MaxSpirit - bevlogen ICT!

Handige commando’s voor gebruik van Keytool oa overgenomen van SSLShopper

Java Keytool Commands for Creating and Importing

These commands allow you to generate a new Java Keytool keystore file, create a CSR, and import certificates. Any root or intermediate certificates will need to be imported before importing the primary certificate for your domain.

Generate a Java keystore and key pair
keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048

Create a Java keystore from a p12/pkcs12 file
keytool -v -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -srcstorepass <password> -destkeystore keystore.jks -deststoretype JKS -deststorepass <password>

Generate a certificate signing request (CSR) for an existing Java keystore
keytool -certreq -alias mydomain -keystore keystore.jks -file mydomain.csr

Import a root or intermediate CA certificate to an existing Java keystore
keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks

Import a signed primary certificate to an existing Java keystore
keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks

Generate a keystore and self-signed certificate
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Java Keytool Commands for Checking

If you need to check the information within a certificate, or Java keystore, use these commands.

Check a stand-alone certificate
keytool -printcert -v -file mydomain.crt

Check which certificates are in a Java keystore
keytool -list -v -keystore keystore.jks

Check a particular keystore entry using an alias
keytool -list -v -keystore keystore.jks -alias mydomain

Other Java Keytool Commands

Delete a certificate from a Java Keytool keystore
keytool -delete -alias mydomain -keystore keystore.jks

Change a Java keystore password
keytool -storepasswd -new new_storepass -keystore keystore.jks

Export a certificate from a keystore
keytool -export -alias mydomain -file mydomain.crt -keystore keystore.jks

List Default Trusted CA Certs
keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts

Import New CA into Trusted Certs
keytool -import -trustcacerts -file /path/to/ca/ca.pem -alias CA_ALIAS -keystore $JAVA_HOME/jre/lib/security/cacerts

Zelf ben ik een fan van X-forwarding, maar het kan heel handig zijn om een vnc server op te zetten en daaraan te connecten.
Wat dan heel handig is, is om de vncserver meteen alle inkomende connecties te laten accepteren in plaats van eerst te connecten lokaal aan de vncserver en dan een xhost+ te geven.
Dit kan door de vncserver te starten met de optie: -ac

vncserver -ac

Controleren of de vncserver draait?

netstat -an|grep LISTEN|grep 590<display nummer>

Stoppen van de vncserver?

vncserver -kill :<display nummer>

Een AWR rapport maken is eenvoudig en geeft veel informatie terug over de database en de queries van dat moment.

sqlplus / as sysdba
@?/rdbms/admin/awrrpt

Vervolgens geeft je de snapshot id’s op waarover je een rapportage wil hebben.

Nu zien we een interessante cq. verdachte query en die willen we verder onderzoeken.
Dit kan door bijvoorbeeld DBA_HIST_SQLPLAN view te query-en, maar je kan het ook vragen aan de database middels DBMS_SQLTUNE.

sqlplus / as sysdba
SET SERVEROUTPUT ON

Maak een tuning task aan:
DECLARE
l_sql_tune_task_id VARCHAR2(100);
BEGIN
l_sql_tune_task_id := DBMS_SQLTUNE.create_tuning_task (
begin_snap => <SNAPSHOT_ID_1> ,
end_snap => <SNAPSHOT_ID_2> ,
sql_id => ‘<SQL_ID>‘,
scope => DBMS_SQLTUNE.scope_comprehensive,
time_limit => 60,
task_name => ‘my_sql_tuning_task’,
description => ‘My SQL Tuning task.’);
DBMS_OUTPUT.put_line(‘l_sql_tune_task_id: ‘ || l_sql_tune_task_id);
END;
/

Laat deze uitvoeren:
EXEC DBMS_SQLTUNE.EXECUTE_TUNING_TASK( task_name => ‘my_sql_tuning_task’ );

Controleer de status van de task:
SELECT status FROM USER_ADVISOR_TASKS WHERE task_name = ‘my_sql_tuning_task’;

Toon het rapport gemaakt door de tuning task:
SET LONG 10000
SET LONGCHUNKSIZE 1000
SET LINESIZE 400
SELECT DBMS_SQLTUNE.REPORT_TUNING_TASK( ‘my_sql_tuning_task’) FROM DUAL;

Verwijder de tuning task:
EXEC DBMS_SQLTUNE.DROP_TUNING_TASK( task_name => ‘my_sql_tuning_task’ );

Oracle heeft in database versie tot en met 10g een mechanisme om een gebruiker hetzelfde wachtwoord te geven, zonder dat je het wachtwoord weet.
Dit is het bekende

Alter user <username> identified by values ‘<password>’;

Password is een hash, die verkregen kan worden door middel van:

select password from dba_users where username='<username>’;

In Oracle 11g is dit mechanisme enigszins veranderd. Dit valt op doordat het password veld in dba_users nu leeg is. Dit veld is nog wel te query-en uit de view user$.
Tevens is er een nieuw veld bijgekomen, namelijk: password_versions.
Dit geeft aan of een wachtwoord een versie 10g of 11g is. Het grote verschil zit in de hash lengte en case-sensitive zijn van het wachtwoord. In 11g kan een wachtwoord nu case-sensitive zijn, hetgeen ook uit gezet kan worden door middel van:
alter system set sec_case_sensitive_logon=false;

De “oude” manier van alter-user-identified-by-values werkt nog steeds, met password veld uit de user$ view, maar dan veranderd het wachtwoord naar versie 10g en daardoor is het wachtwoord niet langer case-sensitive. Aanloggende gebruikers zullen hier geen last van ondervinden, maar het kan netter.
Dit is mijn geprefereerde methode:

set long 1000
select dbms_metadata.get_ddl(‘USER’,'<username>’) from dual;

Het resultaat is een create user statement met daarin de indentified-by-values optie, die rekening houdt met de wachtwoord versie.
Dit statement kan dan gebruikt worden voor een alter user statement.

Het operating system gebruikt de pam utility om af te dwingen dat een user account locked naar 3 keer verkeerd inloggen.

Verifieer dat de user gelocked is m.b.v.
$ faillog
of
$ tail /var/log/secure
of
$ pam_tally2 -u <username>

Om deze user weer te unlocken voor onderstaand commando uit
$ pam_tally –user <username> –reset=0
of
$ pam_tally2 -u <username> –reset
of
$ faillog -u <username> -r

Command Line SMTP Test

Een SMTP mail server testen, of deze mails accepteert en verstuurt, kan eenvoudig via de command line.

Inloggen op de mail server. De standaard poort is 25.
telnet <mail server> <poort>

Aanmelden
helo <domein naam>

Mail adressen invoeren
mail from: <mail adres>
rcpt to: <mail adres>

Mail(body) tekst opgeven
data
<tekst>
.

Let op: de punt aan het begin van een lege regel geeft aan dat je klaar bent met data invoeren en de mail verstuurd kan worden.

Voorbeeld

helo maxspirit.nl
mail from: me@maxspirit.nl
rcpt to: you@maxspirit.nl
data
Dit is een test mail.
.

NTP is een geweldig mechanisme om tijden synchroon te houden.

Maar hoe nu te controleren of het goed werkt?

draait het proces?
ps -ef|grep ntpd

is ntp goed geconfigureerd?
ntpq -p

geeft de time server respons?
grep server /etc/ntp.conf
ntpdate -q <server>

Probleem oplossing
1. herstart ntp
service ntpd restart
2. controleer de tijd
date
3. zet de tijd
ntpdate -u <server>

Certificaten converteren kan eenvoudig met OpenSSL

Converteer Encrypted Private Key naar Unencrypted
openssl rsa -in privateKey.key -out privateKey.key.nopassword

Converteer DER (.crt .cer .der) naar PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem

Converteer PEM naar DER
openssl x509 -outform der -in certificate.pem -out certificate.der

Converteer PEM certificaat en private key naar PKCS#12 (.pfx .p12)
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.pem -certfile CACert.crt

Converteer P7b (PEM) naar PEM
openssl pkcs7 -in certificate.p7b -text -print_certs -out certificate.pem

Converteer P7b (DER) naar PEM
openssl pkcs7 -inform der -in certificate.p7b -text -print_certs -out certificate.pem

 
Converteer PKCS#12 (.pfx .p12) naar PEM (key en certificaten)
openssl pkcs12 -in keyStore.pfx -out certificate.pem -nodes

Converteer PKCS#12 (.pfx .p12) naar PEM (alleen key)
openssl pkcs12 -in keyStore.pfx -out certificate.key -nodes -nocerts

Converteer PKCS#12 (.pfx .p12) naar PEM (alleen certificaten)
openssl pkcs12 -in keyStore.pfx -out certificate.pem -nodes -nokeys