FortiGate: Añadir doble verificación mail y configurar bookmark

Publicado el 14 marzo, 20194 julio, 2019 por Morris Phillips

Añadir usuario con IP fija – VPN

1º Crear el objeto/portal con la IP: 
# VPN\SSL-VPN Portals
# Create New
# Nombre: xxx
# Deshabilitar Split Tunneling
# Source IP Pools y agregar la IP fija (objeto creado en Policy & Objects\Addresses)
# Deshabilitar Web Mode (Si no se quiere que acceda vía Web)

2º Añadir el usuario con el portal(objeto) creado en el punto anterior.
# SSL-VPN Settings
# Authentication/Portal Mapping
# Create New
# Usuario xxx 
# Portal xxx

3º Crear las políticas que le van a permitir navegar desde la SSL-VPN.

1º Crear el objeto/portal con la IP:

# VPN\SSL-VPN Portals

# Create New

# Nombre: xxx

# Deshabilitar Split Tunneling

# Source IP Pools y agregar la IP fija (objeto creado en Policy & Objects\Addresses)

# Deshabilitar Web Mode (Si no se quiere que acceda vía Web)

2º Añadir el usuario con el portal(objeto) creado en el punto anterior.

# SSL-VPN Settings

# Authentication/Portal Mapping

# Create New

# Usuario xxx

# Portal xxx

3º Crear las políticas que le van a permitir navegar desde la SSL-VPN.

Si necesitamos añadir un bookmark a un usuario a su SSL-VPN tenemos que hacerlo vía línea de comandos.

Seguiremos estos pasos:

# FG29 # config vpn ssl web user-bookmark 
 
# FG29 (user-bookmark) # edit luis#  (importante poner # para que funcione) 
 
# FG29 (luis) # config bookmarks 
 
# FG29 (bookmarks) # edit "RDP_Luis"  (importante las comillas dobles)
 
# FG29 (RDP_Luis) # set apptype rdp
 
# FG29 (RDP_Luis) # set host "110.11.15.2" (importante las comillas)
 
# FG29 (RDP_Luis) #  set security any

# FG29 (RDP_Luis) # set port 3389
 
# FG29 (RDP_Luis) # end
 
# FG29 (luis) # show
config vpn ssl web user-bookmark
    edit "luis"
        config bookmarks
            edit "RDP_Luis"
                set apptype rdp
                set description "PC_Luis"
                set host "110.11.15.2"
                set port 3389
            next
        end
    next
end

# FG29 # config vpn ssl web user-bookmark

# FG29 (user-bookmark) # edit luis# (importante poner # para que funcione)

# FG29 (luis) # config bookmarks

# FG29 (bookmarks) # edit "RDP_Luis" (importante las comillas dobles)

# FG29 (RDP_Luis) # set apptype rdp

# FG29 (RDP_Luis) # set host "110.11.15.2" (importante las comillas)

# FG29 (RDP_Luis) # set security any

# FG29 (RDP_Luis) # set port 3389

# FG29 (RDP_Luis) # end

# FG29 (luis) # show

config vpn ssl web user-bookmark

edit "luis"

config bookmarks

edit "RDP_Luis"

set apptype rdp

set description "PC_Luis"

set host "110.11.15.2"

set port 3389

end

Doble Verificación:

# FG117369 # config user local
 
# FG117369 (local) # edit luis
 
# FG111369 (luis) # set email-to 65111226@email_sms.net
 
# FG111111 (luis) # set two-factor email
 
# FG111111 (luis) # show
config user local
    edit "luis"
        set type ldap
        set two-factor email
        set email-to "651111226@email_sssm.net"
        set ldap-server "LDAP_ServidorX"
    next
end

# FG117369 # config user local

# FG117369 (local) # edit luis

# FG111369 (luis) # set email-to [email protected]_sms.net

# FG111111 (luis) # set two-factor email

# FG111111 (luis) # show

config user local

edit "luis"

set type ldap

set two-factor email

set email-to "[email protected]_sssm.net"

set ldap-server "LDAP_ServidorX"

end

Enjaular SFTP con clave publica y password (jail Centos 7 sftp)

Publicado el 13 marzo, 201913 marzo, 2019 por Morris Phillips

Si algún cliente nos pide poder enjaular un sftp y que se autentique con clave pública y además con usuario y password tendremos que seguir estos pasos.:

# adduser bsl3
# passwd bsl3
# mkdir -p /compartido/sftp
# mkdir -p /compartido/sftp/uploads
# chown root:root /compartido/sftp
# chmod 755 /compartido/sftp/
# chown bsl3.bsl3 /compartido/sftp/uploads/
# vim /etc/ssh/sshd_config

# adduser bsl3

# passwd bsl3

# mkdir -p /compartido/sftp

# mkdir -p /compartido/sftp/uploads

# chown root:root /compartido/sftp

# chmod 755 /compartido/sftp/

# chown bsl3.bsl3 /compartido/sftp/uploads/

# vim /etc/ssh/sshd_config

Añadimos estas líneas al sshd_config:

Subsystem sftp internal-sftp

Match User bsl3
        ForceCommand internal-sftp
        RSAAuthentication yes
        PubkeyAuthentication yes
        AuthenticationMethods "publickey,password" "publickey,keyboard-interactive"
        ChrootDirectory /compartido/sftp
        PermitTunnel no
        AllowAgentForwarding no
        AllowTcpForwarding no
        X11Forwarding no

Subsystem sftp internal-sftp

Match User bsl3

ForceCommand internal-sftp

RSAAuthentication yes

PubkeyAuthentication yes

AuthenticationMethods "publickey,password" "publickey,keyboard-interactive"

ChrootDirectory /compartido/sftp

PermitTunnel no

AllowAgentForwarding no

AllowTcpForwarding no

X11Forwarding no

# systemctl restart sshd

Nos logueamos con el ususario
# su - bsl3

#  ssh-keygen -t rsa
#  cd .ssh
#  ls -al
#  rm -rf *
#  vim authorized_keys

Copiamos las claves públicas en el authorized_keys

#  chmod 600 authorized_keys
#  exit

# systemctl restart sshd

Nos logueamos con el ususario

# su - bsl3

# ssh-keygen -t rsa

# cd .ssh

# ls -al

# rm -rf *

# vim authorized_keys

Copiamos las claves públicas en el authorized_keys

# chmod 600 authorized_keys

# exit

Y Probamos .-)

# sftp bsl3@TheMachine.est

1	# sftp [email protected]

Si hacemos un cd / no deberemos ver ningún árbol de directorio del sistema.

Sólo podremos escribir en /compartido/sftp/uploads

Y si tratamos de hacer un ssh no nos dejará. Pero si queremos asegurarnos podemos modificar el /etc/passwd y añadirle al usuario /bin/false

Autenticación ssh con clave pública y con password

Publicado el 4 marzo, 20194 marzo, 2019 por Morris Phillips

Sí queremos tener autenticación vía SSH con clave pública y añadirle además un segundo factor como es contraseña podemos hacerlo añadiendo estas líneas al fichero sshd_config

Match User Usuario_Doble
        RSAAuthentication yes
        PubkeyAuthentication yes
        AuthenticationMethods "publickey,password" "publickey,keyboard-interactive"

Match User Usuario_Doble

RSAAuthentication yes

PubkeyAuthentication yes

AuthenticationMethods "publickey,password" "publickey,keyboard-interactive"

Esto hará que el usuario Usuario_Doble se le pida el certificado y luego le pregunte la clave de sistema operativo.

Ojo. No olvidar reiniciar el servicio ssh 🙂

¡Error!: blk_update_request: I/O error, dev fd0

Publicado el 8 enero, 20198 enero, 2019 por Morris Phillips

El problema radica en que el kernel identifica el dispositivo floppy y crea una referencia inexistente.

Para ver si el problema saca algún evento:

# lsmod | grep -i floppy

1	# lsmod \| grep -i floppy

Eliminamos el floppy

# rmmod floppy

1	# rmmod floppy

Creamos el archivo blacklist-floppy.conf

# echo "blacklist floppy" > /etc/modprobe.d/blacklist-floppy.conf

1	# echo "blacklist floppy" > /etc/modprobe.d/blacklist-floppy.conf

Hacemos copia de initrd.img

# cp /boot/initrd.img-$(uname -r) /boot/initrd.img-$(uname -r).backup

1	# cp /boot/initrd.img-$(uname -r) /boot/initrd.img-$(uname -r).backup

Actualizamos initramfs

# dracut -f /boot/initramfs-$(uname -r).img

1	# dracut -f /boot/initramfs-$(uname -r).img

Y reiniciamos

# reboot

# reboot

Instalar Python 3.6.6 en Centos 7

Publicado el 9 agosto, 20189 agosto, 2018 por Morris Phillips

Requerimientos

# yum install gcc openssl-devel bzip2-devel

1	# yum install gcc openssl-devel bzip2-devel

Descargamos el paquete

# cd /usr/src
# wget https://www.python.org/ftp/python/3.6.6/Python-3.6.6.tgz

1 2	# cd /usr/src # wget https://www.python.org/ftp/python/3.6.6/Python-3.6.6.tgz

Descomprimimos

# tar xzf Python-3.6.6.tgz

1	# tar xzf Python-3.6.6.tgz

Instalamos

# cd Python-3.6.6
# ./configure --enable-optimizations
# make altinstall

# cd Python-3.6.6

# ./configure --enable-optimizations

# make altinstall

Make altinstall es usado para prevenir reemplazar el binario que viene por defecto de /usr/bin/python

Borramos el paquete descargado

# rm /usr/src/Python-3.6.6.tgz

1	# rm /usr/src/Python-3.6.6.tgz

Comprobamos la versión

# python3.6 -V

1	# python3.6 -V