Use up my working stories of Linux servers!

Сброс пароля доменной учетной записи Администратора (Windows Server 2003/2008)

Сброс пароля доменной учетной записи Администратора (Windows Server 2003/2008)
Что делать, если вы забыли(а иногда трудно вспомнить то, чего не знаешь) пароль на доменную учетную запись администратора, но очень хочется? В отличии от локальной учетной записи админа доменную просто так не сбросить, но способ есть. Метода описанная ниже 100% рабочая (лично приходилось применять как на 2003, так и 2008 серверах), однако она имеет существенный недостаток: необходим физический доступ к домен-контроллеру, ну или хотя бы иметь некое подобие технологии iLO (сами понимаете, далеко не на всех серверах есть такая опция, к тому же доступ там тоже может быть ограничен), но кто знает, может кому пригодится.
Итак, во-первых, нам все же потребуется локальная учетная запись администратора, а точнее доступ к ней. Не смотря на то, что она отключается сразу же после того, как сервер получает роль домен-контроллера, хранится она в базе SAM продолжает.
По-сему с помощью многочисленных утилит (хотя бы из того же набора Hiren’s Boot CD) сбрасываем пароль(разумеется, если вы его не помните) на локальную учетную запись администратора.

Во-вторых, необходимо перезагрузить домен-контроллер в режиме Directory Restore Mode. Думаю, если вы знаете, что такое домен-контроллер, то проблем с загрузкой в данном режиме не может быть в принципе, но на всякий случай: жмем F8, до загрузки системы, и выбираем режим Directory Restore Mode, он отключает Active Directory.

Шаг третий.
После загрузки системы входим в неё под учетной записью локального админа.
Теперь у нас есть полный доступ к системе, но мы ничего не можем сделать с Active Directory, пока не можем.

Шаг четвертый.
Теперь нам нужно установить небольшую утилиту – SRVANY. Что она делает? Она может запустить любую программу как службу, но что самое интересное, программа эта будет запущена с правами системы (NT AUTHORITY\SYSTEM). А вот это уже даст ПОЛНЫЙ ДОСТУП к системе. Этого более чем достаточно для сброса пароля любой доменной учетной записи, в т.ч. администратора.
Итак, копируем утилиты INSTSRV и SRVANY в какую-нибудь папку, например в C:\temp. Копируем туда же cmd.exe, обычно находится в %windir%/System32 (cmd.exe будет запускаться как раз с правами самой системы, для выполнения net user).
Теперь, запускаем командную строку, и устанавливаем SRVANY:
Код:
cd c:\temp
instsrv PassRecovery c:\temp\srvany.exe
instsrv устанавливает srvany как службу с названием PassRecovery.
Таким образом SRVANY установлена, теперь нужно настроить эту утилиту, для этого запускаем regedit и идем сюда:
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery
Создаем там новый подраздел(subkey), и добавляем туда две записи:
Код:
name: Application
type: REG_SZ (string)
value: с:\temp\cmd.exe

name: AppParameters
type: REG_SZ (string)
value: /k net user administrator 123456 /domain
Как видно, первая запись говорит, что запускать, вторая: с какими параметрами. У нас получается, что будет запущена командная строка, в которой будет выполнена команда net user, которая сменит пароль администратора на 123456. Не забываем, что в доменной групповой политике по умолчанию, есть требование к комплексности пароля, т.е. он должен быть не менее 6 символов, и содержать буквы разных регистров и цифры, и редко бывают случаи, когда эту политику отключают. Так что если вы не знаете, работает данная политика, или нет, то лучше вписывайте что-то вроде nEwP@ssw0rd.
Теперь нам нужно настроить созданную нами службу. В командной строке пишем services.msc (ну или через панель управления – кому как нравится).
Выбираем службу PassRecovery, и в свойствах меняем тип запуска на Автоматический (Startup type: Automatic). Далее все в тех же свойствах выбираем вкладку Вход в систему (Log on), и там включаем опцию Взаимодействие с рабочим столом (Interact with the desktop).
Шаг последний.
Перезагружаем домен-контроллер, загружаемся в обычном режиме, и входим в систему под учетной записью администратора, с паролем, который вы указали в предыдущем пункте. Запускаем командную строку, и удаляем процесс который мы создали, нам он явно больше не нужен:
Код:
net stop PassRecovery

sc delete PassRecovery
Удаляем C:\temp, и делаем что хотим

+ SRVAny

HPC: среда паралелльных вычислений прямого доступа кластеров Скиф без элементов виртуализации

( Не включает особенности кластеров СКИФ-ГПБ и Скиф-Cell)

обновлено 22.03.17 – удалены все устаревшие рекомендации
обновлены ссылки на дополнительную документация на кластере
обновлен раздел ХРАНЕНИЕ И АРХИВИРОВАНИЕ ДАННЫХ

ОБЩИЕ ПОЛОЖЕНИЯ ИСПОЛЬЗОВАНИЯ

“HPC: среда паралелльных вычислений прямого доступа кластеров Скиф без элементов виртуализации”Continue reading

Исправление Can’t do seteuid! в Perl

Данные изменения необходимы при настройке ряда ПО, требующего выполнения Perl программ с повышенными привилегиями.

Проблема и решение:

Программы с реализованными враждебными функциями имеют прямую возможность заставить интерпретатор передавать на выполнение при вызове “недоверительную среду окружения”, что косвенно способствует выполнению случайных команд от имени пользователя root.

Однако некоторые дистрибутивы изначально нечувствительны к такой perl уязвимости, так как /usr/bin/suidperl имеет режим доступа 755 по умолчанию. Администратор должен явно разрешить suidperl путем изменени прав доступа на 4755 root.root для открытия ланного типа уязвимости. В SuSE, активация suidperl выполняется изменением файла /etc/permissions.(easy|secure) и запуском SuSEconfig или команды chkstat -set /etc/permissions.(easy|secure). Однако при включении данной возможности, рекомендуется выставлять разрешающее право на файл /usr/bin/sperl****, что является жесткой ссылкой на /usr/bin/suidperl. Программы с suidperl требуют явного указания в коде некоторых переменных среды, для защиты от передачи значений переменных “злым” пользователем.

На суперкомпьютерах семейства скиф разрешено выполнять программы с установленным битом suid.

HPC Administrator : Свободные узлы кластера SKIF-BLADES50 : showbf vs pbsnodes

Контекст: Система очередей Torque PBS. Система управления заданиями Maui.

Доступна программная компонента showbf, которая выводит список узлов по заданному свойству узла.
Пример использования для поиска количества свободных вычислительных виртуальных процессорных эквивалентов:

$ showbf -f batch
backfill window (user: 'test' group: 'grp_test' partition: ALL) Wed Sep  8 10:32:59
40 procs available with no timelimit
$

“HPC Administrator : Свободные узлы кластера SKIF-BLADES50 : showbf vs pbsnodes”Continue reading

При помощи htb.init разделяем трафик полностью

Если у Вас есть Ваша собственная домашняя сеть с двумя или более компьютерами и она подключена к интернету, вы точно знаете о тех проблемах с одновременным доступом к сети, которые практически неизбежны при таком подключении. Самой большой и раздражающей проблемой является разделение ширины канала между всеми участниками сети: когда вы пытаетесь работать серез ssh с удаленным сервером, а в этот момент ваша wife/брат/друг решает поглядеть новый и очень классный видео клип с Google Video или YouTube, Ваше соединение замирает и вы можете забыть о комфортабельной работе . В этой маленькой статье я дам вам простое решение этой проблемы, которое позволит вам делать все, что угодно не думая о проблемах разделения трафика!

Для начала замечу, что Ваша сеть должна быть подключена к Internet при помощи Linux сервера. Если Вы подключены через какой-то тупой аппаратный маршрутизатор, то Вам сильно не повезло и вы не сможете воспользоваться приведенным примером.

Если же Ваш сервер работает под управлением Linux, тогда используйте слудеющие ниже интсрукции чтобы сделать вашу жизнь проще. Замечу, что у меня интернет подключен к интерфейсу eth0, а локальная сеть – к eth1, канал у меня – симметричное подслючение на 512Kbit/s, потому все примеры будут очновываться на этих параметрах:

Скачайте скрипт htb.init с сайта sourceforge.
Распакуйте его и положите в /sbin/htb.init, сменив ему аттрибуты, чтобы сделать его исполнимым:

# chmod +x /sbin/htb.init
Создайте каталоги для конфигурации и кеша htb.init:

# mkdir -p /etc/sysconfig/htb # mkdir -p /var/cache/htb.init
Перейдите в каталог коныигурации htb.initи создайте следующие конфигурационные файлы для исходящего трафика:
- Файл ‘eth0′ со следующим содержимым:
  
  DEFAULT=30 R2Q=100
- Файл ‘eth0-2.root’ со следующим содержимым:
  
  # root class containing outgoing bandwidth RATE=512Kbit
- Файл ‘eth0-2:10.ssh’ со следующим содержимым:
  
  # class for outgoing ssh RATE=256Kbit CEIL=512Kbit LEAF=sfq RULE=*:22 PRIO=10
- И, наконец, файл ‘eth0-2:30.default’ со следующим содержимым:
  
  # default class for outgoing traffic RATE=256Kbit CEIL=512Kbit LEAF=sfq PRIO=30
Теперь, создайте набор файлов для управления входящим трафиком:
- Файл ‘eth1′ со следующим содержимым:
  
  DEFAULT=30 R2Q=100
- Файл ‘eth1-2.root’ со следующим содержимым:
  # root class containing incoming bandwidth RATE=512Kbit
- Файл ‘eth1-2:10.ssh’ со следующим содержимым:
  
  # class for incoming ssh RATE=256Kbit CEIL=512Kbit LEAF=sfq RULE=*:22, PRIO=10
- Файл ‘eth1-2:20.mytraf’ для конфигурирования параметров канала на Ваш компьютер:
  
  # class for my incoming traffic RATE=256Kbit CEIL=512Kbit LEAF=sfq RULE=192.168.0.2 # this is my ip PRIO=20
- И файл ‘eth1-2:30.default’ для параметров канала по умолчанию для остальных со следующим содержимым:
  
  # default class for outgoing traffic RATE=256Kbit CEIL=512Kbit LEAF=sfq PRIO=30
Последний шаг – запуск системы контроля трафика при помощи следующей команды:

# /sbin/htb.init start #

Если все шаги были выполнены правльно и успешно, Вы можете использовать Ваш канал для работы через ssh, для скачивания файлов или для простого серфинга… Ваше соединение будет честно делиться между всеми участниками домашней сети. Если вы находитесь в сети один, Вы будете использовать всю ширину канала. Как только ваши соседи захотят что-то скачать, ширина канала будет разделена между вами поровну, но ваша работа будет настолько же комфортной, как и в тот момент, когда Вы были одни.