1. Fórum Root.cz
  2. Profil Křestní jméno Příjmení
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Křestní jméno Příjmení

Stran: [1]
1
Software / Re:Bootování iPXE s aktivním Secure Bootem
« kdy: 27. 11. 2025, 15:25:19 »
Vyzkousel jsem v kvm qemu.
Mam dva virtualni stroje, jeden s secureboot, druhy bez.
virsh dumpxml linux2024 | xmlstarlet sel -t   -m "/domain"   -v "name" -o " "   -v "os/loader/@type" -o " "   -v "os/loader" -n
linux2024 pflash /usr/share/edk2/ovmf/OVMF_CODE.secboot.fd
virsh dumpxml linux2024-2 | xmlstarlet sel -t   -m "/domain"   -v "name" -o " "   -v "os/loader/@type" -o " "   -v "os/loader" -n
linux2024-2 pflash /usr/share/edk2/ovmf/OVMF_CODE.fd

Oba stroje jsou schopne nabootovat fedoru s nfsroot pomoci dhcp -> tftp/shim ->tftp/grub -> tftp/vmlinuz+initrd -> dhcp -> nfsroot
ten bez securebootu i dhcp -> ipxe -> dhcp -> http/vmlinuz+initrd -> dhcp -> nfsroot
a dhcp -> ->tftp/grub -> tftp/vmlinuz+initrd -> dhcp -> nfsroot

se securebootem skonci na Exec format error po stazeni http/vmlinuz+initrd
respektive Access Denied -- reject probably by Secure Boot

Takze si myslim, ze ten podepsanej ipxe od toho broadcomu muze spoustet pouze veci podepsane broadcomem.
A to fedora kernel asi neni.

moje konfigurace:
mkdir -p /mnt/nfsroot/fc42
dnf -y --use-host-config --installroot=/mnt/nfsroot/fc42 --releasever=42 install openssh-server openssh-clients nfs-utils yum kernel dracut-network
kernel="$(find /mnt/nfsroot/fc42/usr/lib/modules/ -maxdepth 1 -mindepth 1 -printf '%f\000' | sort -z| head -z -n1| tr -d '\000')"

chroot /mnt/nfsroot/fc42 dracut /boot/initramfs-nfs-$kernel.img --add "nfs network base ifcfg ssh-client debug" --add-drivers "$(find "/mnt/nfsroot/fc42/usr/lib/modules/$kernel/kernel/drivers/net/ethernet/" -name "*.ko.xz" | sed -e 's/.*\/\(.\+\)\.ko\.xz$/\1/p;d'|tr \\n " ") nfs nfsv3 vmxnet3 " $kernel


mkdir -p /var/lib/tftpboot/fc42/

mkdir -p /var/lib/tftpboot/uefi
cp /boot/efi/EFI/fedora/{shimx64.efi,grubx64.efi} /var/lib/tftpboot/uefi/
chmod 755 /var/lib/tftpboot/uefi/*

cp /mnt/nfsroot/fc42/boot/initramfs-nfs-$kernel.img /var/lib/tftpboot/fc42/
cp /mnt/nfsroot/fc42/boot/vmlinuz-$kernel /var/lib/tftpboot/fc42/
chmod 644 /var/lib/tftpboot/fc42/{initramfs-nfs-$kernel.img,vmlinuz-$kernel}

mkdir /mnt/nfsroot/fc42/root/.ssh/
chmod 500 /mnt/nfsroot/fc42/root/.ssh/
touch /mnt/nfsroot/fc42/root/.ssh/authorized_keys
chmod 400 /mnt/nfsroot/fc42/root/.ssh/authorized_keys
cat /home/marek/.ssh/id_rsa.pub >> /mnt/nfsroot/fc42/root/.ssh/authorized_keys

echo "/mnt/nfsroot/fc42 192.168.0.0/24(rw,sync,no_subtree_check,no_root_squash)" > /etc/exports.d/fc42.exports

echo "menuentry  'fc42' --class fedora --class gnu-linux --class gnu --class os {
   linuxefi fc42/vmlinuz-$kernel ip=dhcp root=/dev/nfs nfsroot=192.168.0.13:/mnt/nfsroot/fc42/ rw selinux=1 enforcing=0  net.ifnames=0
   initrdefi fc42/initramfs-nfs-$kernel.img
}" >> /var/lib/tftpboot/uefi/grub.cfg


echo '<VirtualHost *:4433>
    ServerName boot.example.local

    DocumentRoot "/var/www/html/pxe"

    <Directory "/var/www/html/pxe">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
    #ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

    <Directory "/var/www/html/cgi-bin">
        Options +ExecCGI
        AllowOverride None
        Require all granted
    </Directory>

    # Logging
    ErrorLog "/var/log/httpd/pxe_error.log"
    CustomLog "/var/log/httpd/pxe_access.log" combined
</VirtualHost>' > /etc/httpd/conf.d/pxe4433.conf
mkdir -p /var/www/html/pxe
chown -R apache:apache /var/www/html/pxe
echo 'RewriteEngine On
RewriteCond %{REQUEST_URI} ^/Altiris/iPXE/GetPxeScript\.aspx$
RewriteRule ^(.*)$ /cgi-bin/pxe.sh [QSA,L]' > /var/www/html/pxe/.htaccess

echo '#!/bin/bash
echo "Content-type: text/plain"
echo ""

cat <<EOF
#!ipxe
dhcp
kernel http://192.168.0.13:4433/fc42/vmlinuz-'"$kernel"' ip=dhcp root=/dev/nfs nfsroot=192.168.0.13:/mnt/nfsroot/fc42/ rw selinux=1 enforcing=0  net.ifnames=0 initrd=initramfs-nfs-'"$kernel"'.img
initrd http://192.168.0.13:4433/fc42/initramfs-nfs-'"$kernel"'.img
boot
EOF
' > /var/www/cgi-bin/pxe.sh
cp -r /var/lib/tftpboot/fc42/ /var/www/html/pxe/

chmod 755 /var/www/cgi-bin/pxe.sh

NEW="$(awk 'BEGIN {LISTEN=0} LISTEN==0 && /^[[:blank:]]*Listen[[:blank:]]/ {print "Listen 4433";LISTEN=1} // {print} END {if(LISTEN==0){print "Listen 4433"}}' /etc/httpd/conf/httpd.conf )"
cat /etc/httpd/conf/httpd.conf > /etc/httpd/conf/httpd.conf.backup
echo "$NEW" > /etc/httpd/conf/httpd.conf
semanage port -a -t http_port_t -p tcp 4433
systemctl start httpd

***************************************************************

A potom v /etc/kea/kea-dhcp4.conf odkomentovat patricnou metodu:
 {
        "id": 2,
        "subnet": "192.168.0.0/24",
        "interface": "br3",
        "next-server": "192.168.0.13",
        "boot-file-name": "uefi/grubx64.efi",
        #"boot-file-name": "uefi/shimx64.efi",
        #"boot-file-name": "ipxe/ipxe.efi",
        "pools": [
          {
            "pool": "192.168.0.14 - 192.168.0.50"
          }
        ],
        "option-data": [
          {
            "space": "dhcp4",
            "name": "routers",
            "code": 3,
            "data": "192.168.0.13",
          },
          {
            "space": "dhcp4",
            "name": "domain-name-servers",
            "code": 6,
            "data": "8.8.8.8"
          }
        ]
      }




2
Server / Re:Blokace domén začínajících danými znaky
« kdy: 13. 11. 2025, 15:41:25 »
Omlouvam se:
ne ndist ale dnsdist

3
Server / Re:Blokace domén začínajících danými znaky
« kdy: 13. 11. 2025, 14:54:39 »
nft pravidlo, ktere presmeruje pah...\.tech na instanci dns bezici na portu 5333, ktera muze napriklad dle rpz na vse odpovedet chybou...:

nft delete table inet mytable
nft add table inet mytable
nft add chain inet mytable mychain { type nat hook prerouting priority 0 \; }
nft add rule inet mytable mychain udp dport 53 @th,160,32 "0x$(echo -ne '\x6pah'| od -tx1 -An -w1024 | tr -d ' ')"  @th,216,48 "0x$(echo -ne '\x4tech\x0'| od -tx1 -An -w1024 | tr -d ' ')" counter dnat to :5333
nft list ruleset

samozrejme jeste nesmi byt ta 5333 zarezavana firewald/iptables....
profi reseni je bud ndist (kde se to resi lua scriptem), nebo vlastni golang programek (neco o trosku slozitejsiho mame asi na 500 radku kodu).

4
Server / Re:Blokace domén začínajících danými znaky
« kdy: 12. 11. 2025, 12:50:31 »
Citace: Ħαℓ₸℮ℵ ␏⫢ ⦚  11. 11. 2025, 19:09:31
ten dnsmasq-regex se mi zamlouvá, kéž by existoval i dnmasq-cname....  Zkoušel někdo, zda to funguje stabilně, nezatuhává démon?
A dodám, že domény ukazují pouze na ip adresy, pročež nějaká chytřejší logika(cname) nejde použít.
Rozvedl byste prosim myslenku s chytrtejsi logikou?
 
Na zablokovani dns dotazu totiz staci i velmi jednoduche nftables pravidlo, ktere dotaz tise zahodi.
Pripadne ho muze presmerovat treba na jinou instanci dns serveru, kde muzete delat s odpovedi psi kusy.
Zalezi pouze na predpokladane zatezi.


5
Desktop / Otevření souborového dialogu Chrome na jiném displeji
« kdy: 14. 01. 2025, 12:04:12 »
Na tty1 mam spustene lxdm/x11/icewm-session/icewm jako DISPLAY :0 a v nem google-chrome.
Pokud spustim na dalsim tty, nebo i Xvnc dalsi x11/wayland session, jako DISPLAY :1 a v nem dalsi google-chrome (s jinym --user-data-dir=), potom kdyz se pokusim na DISPLAY :1 google-chrome instanci  vyvolat "save as" dialog, dialog se otevre na DISPLAY :0.
Je to chyba google-chrome nebo nastaveni desktopu?
Dekuji
marek

6
Server / Re:ssh -R -B -b výběr odchozí IP adresy pro forwarding portu
« kdy: 10. 03. 2023, 22:53:31 »
Chybka ma tam byt:
socat UNIX-LISTEN:./smaz.socket TCP:192.168.1.20:443,bind=192.168.1.88:3333 & ssh -g -R 443:./smaz.socket root@sshd.com
s ~ mi to z nejakeho duvodu nefunguje...
marek

7
Server / Re:ssh -R -B -b výběr odchozí IP adresy pro forwarding portu
« kdy: 10. 03. 2023, 22:47:42 »
dobry den.
Reseni neznam, ale umim ukrok stranou:
socat UNIX-LISTEN:~/smaz.socket TCP:192.168.1.20:443,bind=192.168.1.88:3333 & ssh -g -R 443:~/smaz.socket root@sshd.com
Pokud jsem se neuklepl, tak by se mel spustit socat,
ktery bude poslouchat na unix socketu "~/smaz.socket" a vse posilat z adresy 192.168.1.88:3333 na 192.168.1.20:443
A zaroven se pusti ssh presmerovani vzdaleneho *:443 na lokalni "~/smaz.socket"
Potom kdokoli se pripoji na vzdaleny server na port 443 je ukoncen na 192.168.1.20:443
Doufam, ze jsem zadani pochopil...
Jo a na sshd.com musi byt povoleno GatewayPorts
marek

8
Server / Re:Domaci server a nefuncna domena
« kdy: 15. 02. 2023, 13:55:52 »
for i in 185.43.135.1 2001:148f:ffff::1 2001:148f:fffe::1 193.17.47.1 8.8.8.8 1.1.1.1; do echo $i-$(dig +short @$i weblandic.com); done
185.43.135.1-85.135.246.213
2001:148f:ffff::1-85.135.246.213
2001:148f:fffe::1-85.135.246.213
193.17.47.1-85.135.246.213
8.8.8.8-85.135.246.213
1.1.1.1-85.135.246.213
Podle dns funguje

Marek

9
Server / Re:Domaci server a nefuncna domena
« kdy: 15. 02. 2023, 12:57:10 »
Dobry den.
A nejste za cgnatem?
Vraci to spravnou adresu?
Mate prostup ve firewallu?
Marek

10
Sítě / Re:Jak na DNS v interní síti
« kdy: 31. 01. 2023, 10:14:55 »
Dobry den.
Vytvoril bych 3 zony.
Pro kazdou zonu by byl master v te lokalite, kterou by zona obsluhovala a ve zbyvajicich  2  lokalitach by byly slave te zony.
To znamena, ze kazda konkretni lokalita by byla sobestacna a informace o okolnich lokalitach by mela jako slave resene transferem.
Kazde dhcpd by bylo parovane s zonou popisujici konkretni lokalitu.
Bohuzel nevim, jak toto umi mikrotik?
marek

11
Vývoj / Re:Regex pro pevnou délku řetězce
« kdy: 20. 01. 2023, 15:54:58 »
echo -e '361854EA825E3802\n1234567890123456\nABCDEFGHIJKLMOPQ\n' | grep -P '(?=[0-9A-Z]{16})(?=.*[A-Z].*)(?=.*[0-9].*)

ale je to rozsireny perlovsky regexp

marek

Stran: [1]