https://forum.andowson.com/forums/show/16.page JForum - http://www.jforum.net [url]https://www.ithome.com.tw/news/149096[/url]

有關Oracle Linux 6的安全性修補資訊如下:
[url]https://linux.oracle.com/errata/ELSA-2022-9073.html[/url]

問題是這些編譯好的rpm檔無法取得，需要有購買Oracle Support才行
由於Oracle有將Linux的原始碼公布出來，包含這些安全性更新，在以下網址:
[url]https://oss.oracle.com/el6/SRPMS-updates/?C=M;O=D[/url]

因此我們可以嘗試透過編譯SRPM套件來取得修補套件的rpm檔
以下是我自己實作的經驗與心得:
1.取得SRPM
wget https://oss.oracle.com/el6/SRPMS-updates/polkit-0.96-11.0.1.el6_10.1.src.rpm

2.安裝(解包)SPRM
rpm -i polkit-0.96-11.0.1.el6_10.1.src.rpm
由於我是用root執行這行指令，所以是解包到/root/rpmbuild目錄下

3.安裝rpm-build套件
yum install rpm-build

4.安裝相依套件
yum install glib2-devel expat-devel pam-devel eggdbus-devel gtk-doc intltool

5.安裝gcc編譯器
yum install gcc

6.開始編譯
cd /root/rpmbuild/SPECS
rpmbuild -bb polkit.spec

7.檢視產生之rpm檔
cd /root/rpmbuild/RPMS/x86_64
ls -l
這邊發現產生之檔名是polkit-0.96-11.0.1.[color=red]el6.1[/color].x86_64.rpm跟Oracle Linux網站上寫的polkit-0.96-11.0.1.[color=red]el6_10.1[/color].x86_64.rpm不太一樣

8.如果想要讓檔名跟Oracle Linux上的網站一樣可以修改polkit.spec
將這行
[code]Release: 11.0.1%{?dist}.1[/code]
改為這樣
[code]Release: 11.0.1%{?dist}_10.1[/code]

存檔後，將舊檔案刪除，再重新編譯一次即可得到我們想要的結果
cd /root/rpmbuild/SPECS
vi polkit.spec
rm -f /root/rpmbuild/RPMS/x86_64/polkit*
rpmbuild -bb polkit.spec

[code=console][root@www x86_64]# ll
總計 944
-rw-r--r-- 1 root root 165476 2022-09-14 22:11 polkit-0.96-11.0.1.el6_10.1.x86_64.rpm
-rw-r--r-- 1 root root 478192 2022-09-14 22:11 polkit-debuginfo-0.96-11.0.1.el6_10.1.x86_64.rpm
-rw-r--r-- 1 root root 28600 2022-09-14 22:11 polkit-devel-0.96-11.0.1.el6_10.1.x86_64.rpm
-rw-r--r-- 1 root root 277796 2022-09-14 22:11 polkit-docs-0.96-11.0.1.el6_10.1.x86_64.rpm[/code]

我把我編譯好的檔案打包起來，放在這個網址
[url]https://www.andowson.com/download/ol6_polkit_rpm.tar.gz[/url]
如果您剛好有需要可以自行下載，再將其解壓縮後，安裝使用
wget https://www.andowson.com/download/ol6_polkit_rpm.tar.gz --no-check-certificate
tar zxvf ol6_polkit_rpm.tar.gz

9.安裝更新檔
rpm -Uvh polkit-0.96-11.0.1.el6_10.1.x86_64.rpm]]> https://forum.andowson.com/posts/preList/784/1559.page https://forum.andowson.com/posts/preList/784/1559.page GMT 面臨CentOS Linux 6已經於2020/11/30 EOL，系統管理者需要將既有的CentOS 6升版至新作業系統，CentOS Linux 7雖然還可以撐到2024/6/30，但屆時遷移系統到新版作業系統的工作(痛苦)還要重複一次，許多CentOS 6系統管理者仍希望仍夠一次移轉到新版作業系統後就可以撐比較久再來轉換作業系統。
市場上目前現有的RHEL相容的產品還有Oracle Linux，Oracle Linux跟RHEL不同的地方是它有兩個kernel版本，一個是Oracle Unbreakable Enterprise Kernel(UEK)，一個是Red Hat Compatible Kernel(RHCK)，據Oracle網站的說法，可以免費下載和安裝使用Oracle Linux，也可以透過它們的公開yum repository取得更新patch，只有當需要Oracle Support時才需要付費，而且費用還比RHEL便宜。然後Oracle還寫了一個script可以直接將CentOS Linux轉換成Oracle Linux，包含CentOS 6、7、8版，不用重新安裝。
聽起來很棒!但是公司資安的要求是需要安裝公司規定的防毒軟體，目前選用的是Trend Micro ServerProtect for Linux 3(SPLX)，但在趨勢科技網站上看到的支援作業系統清單中都看不到Oracle Linux的影子。
由於Oracle Linux宣稱100%相容於RHEL，所有RHEL可以安裝的軟體都可以在Oracle Linux上執行，於是筆者有了嘗試在Oracle Linux 8.3上面安裝SPLX 3.0的想法。

先講結果:
可以成功在Oracle Linux 8上以RHCK模式安裝及執行SPLX 3，對SPLX來說會認為是RHEL 8。

實驗過程簡述如下:
1.在VirtualBox環境下建立Oracle Linux的VM(配置1 CPU、2G RAM、12G HD)
2.掛載由Oracle Linux網站下載的ISO檔完成安裝
3.登入Oracle Linux後開啟瀏覽器下載[url=https://files.trendmicro.com/products/splx/rhel8/SPLX30-X64-Redhat8_CentOS8_Suse15-repack2.tar.gz]SPLX30-X64.tgz[/url]
4.依照趨勢科技[url=https://docs.trendmicro.com/all/ent/splx/v3.0/en-us/splx_30_readme_x64_centos8_rhel8_suse15.txt]說明[/url]完成必要套件安裝
5.使用root權限，安裝SPLX 3(需要輸入啟動碼Activation Code才能正常啟動KHM)
6.查看目前趨勢科技網站中Red Hat Enterprise Linux 8.0支援的KHM版本到哪個kernel版號，例如4.18.0-240.8.1.el8-3.x86-64.x86-64，並將它下載。
7.切換到/opt/TrendMicro/SProtectLinux/SPLX.module目錄，然後將下載回來的KHM解壓縮
[code]cd /opt/TrendMicro/SProtectLinux/SPLX.module
tar zxvf /home/andowson/Downloads/splx_kernel_module-3.0.1.0023.rhel8_4.18.0-240.8.1.el8_3.x86_64.x86_64.tar.gz[/code]
8.安裝kernel-4.18.0-240.8.1.el8-3.x86-64.x86-64套件
[code]sudo dnf install kernel-4.18.0-240.8.1.el8_3[/code]

9.將Oracle Linux的kernel由UEK切換至RHCK(而且是有KHM的版號)
[code]sudo grubby --set-default /boot/vmlinuz-4.18.0-240.8.1.el8_3.x86_64[/code]

10.重開機

11.登入後，切換至root，使用/etc/init.d/splx status指令檢查是否已正常載入KHM

已知的問題:
1.執行/etc/init.d/splx start和/etc/init.d/splxhttpd start兩個指令雖然都顯示正常啟動SPLX管理網站splxhttpd，但實際上卻無法登入，需要手動下指令啟動才行
[code]cd /opt/TrendMicro/SProtectLinux/SPLX.httpd/bin/
./splxhttpd[/code]
2.然後下/etc/init.d/splx restart時就會出現無法正常關閉splxhttpd的錯誤訊息

參考資料:
[url]https://wiki.centos.org/zh-tw/About/Product[/url]
[url]https://blogs.oracle.com/scoter/switch-from-centos-to-oracle-linux-example[/url]
[url]https://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=111&lang_loc=1[/url]]]> https://forum.andowson.com/posts/preList/778/1540.page https://forum.andowson.com/posts/preList/778/1540.page GMT https://forum.andowson.com/posts/preList/681/1522.page https://forum.andowson.com/posts/preList/681/1522.page GMT
[code]ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=NO
ssl_tlsv1_1=NO
ssl_tlsv1_2=YES

ssl_ciphers=TLSv1.2:!aNULL:!eNULL[/code]

其中TLSv1.2:!aNULL:!eNULL這串設定到底支援那些加密演算法，可以透過執行下列指令來查詢:
[code]openssl ciphers -v 'TLSv1.2:!aNULL:!eNULL'[/code]

我們可以透過wc -l來確認調整cipherlist參數後數字有沒有降低
[code]openssl ciphers -v 'TLSv1.2'|wc -l[/code]
[code]openssl ciphers -v 'TLSv1.2:!aNULL'|wc -l[/code]
[code]openssl ciphers -v 'TLSv1.2:!aNULL:!eNULL'|wc -l[/code]

參考文件:
[url]https://www.openssl.org/docs/man1.0.2/man1/ciphers.html[/url]]]> https://forum.andowson.com/posts/preList/761/1518.page https://forum.andowson.com/posts/preList/761/1518.page GMT
搜尋了一下網路發現可以透故scponly這個套件來達成，首先可以透過下列網址安裝對應發行版本的epel套件
http://dl.fedoraproject.org/pub/epel/

例如
RHEL 6/CentOS 6
[code]rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm[/code]
RHEL 5/CentOS 5
[code]rpm -ivh http://dl.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm[/code]

然後再透過yum安裝scponly
[code]yum install scponly[/code]

安裝完成後將介面帳號的shell修改為/usr/bin/scponly，例如將user1的shell修改為scponly
[code]usermod -s /usr/bin/scponly user1[/code]

然後再利用WinSCP或FileZilla等工具程式確認是否可以正常SCP或SFTP
]]> https://forum.andowson.com/posts/preList/639/1332.page https://forum.andowson.com/posts/preList/639/1332.page GMT [code=text]AllowUsers user1@source_ip1 user2@source_ip2[/code]
兩個以上的帳號中間用空白隔開，如果來源IP是某個網段，最後一碼可以用*表示，例如
[code]AllowUsers user1@192.168.1.1 user2@192.168.2.*[/code]

適當位置是指需要放在Match的設定之前

設定完成後需要重新啟動sshd
[code]service sshd restart[/code]]]> https://forum.andowson.com/posts/preList/638/1331.page https://forum.andowson.com/posts/preList/638/1331.page GMT http://crm.vpscheap.net/knowledgebase.php?action=displayarticle&id=29

Linux IPTables: Incoming and Outgoing Rule Examples (SSH and HTTP)
http://www.thegeekstuff.com/2011/03/iptables-inbound-and-outbound-rules/

How to Log Linux IPTables Firewall Dropped Packets to a Log File
http://www.thegeekstuff.com/2012/08/iptables-log-packets/]]> https://forum.andowson.com/posts/preList/635/1328.page https://forum.andowson.com/posts/preList/635/1328.page GMT [quote] **Unmatched Entries**
passwd: PAM adding faulty module: /lib64/security/pam_fprintd.so: 1 Time(s)
passwd: PAM unable to dlopen(/lib64/security/pam_fprintd.so): /lib64/security/pam_fprintd.so: 無法開啟共用目的檔: 沒有此一檔案或目錄: 1 Time(s)
[/quote]

檢查了一下/var/log/secure確認幾天前就出現過多次了，切換到/etc/pam.d目錄，利用grep指令可以找到4個檔案有出現這個東西
[code]grep fprintd *
fingerprint-auth:auth sufficient pam_fprintd.so
fingerprint-auth-ac:auth sufficient pam_fprintd.so
system-auth:auth sufficient pam_fprintd.so
system-auth-ac:auth sufficient pam_fprintd.so[/code]
上網查了一下，發現這個fprintd是指紋辨識的認證套件，由於伺服器目前不需要這個功能，故不採用補安裝套件的方式處理，改走禁用這個功能，指令如下:
[code]authconfig --disablefingerprint --update[/code]
再對/etc/pam.d檢查一次，就只剩下fingerprint-auth和fingerprint-auth-ac有這個設定了

參考資料:
https://tickets.opscode.com/browse/BENTO-94]]> https://forum.andowson.com/posts/preList/631/1322.page https://forum.andowson.com/posts/preList/631/1322.page GMT [quote]Traceback (most recent call last):
File "/usr/bin/system-config-firewall-tui", line 29, in <module>
import fw_tui
File "/usr/share/system-config-firewall/fw_tui.py", line 34, in <module>
import fw_nm
ImportError: No module named fw_nm[/quote]

後來上網找到解法，就是安裝一個 system-config-firewall 套件:
yum install system-config-firewall

參考資料:
http://darkranger.no-ip.org/content/importerror-no-module-named-fwnm]]> https://forum.andowson.com/posts/preList/630/1321.page https://forum.andowson.com/posts/preList/630/1321.page GMT connect to address 192.168.1.1 port 544: Connection refused
Trying krb4 rsh...
connect to address 192.168.1.1 port 544: Connection refused
trying normal rsh (/usr/bin/rsh)

原因是rsh會先嘗試用kshell建立連接。如果想禁用這個功能，可作如下修改：
[code=plain]cd /usr/kerberos/bin
mv rsh rsh.sav
ln -s /usr/bin/rsh rsh[/code]

參考資料:
http://bbs.chinaunix.net/thread-2201076-1-1.html]]> https://forum.andowson.com/posts/preList/622/1305.page https://forum.andowson.com/posts/preList/622/1305.page GMT
[code=bash]
#!/bin/bash
# Name: banip.sh
# Author: Andowson Chang (andowson [at] gmail [dot] com)
# Version: 0.6
# Since: 2007-01-21
# Last Modified: 2013-06-09

# 修改這邊的參數
EXTERNAL_INTERFACE="eth0" # value can be "eth0" or "ppp0"
BANNED_HOSTS="/tmp/bannedhosts.txt"
BANNED_HOSTS_HISTORY="/tmp/history.txt"
IPTABLES="/sbin/iptables"
GREP_PARAM="^[[:digit:]]*\.[[:digit:]]*\.[[:digit:]]*\.[[:digit:]]*"
export LANG=en_US
TODAY=`date +%Y-%m-%d`
RANGE=`date "+%b %e"`
SECURE_LOG="/tmp/secure.${TODAY}"
SUSPECTED="/tmp/failed.${TODAY}"

# 將資料資料範圍縮小到今天
grep "$RANGE" /var/log/secure > $SECURE_LOG
grep "Failed password for invalid user" $SECURE_LOG | awk '{print $13}' > $SUSPECTED
grep "Failed password" $SECURE_LOG | grep -v "invalid user" | awk '{print $11}' >> $SUSPECTED

# 找出攻擊的主機IP
cat $SUSPECTED | sort | uniq > /tmp/attacker_ip1

# 找出已被封鎖的主機IP
$IPTABLES -L OUTPUT -n | grep DROP | awk '{print $5}' | sort | uniq > /tmp/attacker_ip2

# 比對差異，找出新增的IP
comm -23 /tmp/attacker_ip[1-2] > $BANNED_HOSTS # 新增主機資料
rm -rf /tmp/attacker*

# 將攻擊的主機IP加到iptables擋掉
for ip in $( grep $GREP_PARAM $BANNED_HOSTS )
do
echo "Check $ip"
#計算失敗次數
failcount=`grep $ip $SUSPECTED | wc -l`
#超過三次失敗者加入阻擋名單
if [ $failcount > 3 ]; then
echo "Deny access from host: $ip"
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -s $ip -j DROP
$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -d $ip -j DROP
# 將處理過的IP清單加到歷史檔去
echo $ip >> $BANNED_HOSTS_HISTORY
fi
done

rm -rf $BANNED_HOSTS
rm -rf $SECURE_LOG
rm -rf $SUSPECTED
[/code]]]> https://forum.andowson.com/posts/preList/33/1293.page https://forum.andowson.com/posts/preList/33/1293.page GMT http://www.linfo.org/main_index.html]]> https://forum.andowson.com/posts/preList/593/1258.page https://forum.andowson.com/posts/preList/593/1258.page GMT
想省掉安裝時間快速體驗的人可以到這邊下載... 8)

[url]http://www.thoughtpolice.co.uk/[/url]

:lol:]]> https://forum.andowson.com/posts/preList/588/1249.page https://forum.andowson.com/posts/preList/588/1249.page GMT 解決方法就是指定寄件人From:

[code]mutt -e 'my_hdr from:客服中心<service@andowson.com>' -s "測試資料" -a /tmp/test.txt somebody@andowson.com < /dev/null[/code]

這樣子就可以正常收到信了

參考資料:
http://pegasus923.pixnet.net/blog/post/33608243-%E5%9C%A8linux%E4%B8%8A%E5%88%A9%E7%94%A8mutt%E6%8C%87%E4%BB%A4%E5%AF%84%E9%99%84%E5%8A%A0%E6%AA%94mail]]> https://forum.andowson.com/posts/preList/288/1186.page https://forum.andowson.com/posts/preList/288/1186.page GMT http://plone.lucidsolutions.co.nz/linux/rpm/yum-metadata-file-does-not-match-checksum
發現這個問題的真正原因是 http caching，所以使用yum clean all並無法解決問題，
我決定採用讓yum暫時不要使用http caching的猛藥
將/etc/yum.conf加上
[code]http_caching=none[/code]
再重新執行一次
yum update
這次就OK了。]]> https://forum.andowson.com/posts/preList/562/1185.page https://forum.andowson.com/posts/preList/562/1185.page GMT