Säkra upp vCenter 5.5 från att delta i NTP DDOS attacker

Hej!

På förekommen anledning vill vi påminna kunder som använder VMWare med vCenter att säkra upp sina installationer.

vCenter 5.5 har detta problem av någon anledning när äldre vCenter 5.1 och 5.0 inte har det.
För att säkra upp vCenter, aktivera SSH på vCenter appliancen (borde vara igång per default).
Logga in med ssh och root-användaren.

Följ dessa steg:

  1. vi /etc/ntp.conf
  2. Flytta kursören med piltangenterna till raden som innehåller “driftfile /var/lib/ntp/drift/ntp.drift”
  3. Tryck ‘i’  för att gå in i redigeringsläge med vi.
  4. Skriv “disable monitor” följt av Enterknapp.
  5. Tryck ‘ESC’ för att gå ur redigeringsläge.
  6. Skriv ‘:wq’ för att spara filen och avsluta vi.
  7. I kommandoraden skriv ’service ntp restart’ för att starta om ntp-tjänsten.

Klart!

OpenVZ IPv6 tunnelbroker HE setup

Adminor provides native IPv6, but if you’d like to setup an IPv6 tunnel you can still do so.

Crossposted from http://www.cybermilitia.net/2013/07/22/ipv6-tunnel-on-openvz/

You can get IPv6 connectivity using a tunnel, if you don’t have native IPv6 support.
Doing this is pretty straightforward if you have a dedicated server or a KVM VPS.

However, with an OpenVZ VPS, things are a little different.

Here’s how you can get IPv6 working on a OpenVZ VPS with a tunnel – Tutorial for Debian (tested on wheezy).

  1. Create a tunnel at tunnelbroker.net
    Hurricane Electric allows creation of up to 5 free IPv6 tunnels @ tunnelbroker.net.
    Create one for your VPS.
  2. Enable TUN/TAP on your VPS.
    It should normally be possible to do this through your control panel (e.g., SolusVM).
    If not, a support ticket with your provider should get it done fairly quickly.
    Be advised that toggling this option forces a reboot. So plan accordingly.
  3. tb-tun
    tb-tun is a userspace program that utilizes TUN/TAP to build a tunnelbroker tunnel on linux.
    Since we can’t do it any other way on a OpenVZ VPS.

    apt-get install iproute gcc
    cd /root
    wget http://tb-tun.googlecode.com/files/tb-tun_r18.tar.gz
    tar -xf tb-tun_r18.tar.gz
    gcc tb_userspace.c -l pthread -o tb_userspace
  4. Create a new init script
    nano /etc/init.d/ipv6tb

    and put in the following contents (after replacing the correct IP addresses, of course)
    Remember, for the tunnel, your VPS IP is the client and the Hurricane Electric IP is the server.

    #! /bin/sh
    ### BEGIN INIT INFO
    # Provides:          ipv6
    # Required-Start:    $local_fs $all
    # Required-Stop:     $local_fs $network
    # Default-Start:     2 3 4 5
    # Default-Stop:      0 1 6
    # Short-Description: starts the ipv6 tunnel
    # Description:       ipv6 tunnel start-stop-daemon
    ### END INIT INFO
    # /etc/init.d/ipv6tb
    touch /var/lock/ipv6tb
    case "$1" in
      start)
        echo "Starting ipv6tb "
          setsid /root/tb_userspace tb [Server IPv4 Address] [Client IPv4 Address] sit > /dev/null 2>&1 &
          sleep 3s #ugly, but doesn't seem to work at startup otherwise
          ifconfig tb up
          ifconfig tb inet6 add [Client IPv6 Address]/64
          ifconfig tb inet6 add [Routed /64]::1/64 #Add as many of these as you need from your routed /64 allocation
          ifconfig tb mtu 1480
          route -A inet6 add ::/0 dev tb
          route -A inet6 del ::/0 dev venet0
        ;;
      stop)
        echo "Stopping ipv6tb"
          ifconfig tb down
          route -A inet6 del ::/0 dev tb
          killall tb_userspace
        ;;
      *)
        echo "Usage: /etc/init.d/ipv6tb {start|stop}"
        exit 1
        ;;
    esac
    exit 0

    Make it executable, and add it to startup –

    chmod 0755 /etc/init.d/ipv6tb
    update-rc.d ipv6tb defaults
  5. Execute it right away –
    /etc/init.d/ipv6tb start

    OR simply reboot.

    Test to confirm that IPv6 connectivity is working

    ping6 -c 5 google.com

VMware tools på Cent-OS 6

1.

Öppna en terminal och växla till root-användare

su root

2.

Uppdatera den virtuella maskinen

yum update

3.

Boota om VM efter uppdatering

reboot

4.

Logga in igen, öppna en terminal och växla till root-användaren

su root

5.

Installera GNU Compiler Collection (GCC) samt perl

yum install gcc kernel-devel perl

6.

Montera VMWare Tools ISO

I vmware esxi klient , klicka ”Guest” Start vmware tools installation
I konsolen kör:
mkdir /mnt/cdrom
mount /dev/cdrom /mnt/cdrom

7.

Kopiera VMWareTools till disk

cp /mnt/cdrom/VMwareTools*.gz /tmp

8.

Navigera till tmp-katalogen

cd /tmp

9.

Packa upp VMware Tools tarball till/tmp

tar -C /tmp -zxvf VMwareTools*.gz

10.

Gå in i den uppackade katalogen

cd vmware-tools-distrib

11.

Exekviera installations-scriptet med -d växel för standardinställningar

./vmware-install.pl -d

(vill du inte ha standardinställningar eller ändra nån parameter, ta bort -d innan du kör scriptet)

Adminor webbservrar PHP

Hej!

Sen 2014-12-25 har nu det gamla stödet för PHP5.3 deaktiverats helt. Vi rekommenderar att du ser till att dina webbplatser stödjer PHP5.4 funktioner.
Helst bör du se till så att eventuella funktioner som inte längre stödjs i nyare PHP5.5 ej används.

För att se en lista med föråldrade funktioner läs dessa länkar:

http://php.net/manual/en/migration54.deprecated.php
http://php.net/manual/en/migration55.deprecated.php
http://php.net/manual/en/migration56.deprecated.php

För att summera, php 5.3 stödjs alltså ej alls sedan 2014 Augusti. Nu måste man köra minst 5.4 av säkerhetsskäl!
PHP 5.2 som ej supportas sedan 2011 har kända säkerhetshål och bör ej köras på några kundmaskiner, kontakta oss om ni behöver hjälp med uppgradering

SSL ”poodle” buggen – mailservrar

Hej!

I samband med att Thunderbird inte längre stödjer SSLv3 har Adminor bestämt sig för att vi inte längre kommer göra det heller.
Detta för att säkra upp system för ”poodle”-buggen för SSL.

Det kan krävas en ändring i din epostklient så att du kan ta emot och läsa din imap epost.
Om du använder thunderbird med bigfoot.xh.se bör din serverinställning se ut så här för inkommande epost:

bigfoot epost ssl inställning
bigfoot epost ssl inställning

 

 

 

 

 

 

Kör du Outlook eller annan epostklient ska du använda TLS och port 143 för imap.
SSL port 993/995 används ej just nu.

Använder du lightfoot bör servernamn istället vara lightfoot.xh.se .
Kör du epostserver smallfoot så bör du inte behöva ändra något. Kontakta dock oss om ni har problem!

Använder du android eller annan telefon så klicka i STARTTLS istället för SSL under inkommande epostinställningar.