
產生完license key之後, 就可以下載ip國家資料, 可以參考一下OPNsense提供的方式
https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
防火牆就可以自己定義國別, 進行限制工作
前陣子公司強化vpn登入方式, 密碼改用谷歌驗證器(google authenticator)驗證密碼,
原本覺得pfSense上設定實在太簡單了, 就懶得記錄下來, 不過想想還是截一下圖,做個紀錄.
System > Package Manager > Available Packages
搜尋FreeRADIUS並且安裝Services > FreeRADIUS > Interfaces > Add
Services > FreeRADIUS > NAS/Clients > Add
System > User Manager > Authentication Servers > Add
VPN > OpenVPN > Servers > Edit
Services > FreeRADIUS > Users > Add
以下為官方寫的文件非常詳細, 建議參考官方的
微軟的網域主控站超級好用, 很適合用來管理, 甚至交給非IT人員,如管理部同仁協助作業
網域主控好用,若只用來群組權限控管, 帳號密碼控管, 建議安裝免費的網域管理伺服器Turnkey Domain Controller就好了.
另外, 像我使用自製的容器郵件伺服器(docker-postfix-ad) ,須綁定微軟網域伺服器認證 ,也很適合安裝Turnkey Domain Controller.
TurnkeyLinux 有一大堆免費的軟體, 且支援Proxmox VE , 有vm版本, lxc版本,及vmware版, 琳瑯滿目.
安裝Turnkey Domain Controller 相當簡單,只要下載iso檔案,安裝成一個vm就好了, 當然也有lxc版本,但我並沒有測試過.
詳細請參閱 https://www.youtube.com/watch?v=PMUUuXmtFc8
安裝完畢, 用我筆電的RSAT工具, 就能管理網域主控站了
以下為安裝之後, 要注意的部分
電腦dns設定正確, 就能成功找到網域主控站, 並且加入囉
目前安裝版本為 16.2 , 樹系2008R2, 經測試win11 22h2無法加網域, 將在17.0 樹系2012R2獲得解決.
公司從2010年開始就使用eset防毒軟體, 採用中央控管的方式,這對網管來說有很大的幫助,
但是最近要續約, 新版本9.x居然不支援windows 2008R2 server, 公司又沒有windows 2012R2以上的作業系統, 於是我到官網找了一下,發現有虛擬設備的安裝方式, 支援vmware,virtualbox, 與hyper-v, 只可惜沒有支援Proxmox VE.
不過沒關係, 我下載後,看到檔案是ova格式, 之前有過經驗,解開裡面是vmdk格式, 查了一下裡面的檔案, 使用的是 ide 驅動, 4 GB磁碟空間, 4 GB RAM, 2 CPU.
第一步我先將vmdk轉檔轉成qcow2格式, 作法請參考這裡
接下來到pve server新增一個vm, 然後將轉換後的qcow2檔案,直接覆蓋上去, 就可以啟動, 並且依照指示設定就完成eset安裝了,非常方便.
不曉得原因為何? 我的pve server總是會有新建立vm的時候, 停都停不掉的問題
只好下指令停調
0. ps aux | grep "/usr/bin/kvm -id <VM ID>" kill -9 <ps id> 1. qm unlock <VM ID> 2. qm stop <VM ID>
前陣子使用兩台PC安裝pve, 做成cluster方便管理, 但遇到其中一台只要使用zfs就會出錯, 另一台是正常的.
可是有一天遇到停電. 重開機之後, 另一台原本zfs正常,居然出現找不到zfs的錯誤訊息.
當時我登入到第一台查看, 系統出現zfs硬碟正常的, 但總是無法透過GUI介面新增回來, 最後發現, 我應該要登入第二台,才可讓zfs重新回來, 原來這兩台是合作, 又保有各自隱私呢.
哈!, 使用storage server習慣了, 遇到沒有storage server就手忙腳亂一番, 因此記錄下來.
最近遇到pve 6.2 某硬碟解除lvm後, 發現還無法另作他用, 系統出現device mapper的狀態, 代表系統還認為正在使用中,
爬了一下文, 發現一個好用的指令 dmsetup status可以看出所有lvm狀態,
確認那些不再使用後, 使用 dmsetup remove 移除, 該硬碟才算是真正自由
先前遇到一件事情, 其實說來話長, 也是因為covid-19造成的
因為無法親自到公司越南廠處理pve server, 偏偏又遇到pve不穩的狀況, 只好移除一些當時手動掛載的硬碟.
這下好了, 請當地的電腦公司人硬是移除手動掛載的硬碟 , 重開機後發現總是進入maintenance mode,
搞了好久才發現必須把/etc/fstab 的手動掛載硬碟資訊移除, 才能正常開機, 因此紀錄一下,以免重蹈覆轍.
我自己在pve 6上使用zfs的經驗不是很順利, 遇到慢的,遇到不穩的, 現在可能還需要調整zfs的快取大小, 才能讓zfs順利使用.
新增一個檔案 /etc/modprobe.d/zfs.conf
並修改如下, 最小4G, 最大16G, 可自行設定測試, 修改後重開機, 可下arcstat 查詢是否成功
options zfs zfs_arc_min=4294967296 options zfs zfs_arc_max=17179869184 options zfs zfs_flags=0x10
