VirtualBox VM unter Linux erweitern

Bei mir läuft seit Ewigkeiten die WinSol Software in einer VM auf meinem Flurserver.
Heute war die Platte voll, also was tun?

# VBoxManage showmediuminfo /opt/VirtualBox\ VMs/Winsol/Winsol.vdi
UUID:           aaaaaaa-aaaa-aaaaa-aaaaaaa-aaaaaaaaaaaaaaa
Parent UUID:    base
State:          created
Type:           normal (base)
Location:       /opt/VirtualBox VMs/Winsol/Winsol.vdi
Storage format: VDI
Format variant: dynamic default
Capacity:       20000 MBytes
Size on disk:   19773 MBytes
Encryption:     disabled
Property:       AllocationBlockSize=1048576
In use by VMs:  Winsol (UUID: xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx)

dynamic default, gut..
resizen und starten

# VBoxManage modifyhd /opt/VirtualBox\ VMs/Winsol/Winsol.vdi --resize 40000
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
# VBoxHeadless --startvm "Winsol" &

Danach war am Ende der Platte unallozierter Speicherplatz eine 500MB Partion dazwischen.
um die Partition zu erweitern muss der leere Platz neben der bisherigen Partition liegen, das geht wohl mit gparted ich hab das im Windows mittels der Freien Version von Minitool Partition Wizard genmacht. https://www.partitionwizard.com/offline-download.html
Zum Verschieben der Partition taugt es alles andere geht auch mit Windows mitteln. Der Installer versucht einem penetrant die Pro Version unterzuschieben und andere Testversionen anzudrehen.. aufpassen

Joomla zeigt nach Update auf PHP7 nur „Error“

Kunde wollte PHP von 5.X auf 7.2 aktualisieren (Vorraussetzung für neue Joomla Version) danach zeigte die Webseite zeigte nur noch ein „Error“
Logfiles waren unscheinbar, keine Auffälligkeiten, zurückwechseln auf PHP5.x machte die Seite wieder erreichbar.

Also andersrum: Joomla Installation upgegraded und auf den letzten Stand (3.9) gebracht, danach wechsel auf PHP7.2 -> gleiches verhalten.

Am Ende stellt sich raus, das alte Password Hash Verfahren nicht mit dem neuen PHP mag/kompatibel ist.
Nach langem Suchen reichte es das PW für die Datenbank neu zu setzen und schon funktionierte wieder alles.

Linux Raid5 lahm

Ich hab bei mir ein dm-crypt auf nem Software Raid5 auf meinem Ubuntu 12.04LTS
laufen. (3*2TB im Raid 5)

Performance war mäßig ~30MB/s schreibend übers Netz (Kopie Windows -> Sambashare)

Also hab ich die CPU getauscht Celeron E1400 Dual Core (2Ghz) gegen nen
Core 2 Duo 8400 (mehr Cache, mehr FSB, 3Ghz)
Hat was gebracht jetzt kam ich auf 40MB/s :-/

Nach einigem Recherchieren die Einstellung der stripe_cache_size gefunden
Tuning mdadm
Speed up mdadm

Es verursacht angeblich keine Gefahr des Datenverlustes, braucht aber
Speicher:
StripeCache Size * 4kb*Anzahl Disks mit u.g. Einstellungen etwa 100MB

Ich habe 8192 gewählt und für meine md-Devices eingestellt:

root@seth:~# echo "8192" > /sys/block/md1/md/stripe_cache_size
root@seth:~# echo "8192" > /sys/block/md2/md/stripe_cache_size
root@seth:~# echo "8192" > /sys/block/md3/md/stripe_cache_size

Der Schreibspeed lag danach (die gleiche 4GB große Datei wie in den
Tests vorher auch) bei knapp über 85MB/s und damit nur knapp unter dem Speed
der Gigabit Verkablung.

Um es permanent zu machen wieder google bemüht:
Making stripe cache size permamnent

root@seth: cat /etc/udev/rules.d/60-md-stripecache.rules
SUBSYSTEM=="block", KERNEL=="md*", ACTION=="change",
TEST=="md/stripe_cache_size", ATTR{md/stripe_cache_size}="8192"

Angeblich muss/kann/soll man dann die initramfs rebuilden , das hab ich
gemacht:

"update-initramfs -u"

Nach nem Reboot stehen die 8192 drinnen und der Speed ist deutlich
besser als vorher.

User Authentifizierung gegen Radius – Fortinet

Früher oder später kommt man an den Punkt wo man seine User zentral Administrieren will. Und so z.B. seine Admin-User in einem Radiusserver hinterlegt.

Für Fortigates sind die Eintragungen einfach:
Im Radiusserver hinterlegt man nur das für Fortigate gültige admin-profil (hier in /etc/freeradius/users):

"fortiadmin" Cleartext-Password:= "fortiadmin"
        User-Service-Type = Login-User,
        Fortinet-Access-Profile = super_admin
"fortiread" Cleartext-Password:= "fortiread"
        User-Service-Type = Login-User,
        Fortinet-Access-Profile = read_only

Jetzt muss man der Fortigate Konfigurationen vornehmen
Als erstes legen wir ein „read_only“ Profile an und eins was garnichts darf („noaccess“), das ist für gültige User, die keine Fortigate VSAs haben.

config system accprofile
    edit "read_only"
        set admingrp read
        set authgrp read
        set endpoint-control-grp read
        set fwgrp read
        set loggrp read
        unset menu-file
        set mntgrp read
        set netgrp read
        set routegrp read
        set sysgrp read
        set updategrp read
        set utmgrp custom
        set vpngrp read
            config utmgrp-permission
                set antivirus read
                set application-control read
                set data-loss-prevention read
                set ips read
                set spamfilter read
                set webfilter read
            end
    next
    edit "noaccess"
        unset menu-file
    next
end

Wir konfigurieren einen Radiusserver (172.16.1.32) mit PSK 12345678

config user radius
    edit "freeradius"
        set all-usergroup enable
        set auth-type chap
        set nas-ip 172.16.1.2
        set secret 12345678
        set server "172.16.1.32"
    next
end

Dann legen wir eine User Gruppe an die den Server abfragt:

config user group
    edit "radadmin"
    set member "freeradius"         
    next
end

Und ordnen nun eine „Wildcardadmingruppe“ dieser Usergroup zu. Diese heißt hier „wildcard“

config system admin
    edit "wildcard"
        set remote-auth enable
        set accprofile "noaccess"
        set vdom "root"
        set wildcard enable
        set remote-group "radadmin"
        set radius-accprofile-override enable
        set radius-vdom-override enable
    next
end 

Jeder user („wildcard enable“) wird gegen Radius geprüft hat aber standardmäßig „noaccess“ als accprofile. Das verhindert das ein beliebiger gültiger Radiususer irgendwas auf der Fortigate darf.

Dieses accprofil kann (und muss) dann vom Radius überschrieben werden. Ebenso könnte man die vdom auf die ein User Zugriff hat spezifizieren. – Das wird hier aber nicht gemacht.

Lokale User werden lokal an der Fortigate verifiziert, alle anderen dank Wildcard im Radius nachgeschlagen.

Konfiguration freeradius für dot1x Teil 2

Weiter gehts.
Ich möchte dot1x Authentifizierung am Switchport machen. Man braucht dazu ein Zertifikat, damit EAP-TLS funktioniert, das baut man dank entsprechender Tools von freeradius ganz einfach:
Man löscht die Links und den ganzen kram aus /etc/certs und kopiert die Tools:
rm /etc/freeradius/certs/*
cp /usr/share/docs/freeradius/examples/certs/* /etc/freeradius/certs

Dann passt man die Dateienn server.cnf und ca.cnf an.
in ca.cnf:
[ CA_default ]
default_days = 3660
[ req ]
input_password = meinpass
output_password = meinpass
[certificate_authority]
countryName = DE
stateOrProvinceName = radius@jan
localityName = daheim
organizationName = Radius-Teste
emailAddress = me@example.com
commonName = "Radiustest"

Damit gilt das Zertifikat 10 Jahre. Das Password muss man auch in der /etc/freeradius/eap.conf bei private_key_password angeben
(per default steht es dort auf „Whatever“), damit der Schlüssel nachher geladen werden kann.

In die server.cnf übernimmt man Laufzeit und die Daten aus der Ceritificate authority.

mit
make all
baut man seine Zeritifkate

Wichtig: ca.der auf memory stick o.ä. kopieren, das ist unser Stammzertifikat und das brauchen wir auf den Clients, damit diese nachher eine TLS Tunnel aufbauen können.

Um die Konfig erstmal nicht mehr anpassen zu müssen machen wir noch eine Änderung die es später erlauben wird VLANs für User zurückzugeben. Dafür setzten wir in
/etc/freeradius/eap.conf
Die in ttls und peap ändern wir den Parameter von „no“ auf „yes“
use_tunneled_reply = yes

Damit sollte die Konfiguration von Freeradius fertig sein.

Jetzt spielt man das Zertifikat im Computer ein, bei XP durch Doppelklick, bei Windows 7 muß man händisch den „Vertrauenswürdigen Zertifikatsspeicher“ wählen.

Wie man den Cisocswitch aktiviert und Windows einstellt kommt im nächsten Artikel.