林志祥的網誌分享

作業系統要能正常使用硬體，一定要先能識別他，就是要有他的驅動程式。 我們創了一台虛擬機然後在SCSI Controller故意選擇一個VMware Paravirtual，這個是VMware特有的裝置，市面上也買不到。 在安裝的時候居然找不到硬碟，明明我有配一個40G硬碟給他。 選Load driver，然後放入光碟把PVSCSI的驅動程式載入給他。 這時候就發現一個40G的硬碟，才可以繼續安裝。 安裝完後也看到VMware PVSCSI Controller 。 結論： 如果 Windows安裝光碟沒有內建到驅動程式，常見的如RAID卡，就只能去官方下載然後給Windows Load driver，不然沒辦法抓到硬碟繼續安裝。

很多服務都有相依順序，比方說如果你的電腦是要靠AD驗證，AD沒有開起來你的電腦就會驗證不了，驗證不了怎麼進Windows處理事情呢？ 由於大多數服務都是開機自動啟動，所以我們要注意的就是這個服務有沒有在執行中，如果沒有在執行中可能是發生一些狀況，比方說磁碟空間不足，這時候就要去查了。 正常啟動的SQL服務就可以用管理工具連進去看資料庫裡的資料。 以Vcenter舉例來說，資料庫可以放同一台或不同台，所以如果同一台的話服務的相依性順序一定也是先等SQL開起來再開Vcenter的服務，畢竟資料都是存在資料庫的。 我們這次把資料庫關起來，然後只開起Vcenter，你會發現他開到某一個依靠SQL的服務就啟動不了。 重試幾次失敗之後不再重試了，由於我們Vcenter的服務要先開啟這個服務，所以Vcnter服務不用說也永遠開不起來。 這時候只能進去看LOG，發現可能是SQL連線的問題。 結論：以服務來說大部分都有使用到資料庫，所以開機順序為資料庫先開好，再開服務，關機反過來先關服務，等所有資料都寫入資料庫之後再關服務，會比較正確。

一般都聽說電腦加入網域之後，Domain Admins群組成員最大，所有電腦暢行無阻，這是真的嗎？ 要成為本機電腦最高管理員，只要把帳號加入到本機Administrators群組就可以了，所以本機的Administrator帳號就是最高管理員，加入網域之後他預設會把網域的Domain Admins群組加入到本機的Administrators群組。 同樣的網域的Domain Users也會加入到本機的Users群組。 由於網域的Administrator剛好隸屬於Domain Admins群組，所以登入之後才會拿到本機管理員權限。 我們故意把Domain Admins群組從本機管理員群組拿掉。 重新登入之後，發現居然沒有本機管理員的權限，因為Domain Admins不在本機管理員的群組裡，只有Domain Users，使用者的權限。 由此可知如果沒有本機電腦授於Domain Admins本機管理員群組權限，Domain Admins也不可能拿到本機管理員權限。

在沒有NAT的環境下，FTP主動和被動模式都可以成功， 在NAT的環境下，FTP只能用被動模式才可以成功，這是為什麼呢？ FTP主動模式會使用到兩個PORT，21 Port是命令使用，20 Port是傳輸資料使用，壞就壞在20 Port伺服器會主動去連用戶端，在NAT的環境下，如果路由器看到一個主動連線的封包就會丟掉了，當然永遠建不成連線。 用戶端開Port給伺服器連 ， 所以 193,183就是 256*193 + 183 = 49591 。 然後伺服器會用他的20 Port主動跟用戶端 49591 Port建立連線，這也是為什麼傳輸資料會用到20 Port，但是是伺服器的 20 Port。 因為在NAT的環境下當然建不成連線。 FTP的被動模式不管是命令或是傳送資料都是用戶端主動連線的，所以都可以成功。 伺服器端會告訴用戶端我會開哪個Port ， 所以 216,248就是 256*216 + 244 = 55540 。 最後由用戶端主動發一個連到伺服器的55540 Port，這個三方交握建好之後，伺服器就會用這個Port傳遞資料給用戶端。 結論： 在沒有NAT的環境下，主動模式和被動模式都可以使用，但是有NAT的環境下，就需要用被動模式，不然三方交握失敗無法建立連線傳輸資料。 (主動模式) 命令使用                     用戶端                                                                    伺服器                             1024以上的隨機 Port      ----------------------->               21 Port 傳輸使用            1024以上用戶端開Port     <----------------------                20 Port                                                                        (NAT模式下失敗) (被動模式)         命令使用                

大家在Windows裡常常用到CIFS的連線方式，簡單來說就是網路上的芳鄰。 一般要分享資料夾我們只要對要分享的資料夾案右鍵，共用的進階共用，選共用此資料夾，最後再決定權限就好了。 想要檢查目前此台機器有哪些共用可以到電腦管理裡面的共用來看。 如果是要連別人的共用資料夾只要打 \\目標IP 就可以了。 他會詢問你用什麼認證登入。 認證過了就會看到一個share資料夾。 我們也可以把他掛成網路磁碟機。 預設是Z槽，所以常常聽到有人說我的Z槽不見了，通常就是指網路磁碟機。 這樣電腦就會多出一個Z槽使用，但是要注意這是網路磁碟機，不是本地的磁碟機。 Linux裡如果用GUI介面我們可以使用連接伺服器。注意要打smb://目標IP，左上右下還是右上左下斜要特別注意。 之後再把認證給他。 如果輸入正確的話，也是可以連結到share資料夾。 如果沒有GUI介面的話通常要先裝一些使用端套件才可以連，比方說Centos7就需要安裝cifs-utils。 然後我們可以使用 mount -t cifs username=帳號 //目標IP/分享資料夾 //本地掛載位置 掛載。 最後再用df指令檢查果然看到掛載成功。 我們複製 LAB01資料夾進去驗證。 回到Windows伺服器來看確實看到LAB01上傳上來。 Linux不使用記得要養成習慣umount，卸除掛載。

在Linux之間要複製檔案，我們可以用scp指令，透過ssh的方式傳送檔案。 scp -r 本地目錄 對方帳號@對方IP:對方目錄 -r的意思代表遞迴複製或貼上資料夾中的檔案。 結果就是158主機在/tmp目錄裡原本沒有LAB01，複製完之後就有了。 在Windows裡我們可以安裝WinSCP就可以用圖形介面透過SCP下載檔案了，不用打指令這麼麻煩。

沒有完美的系統，一但發生資安漏洞或是臭蟲就需要安裝更新檔修補，但是產品也是有生命週期，廠商不可能支援一輩子。 VMware 支援政策 http://www.vmware.com/tw/support/policies.html 以ESXi和vCenter來說，如果還在使用5.0或5.1的話，表示最近被駭客發現的資安漏洞應該都沒修補，如果公司還在使用5.5的話，2018年九月就會停止一般支持了，就表示說就算系統出現新的資安漏洞或是臭蟲VMware也不會再出更新檔修補，這也是為什麼我們一直在跟時間賽跑，每年都在不斷更新微軟或Linux作業系統版本。 支援的差別在於一般支援階段主要就是提供修補程式，技術指引階段只剩下客服可以回答問題，讓企業正常運作，最後就只剩下網頁知識庫可以存取了。 https://blog.trendmicro.com.tw/?p=48407 舉例來說我們發現這個漏洞使用Apache Struts 2功能的產品都有可能發生問題。 http://www.vmware.com/au/security/advisories/VMSA-2017-0004.html 我們從CVE-2017-5638找到VMware和受影響的產品，比方說公司用vCenter 5.5不受影響，但是使用vCenter 6.0就建議升級到 6.0u3a以上。