SSHの鍵のフィンガープリントを確認(openssh / ssh-keygen)

SSH、SFTPなどで接続する際に1回目は、鍵のハッシュ値の確認がきますがちゃんと確認してますか?(笑)
まぁ、だいたいOKして繋いじゃってるのではと思いますが、ハッシュ値の確認方法をメモ

sha256(デフォルト)
ssh-keygen -l -f id_ed25519

md5
ssh-keygen -l -f id_ed25519 -E md5

パスワード認証の場合は、ホスト鍵なので、
/etc/ssh/ssh_host_ed25519_key
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_rsa_key
とかですね。

カテゴリー: Linux タグ:

Windows10proで別セグメントと共有フォルダが繋がらない

いろいろやって繋がらないって言われたPCだったので
そもそもどうなってたかわからないですが、
ルータ(L3スイッチ)をまたいで、セグメントが違うWin10proの
ファイル共有に繋がらなかったのでメモ

<症状>
ping、rdpなどは通るがWindowsファイル共有につながらない
 
<対応>
ファイアウォールで「Netlogon サービス」を有効にする

カテゴリー: Windows タグ:

RHEL(Cent|Rocky|Alma)のインストール画面の解像度

RHELを新規インストールする際に仮想マシンだと解像度がうまく設定されなく、800×600になってしまい、グラフィカルな画面の時にボタンが見切れて、エスパーしながら気合でおしていた件。

なにか対応できるだろうと思いながら、どうせテンプレートにする1回目だけだしと思いながら、その場しのぎで放置していたのですが、新規でインストールする機会ができたので、せっかくなので調査。

isoファイルで起動して
「Install ~ Linux ~」のときに「Tab」キー
画面下部に、起動パラメータが表示されるので最後に

inst.resolution=1024x768

を追加して、Enterして起動。(キーボードが英語配列になると思うので「=」は「^」かな)
 
 
起動後のコンソールのサイズが大きい場合の変更は以下にメモ
CentOS7 コンソールの解像度変更(tksm.org)

カテゴリー: Linux タグ:

EBCDICファイルの閲覧(Word,サクラエディタ)

ファイルを開こうとおもったら「@@@@@@@@@@@@@@@@@@@」とかって、久しぶりに見るEBCDICファイルだったので開き方メモ
普通にテキストエディタで開くと文字コードがおかしいので、EBCDICのスペース(0x40)がSJISの「@」になるので「@」が並んでることがおおい。
 
◆Microsoft Word
Wordにこんな機能あるのは知らなかった(^o^)

Wordで該当ファイルを開こうとすると、ファイルの変換ということでエンコード方法を選択できるので
「IBM EBCDIC(日本語カタカナ)」を選択すれば開けます。
あとひと手間ですが、おそらく改行がない1行になっているので、テキストエディタなりに貼り付け直して、折返し桁数で調整すればいいかな。

Word EBCDIC
 
 
◆サクラエディタ
「設定(O)」→「文字コードの指定」→「CP」にチェックを付けて、「20290 (IBM EBCDIC – 日本語 カタカナ拡張)」にして「OK」ボタン
「ファイル(F)」→「開き直す」→「開き直す」
上と同様に折り返し桁数でカラム(レコード長)を調整

Sakura Editor EBCDIC

◆別案
EBCDIC-SJISは「FF」までの256文字しかないので、1対1で変換するVBSなりの簡単なスクリプトで変換するのも有り。
ただ、カタカナとかメーカとかで違いあったかな。

カテゴリー: Windows タグ:

RHEL(Cent|Rocky|Alma)のローカルDVDのリポジトリ

(件名がめんどくさいな(笑))
インターネットに接続していない環境だけど、ISOファイルなりはマウントできる状態でDVDイメージからパッケージを追加したい場合、あとあえてインストールDVDのバージョンでインストールしたい場合とか。

ISOファイルを/mntにマウント

mount -t iso9660 -o loop,ro /path/xxx.iso /mnt

/etc/fstabに書きたい場合

mkdir -p /media/dvdiso
/root/xxx.iso /media/dvdiso iso9660   loop,ro,auto,nofail 0 0

 
◆RHEL8以降の場合

[InstallMedia-BaseOS]
name=Red Hat Enterprise Linux 8 - BaseOS
metadata_expire=-1
gpgcheck=1
enabled=1
baseurl=file:///mnt/BaseOS/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

[InstallMedia-AppStream]
name=Red Hat Enterprise Linux 8 - AppStream
metadata_expire=-1
gpgcheck=1
enabled=1
baseurl=file:///mnt/AppStream/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

 
◆RHEL5,6,7の場合

[Server-DVD]
name=Red Hat Enterprise Linux $releasever - $basearch (DVD)
baseurl=file:///mnt/Server
enabled=1
gpgcheck=1 
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

 
 
<参考URL>
Need to set up yum repository for locally-mounted DVD on Red Hat Enterprise Linux 8(RedHat)
 
アップデートまたはインストールに DVD iso を使用する Red Hat Enterprise Linux 5/6/7 の apache から配信されるローカルリポジトリーを作成する(RedHat)

カテゴリー: Linux タグ:

\\xx.xx.xx.xxは見つかりません。綴りを確認して再実行してください

はぁ?なんでやねんと思いながら。
SMBv1が有効にしてもエラーがでた場合。グループポリシーとか資格情報で対応できることもありそう。
 
◆SMBv1の有効化
「コントロールパネル」から「Windowsの機能の有効化または無効化」
「SMB 1.0/CIFS クライアント」を有効化、この先ずっとであれば「自動削除」のチェックは外しておく。
 
 
◆グループポリシーの「安全でないゲストログオンを有効にする」を「有効」へ設定
[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[Lanman ワークステーション]
[安全でないゲスト ログオンを有効にする] を有効に変更。

レジストリの場合
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters」
の「AllowInsecureGuestAuth」の値を「dword:0」→「dword:1」

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters” /v “AllowInsecureGuestAuth” /t “REG_DWORD” /d “00000001” /f

 
 
◆資格情報の登録
[コントロールパネル]-[ユーザアカウント]-[資格情報マネージャー]-[Windows 資格情報の追加]
で、あらかじめ資格情報を登録しておく。

バッチでもできるらしい(未確認)

→追加
cmdkey /add xx.xx.xx.xx /user:ユーザ名 /pass:パスワード
→削除
cmdkey /delete xx.xx.xx.xx
→一覧
cmdkey /list
カテゴリー: Windows タグ:

中華系とかでSMSが送信できない対応

具体的には、A13ProMax5Gですが、SMSが受信はできるのですが、送信できなかったのでメモ。
SIMはDocomo系のIIJmio
 

1.電話アプリから「*#*#4636#*#*」(標準のダイヤラを使う)
2.携帯電話情報
3.画面下のSMSC、「右側」の「更新」(ちゃんと設定されていれば「更新」押したら下の番号が表示される)
4.「+81903101652」を入力して「右側」の「更新」

「”+81903101652″,145」といれるとよい場合もある様子

 
<参考URL>
SMSで送信のみ出来なくなった時の対応方法。備忘録。Android。(マイネ王)

カテゴリー: けいたい タグ:

update-crypto-policies (SHA1を有効)

update-crypto-policies をもう一つ
update-crypto-policiesで、ポリシーを「DEFAULT」のままSHA-1だけ有効にする方法

(なぜメモったか覚えてないのですが、なにかのパッケージをインストールしようとしたときに、弱くする必要があって、そこのガイドに書いてあったのでメモってあったのかな)

変更(反映はReboot必要)

update-crypto-policies --set DEFAULT:SHA1

戻す(戻すのもReboot必要)

update-crypto-policies --set DEFAULT

確認

update-crypto-policies --show

 
LEGACYにすると、弱くなりすぎるだろうということで、SHA-1のみであればこのコマンドもアリですよというところです。
SHA1のところは、ポリシーモディファイア(policy modifier)というらしいのですが、
/usr/share/crypto-policies/policies/modules,/etc/crypto-policies/policies/modulesあたりに格納されている様子

 
3.9. SHA-1 を再度有効に(Redhat)
How to customize crypto policies in RHEL 8.2(Redhat)

カテゴリー: Linux タグ:

リモート デスクトップ 接続マネージャー(RDCMan)

リモート デスクトップ 接続マネージャー v2.92

久しぶりにみたらRDCManが、v2.92までになってたのでアップデートした。
(違いはChangeLogを見つけれなかったのでわからない(笑))

RDP接続が多い(サーバ管理者とかの)場合は、左側のメニューから何台もつなげるので便利なツール。

カテゴリー: Windows タグ:

古いLinuxのSSL問題(リバースプロキシ)(update-crypto-policies)

Rocky8なり9(Alma,CentOS,RHELでも)でリバースプロキシで古いCentOS5とか6のHTTPSにリバースプロキシしようとすると、TLSのポリシーが満たされないのでつながらない件
(古いLinuxは残さざるをえないが、SSL/TLSが1.1までしかできないといろいろNGなので、前段にリバースプロキシをおいて、隠蔽しよう作戦のため)
 

 [remote xxx.xxx.xxx.xxx:443] AH01961:  failed to enable ssl support [Hint: if using mod_ssl, see SSLProxyEngine]
 AH00961: https: failed to enable ssl support for xxx.xxx.xxx.xxx:443 (example.jp)

 
 
100点満点かはおいといて暗号化ポリシーを弱く(DEFAULT→LEGACY)することで接続可能
参考URLにあるcurlなどのコマンドも同様

update-crypto-policies --set LEGACY

 
※その他(リバースプロキシApache側の設定)


    SSLEngine on
    SSLCertificateKeyFile   path/to/file
    SSLCertificateFile      path/to/file
    SSLCertificateChainFile path/to/file

    ProxyRequests Off
    SSLProxyEngine On
    SSLProxyVerify none

    ProxyTimeout 600
    ProxyPass           /     https://example.jp/
    ProxyPassReverse    /     https://example.jp/


「example.jp」は「/etc/hosts」ファイルにIPを参照できるようにしておくといいかもね。

<参考URL>
CentOS 8.0にしたらいくつかのURLに error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small でアクセスできなくなった(日々の覚書)

カテゴリー: Linux タグ:

ハイパーバイザ on VMware(ESXi)

2022 年 12 月 17 日 コメントはありません

昔はもうすこし面倒だったような気もしたのですが、
ESXi(6.7)でHyper-Vを検証したいとのことで設定の確認
VMware上で、Hyper-Vなり、ESXiなりを立ち上げる時に必要。
 
Hyper-Vは使ったことなかったのですが、動くかの確認で試したところ、以外と簡単なので、ローカルのテスト環境作成には使いやすいかもと認識
 
ゲストOSを停止した状態で、.vmxファイルに以下のパラメータを追加
→自分は、SSHでログインして追記しちゃいましたが、vCenterのパラメータ設定からできないとの情報もあったので、SSHなりで追記するか、.vmxファイルをダウンロード→アップロードする必要があるかも
 
◆WindowsServer2016以降(ESXiの場合もたぶんこちら)

vhv.enable = "TRUE"

 
◆WindowsServer2012以前

hypervisor.cpuid.v0 = "FALSE"
mce.enable = "TRUE"

 
 
◆参考URL
VMware 内でHyper-Vを有効にする(OtomosaBlog)

カテゴリー: 仮想化 タグ:

コンパクト メカニカル 日本語 キーボード (赤軸)

ゲーミングな必要はないのですが、仕事用で使える軽め(赤軸)のキーボードをいくつかメモ
ロジクールは間違いないと思うのですが、PrtScreen,ScrollLock,Pauseキーが無いんですよね。あんまり使わないですが、PrtScreenが画面キャプチャする時つかわん?
 
iCleverとE-YOOSOのは、ゲーミングなのでキーボードがチカチカ光るので、光って困る場合は、設定で光らないようにはできます(明るさを最低にすると大丈夫)
赤軸自体の違いは詳しくないですが、iCleverがすこし軽い感じします、E-YOOSO ‎K620とロジクール K835GPRは同じくらいかな?
 
音もしますが、自分的には、会社でも問題ないレベルだとは思います。
マウスのカチカチするやつのほうがよっぽど気になるかも、会議中でマウスカチカチされるとイラッとくる(笑)

iClever G01(赤軸)

FN+ほ     ライトDown
FN+へ     ライトUp
消灯まで下がるとCaps LockとScroll Lockが点滅

E-YOOSO ‎K620(赤軸)

FN+↓      ライトDown(一番下になると消える)
FN+↑      ライトUp
FN+Pause  側面のライト消し
FN+Ins    点滅パターン変更

ロジクール K835GPR(赤軸)

ロジクール K855GR (赤軸 ワイヤレス)

 
 
こちらは メンブレンキーボードですが、Nキーロールオーバー対応なので。
これは昔使ってましたが、キーがちょっと重く感じてきたので使わなくなりました。
ビット・トレード・ワン BFKB92UP2

 
 
以下エレコムは、茶軸なんですが、こちらは使ってないのでメモ程度で
 
エレコム TK-G01UKBK(茶軸)

エレコム ECTK-G01UKBK(茶軸)

カテゴリー: blog タグ:

ホームゲートウェイ(PR-500MI)のローカルDNSの設定

ホームゲートウェイ(PR-500MI)で、内部DNSのゾーンを作って、特定のドメイン(ゾーン)だけ内部IPを返答させたい場合。
 
→「トップページ > 詳細設定 > DNS設定の画面
サーバはIPv4なんだけど、設定画面での入力は、IPv4射影アドレスとやらで入れる必要あり。
 
ブラウザのアドレスバーに以下のようにいれるとIPv6のアドレスに変換してくれる機能が便利

http://[::ffff:192.168.0.1]

をいれると以下に変換されるのでこれを登録する

http://[::ffff:c0a8:1]/

 
 
参考URL
PR-500MIでDNSサーバーをIPv4で指定する(うにゃのすみか)
 
 
(追記)
内部DNSもIPv6のアドレスも接続OKにしないといけないはず、Allow-queryでIPv4のIPだけ書いてると繋がらなかったはず(未確認)

カテゴリー: Linux, Windows タグ:

crontab内で、dataコマンドのフォーマットしたい

crontab内でdateコマンドでフォーマットした文字列をいれたいときは%はエスケープ必要でしたというメモ
 
例えばチェックプログラムの結果をメールで送信するけど、メールの件名(Subject)に日付をいれたい場合

0 * * * * chk.sh | mail -s "[CHK]-`/bin/date '+\%Y/\%m/\%d'`" abc@example.com
カテゴリー: Linux タグ:

RockyLinux 8 で Windowsのwmiでイベントログ取得

RHEL8でもAlmaLinux8でもよいのですが、WindowsのWMIを使ってイベントログを取得したくなったのでメモ
 
wmiをつつくパッケージがあればいいのですが、el8だったりel9に対応したやつが見当たらない。
で、探し回ったところ、Pandora FMS のパッケージでwmiが配布されているのでこれが拝借できそう。(el9は無い)

dnf install -y https://firefly.pandorafms.com/centos8/wmi-1.3.14-4.el7.art.x86_64.rpm

 
 
イベントログ取り出し方(例)

/usr/bin/wmic -U administrator%password //xx.xx.xx.xx  "SELECT TimeGenerated,SourceName,Type,EventIdentifier FROM Win32_NTLogEvent Where LogFile='Application'"
カテゴリー: Linux タグ:

Windows11をWin10風に戻す設定

普段右クリック(コンテキストメニュー)から、切り取り、コピー、貼り付け、zipの解凍などしてると、Windows11のコンテキストメニューは、アイコンになったり、「その他のオプションを表示」で展開する必要あって、かなーりストレスです。
オプション等で変更できればいいのですが、レジストリを変更する必要があり、マイクロソフトとしては戻す気はあまりなさそうなのですが、以下手順でWindows10のときのように表示方法を変更できます。
 
◆右クリック(コンテキストメニュー)ををWin10風に
→Win10風設定

reg.exe add “HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32” /f /ve

→Win11の状態に戻す

reg.exe delete "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}" /f

 
◆エクスプローラーの上のメニューをWin10風に
→Win10風設定

reg.exe add "HKCU\Software\Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}\InprocServer32" /f /ve

→Win11の状態に戻す

reg.exe delete "HKCU\Software\Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}" /f

(補足) エクスプローラーの「表示」メニューから「コンパクトビュー」にするとエクスプローラーの行間が狭くできる

カテゴリー: Windows タグ:

非対応のPCにWindows11をインストール

マイクロソフトからも公式に方法などはでていますが、今後WindowsUpdateなどが提供されつづけるかはわからないので自己責任で。
(このブログの記事を何件か消してしまった中にこの内容もあったはずので書き直し)

22H2でましたが、自分の環境では、21H2からは、AllowUpgradesWithUnsupportedTPMOrCPUのレジストリではWindows11InstallationAssistant.exeからはチェックにひっかかって適応できなかったので、RufusでUSBインストーラー作って、そこから上書きアップグレードしたら22H2にできた。
 
 
◆Windows10からアップグレードしたい場合
以下のレジストリを作成して、アップグレードを始める

reg add HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup /v AllowUpgradesWithUnsupportedTPMOrCPU /t REG_DWORD /d 1 /f

 
 
◆DVD媒体、ISOファイルなどで新規インストールの場合
インストーラが起動してきて、途中で、「SHIFT」+「F10」でコマンドプロンプトが開くので「regedit」起動して、以下のLabConfig配下のキーを作成。

reg add HKLM\SYSTEM\Setup\LabConfig /v BypassTPMCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassSecureBootCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassRAMCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassStorageCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassCPUCheck /t REG_DWORD /d 1 /f

 
RufusでISOファイルからインストールUSBを作成するのであれば、そこでバイパスさせる設定をいれることも可能
作成ボタンを押したときに、ダイアログがでてくる
ローカルアカウントのOSセットアップも簡単 ~インストールメディア作成ツール「Rufus」v3.20(窓の杜)

カテゴリー: Windows タグ:

vMotion(移行)メニューがグレーアウトしてvMotionできない

VMware(ESXi7.0)環境で、vCenterからvMotion(移行)しようとおもったらグレーアウトしてできなくなってたのに気が付いたので調査
イメージバックアップ製品がたぶん途中でコケたりして完了の状態がおかしくなっていた模様
 
とりあえずKBの指示通り状態を変更すればOk(時間がなかったのでとりあえずメモだけ)
 
Migration options for a virtual machine are greyed out though vMotion is licensed (1029926)(VMware KB)

カテゴリー: 仮想化 タグ:

Rocky (Alma) Linux 9 リリース

Rocky Linux 9 がリリースされましたので、このサーバをアップデートしようと入れなおしたのですが、バックアップを取り忘れてしまい、いくつかの記事が飛んでしまいました(T_T)
 
コンテンツフォルダなどはちゃんと取っていたのですが、DBをちゃんとダンプしたのですが、ダンプしたフォルダをよけてなかった(笑)、結局DBは過去のバックアップから戻したので、結構前に戻ってしまいました。最近更新してなかったので、消えたのは数件だと思うのですが、自分でよく使ってたメモだったような気もするので、ガックシ。
 
 
Rocky Linux 9.0 Available Now
 
AlmaLinux 9 Now Available!
 
 
RockyでもAlmaでもどちらでもいいのですが、Almaは企業色もあり、現状は対応は早いのですが、(無いとは思いますが)商売っ気出してきてなにか利用制限されるとか、どっかに買収されてどうにかなるとかないですかね。Rockyは一応コミュニティベースなので、継続はされそうですが、資金やヒトのリソースが足りなくなってきて頓挫するとか。。とネガティブな事ばかり考えててもきりがないのですが(笑)
 
日本のネット記事などからは、対応も早いAlmaのほうが優勢にも見えますが、個人的にはRockyのほうが安心なのではと見てますがどうでしょうか。 
UbuntuやDebianも悪くはないのですが、これもあくまで個人的にはですが、インストールするパッケージが結構カスタマイズされていて、すぐ使えるのはいいのですが、パッケージの設定が製品のデフォルトからどうカスタマイズされているかが気になって使いにくい感じがするんですよねー

カテゴリー: Linux タグ:

ssh で no kex alg 接続エラー

slogin xxx とすると

no kex alg

で、繋がらない。

◆古いCentOS→(Rocky9|Alma9|RHEL9)

サーバ側のログ

/var/log/secure
May 15 13:11:18 sv01 sshd[12223]: Unable to negotiate with xx.xx.xx.xx port 44073: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 [preauth]

 
SHA1系が使えなくなっているのでSHA1を有効にする
(セキュリティは弱くなるのでインターネット公開などの場合は非推奨)

update-crypto-policies --set DEFAULT:SHA1
再起動

 
update-crypto-policies (SHA1を有効)
 
 
 
◆古いCentOS→Ubuntu20.04

要求されるキー交換アルゴリズムが対応できていないのでSSHサーバ側で対処

/etc/ssh/sshd_config

KexAlgorithms +diffie-hellman-group14-sha1

とか

KexAlgorithms +diffie-hellman-group1-sha1

group14のほうが強度は高そう、「+」は追加する意味なので忘れないこと

カテゴリー: Linux タグ: