Kategori: Ordan Burdan

Yazı kategorisi: Ordan Burdan

Wazuh SMTP AUTH Desteği Nasıl Sağlanır?

Gönderi tarihi Ersin CAN tarafından

Wazuh, mail gönderiminde SMTP kimlik doğrulama (SMTP AUTH) desteği sağlamadığı için bir relay servisine ihtiyaç duyar. Ancak, Postfix desteğiyle SMTP kimlik doğrulaması kolayca yapılandırılabilir ve mail gönderimi gerçekleştirilebilir.

Öncelikle Postfix ve gerekli paketleri yükleyin:

apt-get update && apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules

Sonra /etc/postfix/main.cf dosyasını açın ve SMTP sunucu bilgilerinizi ekleyin.

relayhost = [mail.ersincan.com]:587
mynetworks = 127.0.0.0/8
inet_interfaces = loopback-only
smtp_use_tls = no
smtp_always_send_ehlo = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_generic_maps = hash:/etc/postfix/generic
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination

/etc/postfix/sasl_passwd dosyasının içerisine kimlik bilgilerimizi tanımlayalım.

[mail.ersincan.com]:587 mail@ersincan.com:xxxxxxx (buraya şifre yazınız)

Gerekli izinlerimizi ayarlayalım.

chown root:root /etc/postfix/sasl_passwd
chmod 0600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd

/etc/postfix/generic dosyasının içerisine domain bilgilerimizi yazalım.

root@localdomain mail@ersincan.com
@localdomain mail@ersincan.com

Bu dosya içinde izinlerimizi ayarlayalım ve postfix servisini yeniden başlatalım.

chown root:root /etc/postfix/generic
chmod 0600 /etc/postfix/generic
postmap /etc/postfix/generic
systemctl restart postfix

Yukarıdaki işlemlerimizin doğruluğunu test edelim.

echo “Bu bir test mailidir” | mail -s “Relay Test Maili” siem@ersincan.com -a “FROM:mail@ersincan.com”

Eğer mail aldıysanız Wazuh tarafındaki ayarlara geçebiliriz.

/var/ossec/etc/ossec.conf dosyasında aşağıdaki alanları değiştiriyoruz.

<global>
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>mail@ersincan.com</email_from>
<email_to>siem@ersincan.com</email_to>
</global>

systemctl restart wazuh-manager ile servisi yeniden başlatıyoruz.

Faydalı olması dileğiyle

Yazı kategorisi: Ordan Burdan

Ne Zaman Logon Olmuş ?

Gönderi tarihi Ersin CAN tarafından

Bugün telefonum -“Merhaba, xxxx kullanıcısı ne zaman sisteme logon olmuş ” mesajı ile çaldı. Eğer sisteminizde bir basit Log yönetim sistemi mevcutsa buradaki raporlardan bu sorunun cevabını rahatça bulabilirsiniz. Fakat Windows Olay Görüntüleyicisi ile baş başaysanız, samanlıkta iğne aramaya eş değer bir göreviniz vardır. İşleri kolaylaştırmak adına Filtre seçeneklerini kullanacağız.

Logon kayıtlarının olay kimliği numarası 4624 öncelikle bunları filtreleyebiliriz.

Bu filtreden sonra halen ekranda bir çok olay görüntülenecektir. Bize spesifik bir kullanıcı gerektiği için XML tabına geçiyoruz ve “Edit Query Manually” seçeneğini seçiyoruz ve sorguyu aşağıdaki gibi değiştiriyoruz.

Logon tipleri ve daha detaylı bilgi için aşağıdaki linki kullanabilirsiniz.

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

Yazı kategorisi: Ordan Burdan

CANIAS ERP Sertifika Yükleme

Gönderi tarihi Ersin CAN tarafından

Şirketinizde CANIAS ERP yazılımı kullanıyor ve web tabanlı erişimlerde “güvensiz bağlantı” uyarısı almak istemiyorsanız aşağıdaki adımları uygulayabilirsiniz. Tabi bu adımlara geçmeden önce elinizde domaininize ait bir sertifika olmalı. Ben hali hazırdaki wildcard sertifikamı kullanıyorum.

a. CMD komut arayüzünü Run as Admin ile başlatıyoruz ve cd “C:\Program Files\Java\jre1.8.x\bin” klasörüne giriş yapıyoruz.

b. “keytool -importkeystore -deststorepass 123456 -destkeypass 123456 -destkeystore C:\tmp\default-ias.keystore -srckeystore C:\tmp\hauscloud.pfx -srcstoretype PKCS12 -srcstorepass xxxx” komutu ile C dizini altındaki tmp klasöründe default-ias.keystore dosyasıın oluşmasını sağlıyoruz.

c. Oluşan dosyayı 802Server\Tomcat klasörüne kopyalıyoruz.

Web servisi yeniden başlattığınızda artık “güvenli olmayan” site uyarısını almayacaksınız.

İyi Çalışmalar

Yazı kategorisi: Ordan Burdan

VCSA 503 Service Unavailable

Gönderi tarihi Ersin CAN tarafından

Veeam Backup yedek alamıyorum diye uyarı mailleri attığında aklımdan geçen tek şey “ya Ersin bu gecede Netflix yok sana” 🙂

Hatanın kaynağını araştırmak için ilk adım Vcenter ‘a bağlanayım dedim Bingo “503 Service Unavailable (Failed to connect to endpoint: [N7Vmacore4Http20NamedPipeServiceSpecE:0x00007fb7d00200a0] _serverNamespace = / action = Allow _pipeName =/var/run/vmware/vpxd-webserver-pipe)” yazan kocaman uyarı mesajı.

Servisleri kontrol etmek için 5480 portundan Vcenter Management konsoluna login olduğumda Database bölümünden hatalar geldiğini farketmemek imkansızdı.

Çözüm basit, Monitor bölümünden hangi diskin dolduğunu kontrol ederek ilgili diskin kapasitesini arttırıyoruz.

VCSA ‘ya SSH ile login olarak kapasite arttırımını otomoatik büyüme olacak şekilde yapılandırıyoruz.

/usr/lib/applmgmt/support/scripts/autogrow.sh

İşlem sonrasıda reboot komutu ile VCSA ‘yı yeniden başlatıyoruz ve sistemin çalıştığını görüyoruz.


İyi Çalışmalar

Yazı kategorisi: Ordan Burdan, PaloAlto

Paloalto Firewall Kullanıcı Kimlik Denetim Sorunu

Gönderi tarihi Ersin CAN tarafından

PaloAlto Firewall User Agent servisi, tüm trafiği kullanmış olduğumuz Sophos Antivirüs yazılımımızın hesap bilgisini kullanarak loglamaya başlamıştı. Active Directory audit loglarını incelediğimde herşey normaldi.

Fakat kullanıcının loglarına firewall tarafından baktığımda durum farklıydı.

Denetimin gerçekleştiği agent servisinde de doğal olarak kayıtlar hatalı gözükmekteydi. Okumaya devam et “Paloalto Firewall Kullanıcı Kimlik Denetim Sorunu”