2020年12月25日 星期五

開發系統時檔案的權限真的要注意

 剛犯了一個好笑的錯誤,記錄一下。

之前作了一個系統,原理很簡單:

1、上傳檔案

2、讀檔寫到DB以便作長期追蹤

3、用jpgraph畫圖

4、用PHPPresentation把圖作成簡報。

上週突然要加新的圖和說明文字。這個工作很簡單,網路上找張圖再塞進去。

但說也奇怪手動執行時該圖會出現在簡報上,但用上傳檔案介面時就是不會。

唯一的差異就是一個用我的帳號執行,一個用apache帳號執行。

難道會是PHP有問題嗎?

查了一下才想到,該不會是新抓的圖不給人讀吧。

回頭看一下,果然,新圖是700權限.....

2020年11月11日 星期三

spanning tree mode rapid pvst (spanning tree 快速收斂)

用GNS3做了一個很簡單的測試。如果靠L2 switch做路徑切換,大概要斷多久。

把左下角的那一條拿掉 試了一下,大概是掉90~105秒左右。

在兩台switch都設定了這一行:

spanning tree mode rapid pvst 

還不錯,大概斷線75秒就起來了。


 

2020年11月9日 星期一

rpi3 console線異常?

之前用console無法連Pi3,baud rate調9600是亂碼,調115200什麼都出不來。一直以為是console線壞了。


但同一條線接Pi2,設定baud rate 115200又正常。

今天有空查了一下,原來是RPI3新增藍牙,造成後續一堆排擠效應的關係。

裝了Raspberry Pi OS,從gui介面開啟serial port (serial console)之後比較了一下config的差異,發現只要編輯/boot/config.txt

找到

[all]

新增下面這行 (當然還有其它解決方法但我懶得去查)

enable_uart=1

再重開Pi3,console又可以用115200快樂操作了。

2020年11月5日 星期四

PHP5 轉移至 PHP7需注意事項

 1、Too few arguments to function

PHP Fatal error:  Uncaught ArgumentCountError: Too few arguments to function TABLE::__construct(), 0 passed in /home/www/OM/class/class.table.php on line 

10638 and exactly 1 expected in /home/www/OM/class/class.table.php:14

原因是PHP7比較嚴謹(我猜的),所以即使是空值也要給個null

public function __construct($var_cond) => $var_cond=null

大批修改如下:

vi 

%s/$var_cond)/$var_cond=null)/g


2、mysql_xxx to mysqli_xxx

所有mysql開頭的函式請改為mysqli開頭。但有兩個要特別注意的:

mysqli_query($sql, $conn); => mysqli_query($conn,$sql);

mysql_select_db('OM',$conn); => mysqli_select_db($conn,'OM');

這兩個mysql函式的順序跟mysqli相反,記得要調整。

3、PHP Warning:  preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead 

這個很明顯,改一下就好了。但callback似乎有比較多眉角,如果要做到沒有info或warning的話,要再調整一下。

4、PHP Deprecated:  __autoload() is deprecated, use spl_autoload_register() instead

這個也是改一下就好了

5、ereg及split相關函式

ereg() 可以用 preg_match() 替代

ereg_replace() 可以用 preg_replace() 替代

eregi() 用 preg_match() i 引數替代

eregi_replace() 用 preg_replace() i 引數替代

split() 用 preg_split() 替代

spliti() 用 preg_split() 模式 ‘i’ 替代

split -> explode

split -> 因為語法有用到regular expression要改用preg_split

6、iconv()要用mb_convert_encoding取代

7、PHP Deprecated:  Methods with the same name as their class will not be constructors in a future version of PHP

Replace

public function TSStatus($host, $queryPort)

with

public function __construct($host, $queryPort)

剩下的是環境問題:

1、php-fpm的log在/var/log/php-fpm/www-error,第一次用php-fpm的我不曉得。

2、Mariadb (MySQL)的錯誤訊息:Field `s_symptom` doesn‘t have a default value

要修改設定檔:

cd /etc/my.cnf.d

 vi mariadb-server.cnf

[mysqld]

sql_mode=NO_ENGINE_SUBSTITUTION

3、mysqlimport最後要加上--local



2020年10月21日 星期三

RHEL8 firewalld tftp problem 搞掉我一天的時間...

 


https://linuxhint.com/install_tftp_server_centos7/


搞了一整天,結果是OS bug...

簡單的來說 換了RHEL8之後tftp一直不能傳,看fw會有異常的unreachable - admin prohibited filter

disable firewalld就會好,但總不能一直這樣吧....

3.106310 wan1 -- 192.168.26.26.23814 -> 192.168..100.33.69: udp 26

3.114525 wan1 -- 192.168..100.33.43341 -> 192.168.26.26.23814: udp 4

3.114943 wan1 -- 192.168.26.26 -> 192.168..100.33: icmp: host 192.168.26.26 unreachable - admin prohibited filter

8.105289 wan1 -- 192.168.26.26.23814 -> 192.168..100.33.69: udp 26

8.113544 wan1 -- 192.168..100.33.43342 -> 192.168.26.26.23814: udp 4

8.113931 wan1 -- 192.168.26.26 -> 192.168..100.33: icmp: host 192.168.26.26 unreachable - admin prohibited filter


怎麼改規則,怎麼加port都沒有效的...

/bin/firewall-cmd --permanent --zone public --add-service tftp-client

firewall-cmd --reload


sudo firewall-cmd --permanent --add-port=69/udp

sudo firewall-cmd --zone=public --add-service=tftp --permanent

firewall-cmd --reload


2020年9月22日 星期二

重新產出ssh key時的注意事項 (for ssh2.php)

 今天把ssh key重新產出了。結果一堆程式不能跑,查了很久才想到,在用ssh2.php登入設備時,id_rsa及id_rsa.pub(這個檔應該不用,但懶得試了)也會用到。

因此如果重新把ssh key產生時,記得把這兩隻key也放到程式的目錄中。

2020年9月21日 星期一

ssh免密碼認證失敗的解決方法

 ssh免密碼認證應該算是基本功了。但我的新機器就是沒有辦法免密碼認證。

明明用其它帳號都正常,但就是我自己的帳號不行。

所以簡單講一下怎麼查:

1、先把firewall開好

sudo firewall-cmd --zone=public --permanent --add-port=2222/tcp

sudo firewall-cmd --reload

2、在server上開ssh debug

/usr/sbin/sshd -d -p 2222

3、從client去登入

ssh -p 2222 user@host

4、觀察debug:

debug1: trying public key file /home/klting/.ssh/authorized_keys debug1: fd 10 clearing O_NONBLOCK Authentication refused: bad ownership or modes for directory /home/klting

看的出來是/home/klting這個目錄的權限問題。

看了一下權限是750,可能是我之前測東西改到的,用chmod改回700就正常了。

5、記得關防火牆

sudo firewall-cmd --zone=public --permanent --remove-port=2222/tcp

sudo firewall-cmd --reload

最後確認一下目前防火牆開哪些port,確認有關成功

firewall-cmd --list-all




2020年9月6日 星期日

fortigate 長時間搜集ip traffic的方法(低階型號使用)

在使用Fortigate防火牆的時候,有時候需要長時間的錄封包。但使用的是低階的設備(例如FG80C),它本身GUI沒有側錄的功能,該怎麼處理呢?

很簡單,搭配一些linux指令就能處理了。

要安裝的套件是screen。指令及操作方式如下:

先開啟screen:

screen

登入防火牆,並且將輸出畫面同時顯示在螢幕上及另存在192.168.1.2.log這個檔案中。

ssh -l admin 192.168.1.2 | tee 192.168.1.2.log

開始側錄:

diagnose sniffer packet any 'host 192.168.1.1 and icmp' 6 0

開始側錄後,離開screen。

ctrl + a 後,再按下 d 鍵(detach)

把錄好的檔案,轉成wireshark格式。fgt2eth.pl是原廠提供的檔案,網路上找一下就有。

./fgt2eth.pl -in 192.168.1.2.log -out ay.cap

需確認事項:

1、ping一下192.168.1.1,確認192.168.1.2.log會長大 (確認寫檔成功)

2、丟在背景執行,過很長的時間後再ping一下,看檔案有沒有改大,測試有沒有被踢掉 (確認timeout是否影響側錄)

測試完成要離開screen:

先找出它的工作環境:

screen -ls

再回去該工作環境:

screen -r 20451

再中止sniffer packet (ctrl+c),並離開防火牆即可。

2020年9月4日 星期五

抓取設備資訊後直接寄mail (不先存成檔案)

有時候我們希望定時出報表,但又不希望還要另存新檔再寄送檔案。這個時候就是pipe上陣的時候了。

另外補充一點,在crontab中,%號前要加\,才能正常使用。

 5 14 * * 5 /home/klting/get_srx_spu.exp | egrep "Flow|curr|4 0|5 0|6 0" | mutt -s "srx spu check on $(date +\%Y-\%m-\%d)" klting@xxxx.com.tw

2020年8月26日 星期三

遠端桌面連線時發生驗證錯誤 (代碼: 0x800706be)的處理方式

 跟CSR的籃牙加密程式有衝突,把下面的檔案移走或刪除就好了。


C:\Program Files\CSR\CSR Harmony Wireless Software Stack\BLEtokenCredentialProvider.dll

2020年7月21日 星期二

建議不要使用relive club app (7/22更新進度,蘋果退款了!)

6/21吧,帶兒子去山上玩,老婆說想記錄一下開車的軌跡,就裝了一個relive的app。

安裝之前有看了一下評價,有人說會自動續約扣款,我心想我試用一下就移掉。應該沒有關係吧。

於是我就下載安裝在手機上,但我英文不好,在車上和山上又沒有辦法仔細看說明,就用goolgle帳號去註冊,試了一下覺得不是我要的軟體,就移掉。

過幾天(6/22或6/23)看到新聞說有些軟體會自動續約,我還去檢查了一下,確定這個軟體沒有被訂閱,於是我也就不管它。

結果今天(7/21),Apple通知我已經刷卡了。回頭去查才發現他已經自動訂閱了一年!寫信給app商,他回了個罐頭訊息,看來他們已經靠這一套賺了不少錢。後續看Apple怎麼處理了,但我並不看好就是了。消保官也說外國公司他們管不到。

想想這個軟體滿聰明的,在安裝後的幾天內不會出現在訂閱中(或者我那時在山上網路很慢,他還沒有同步資訊到手機,而我當時也沒有辦法收Apple的信確認),下山很累也沒有看信,過了幾天我也就忘了這件事,等通知扣款時已經來不及了...

目前看來是只能乖乖付錢了,我也只能安慰自己上一次當學一次乖,寫篇稿賺回來就好了。

不過我這一次是同時被Apple還有app商搞了。

IOS在只訂閱一個軟體時,完全看不到有任何到期的資訊,所以你也不會注意到期日,再說我6/22找不到訂閱的資訊,誰曉得他何時出現的。而且竟然不提供停用的按鈕。再點一個月也不是修改合約,會變成往後加買一個月。


你必需要再訂閱一個app,才會顯示到期日....不過呢,這個relive club點進去還是沒有任何退訂的按鈕的喔。



目前就只能等Apple回應了,我現在擔心的是明年又被自動追加續約,問了一些人,他們是建議換卡順便把Apple Pay停用了。想想也是,讓Apple多賺錢結果還幫自己找麻煩,乾脆停了算了。


2020年7月7日 星期二

librenms ignore sub-interface (dot1q pvc)

用librenms時,我不想要讓它去爬設備上的sub-interface,那要怎麼處理呢?

每一個版本不同,依現在的版本:1.64.1的話

/opt/librenms/includes/definitions

編輯seos.yaml

新增以下設定:
bad_iftype:
    - l2vlan

2020年3月17日 星期二

Fortigater HA驗證 (升版時)

出了一點事,所以還是去查了資料。以確認自己的印象正確。

https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-high-availability-52/HA_failover.htm

Fortigate的HA是用FGCP機制:In FortiGate active-passive HA, the FortiGate Clustering Protocol (FGCP) provides failover protection。VRRP要另外設定。

再來是升版時HA如何決定誰是active,其實看圖就很清楚,先比開機時間(久的優先),再比優先權(大的優先),最後比序號(大的優先)。在slave升完版開機之後,FortiOS會自動把master重開機(並進行升版),在這個時候只有原先的slave是開著的,它自然會成為master,在舊的master升完版重開機之後,由於我們有設定override,所以他又搶回master的位置。接著就是不斷的重覆這個過程 (假設你有一直升版的話)。



另外我是比較建議開啟session-pickup功能。

config system ha
set session-pickup enable
end

然後UDP跟ICMP也記得開session-pickup

config system ha
set session-pickup-connectionless enable
end


2020年3月12日 星期四

好用的Rutty (Putty及SecureCRT的替代品)

這兩年接手Fortigate的維護,有時需要大量貼入指令。用Putty有時會吃掉換行符號,導致從開始的錯一錯再錯。好用的SecureCRT又是貴鬆鬆的商業軟體,我也不想用破解版的。後來幾經找尋,找到Rutty,聽名字就知道是Putty魔改出來的。

Rutty可以讀檔然後慢貼,當然也可以設定每一個字元及及每一行要貼的間格時間。是個方便又免費的軟體。

把一條網路線分接成兩條terminal server線

因為懶得再爬上爬下佈線,就魔改,把一條網路線分成兩條terminal server線來用。

其實原理很簡單,看下圖就知道了...

原來的網路線不動,找兩個網路線延伸接頭,接著查一下terminal server需要的線 (就是一般設備的console介面),只需要tx,rx還有gnd三條線。

所以我就做了兩條線,把原來的8蕊線的前四蕊取三蕊做為tx,rx還有gnd。
同樣的,後四蕊也取三蕊作為tx,rx還有gnd。這樣就搞定了。



把舊的Raspberry Pi的GPIO拿來接設備的console port....

突發奇想,想把舊的Raspberry Pi的GPIO拿來接設備的console port,弄了很久都是亂碼,試了各種方法都無效,調了各種參數也一樣。最後想到會不會是電壓的關係。一查果然...Cisco的console port 要吃5V,一般USB轉RS232的輸出也是5V,但Raspberry Pi的GPIO輸出只有3.3V ......


3/13早上測試了一下,一般的USB to RS232 TX的電壓是9.6V



但是一般USB to RPI UART只有3.3V


網友大多建議要用GPIO接RS232的設備需要使用max232的ic,max323的Vcc in就是5V,看來是把他當升壓IC用。把TTL位準升成RS232位準。