Linux 開發筆記 - OpenLDAP StartTLS 憑證驗證與故障排除 @ Ubuntu 20.04

負責 DevOps 同事休假，當初 LDAP 架設沒涉入，用 AI 輔助來練一下功，盡量讓同事好好休假不用 oncall 解題，就把這過程筆記一下。

現在有 AI 輔助服務，做事的心態變了不少，包括：

1. 面對不是自己從頭到尾參與的計劃時，該怎樣建立自己了解系統思維或是達成想做的任務
2. AI 的答案也不一定是對的，該如何驗證（如同管理或跨團隊合作上，請夥伴做事，但不一定做對，該怎樣驗正）

事件起因是一些小型內部服務，因 LDAP 憑證失效而無法完成登入（已登入不受影響），我的追法：

1. 請 AI 給我指令或程式，檢驗快速檢驗 ldap 連線過程，著重在憑證檢查，例如檢查 https 憑證最常就是靠 openssl 指令或是 browser 瀏覽檢視憑證
2. 有時 AI 會回的很搞剛，開始回寫 code 的 python 解法，這時因為自己有經驗 openssl 指令就能搞定，所以不斷提醒 AI 直接給指令解
3. 對於 OpenLDAP 不熟的我，開始追問 AI 憑證相關的方向，才順勢了解 StartTLS ，才知道有 ldapsearch, slaptest 指令可用
4. 對於管理線上服務踩過雷，知道不能隨便 service restart，多問一下 AI 該怎樣先檢驗設定檔，避免機器從 running -> stop -> 設定有誤 -> 服務停止營運

使用 openssl 指令檢查 SSL 憑證，假設網域是 ldap-dmz.changyy.org

```

$ openssl s_client -connect ldap-dmz.changyy.org:443 

...

---

SSL handshake has read xxxx bytes and written xxx bytes

Verification: OK

---

...

```

使用 openssl 指令檢查 LDAP + StartTLS 憑證，假設網域是 ldap-dmz.changyy.org

```

$ openssl s_client -connect ldap-dmz.changyy.org:389 -starttls ldap

...

---

SSL handshake has read xxxx bytes and written xxx bytes

Verification error: certificate has expired

---

...

```

得知 LDAP + StartTLS 使用流程中的憑證過期了，且此例剛好 https 憑證已正常工作，僅 LDAP + StartTLS 的部分失敗，所以很輕鬆的可以把 https 憑證複製一份到 ldap 使用即可。先追蹤設定檔位置：

```

$ sudo cat /etc/ldap/slapd.d/cn\=config.ldif | grep -i TLS

olcTLSCACertificateFile: /etc/ssl/ldap/wildcard.*.ca-bundle

olcTLSCertificateFile: /etc/ssl/ldap/wildcard.*.crt

olcTLSCertificateKeyFile: /etc/ssl/ldap/wildcard.*.key

$ sudo tree -L 1 /etc/ssl/

/etc/ssl/

├── certs

├── ldap

├── nginx

├── openssl.cnf

└── private

```

速速解：

```

$ sudo cp -r /etc/ssl/ldap /etc/ssl/ldap-bak

$ sudo cp /etc/ssl/nginx/wildcard.* /etc/ssl/ldap/

```

檢驗設定檔和重啟服務：

```

$ sudo slaptest

config file testing succeeded

$ sudo service slapd restart

```

再次驗證：

```

$ openssl s_client -connect ldap-dmz.changyy.org:389 -starttls ldap

...

---

SSL handshake has read xxxx bytes and written xxx bytes

Verification: OK

---

...

```

此外，追蹤 LDAP 和使用他的服務時，意外發現不同的服務整合過程，也順手筆記一下，例如 Apache2 設定檔：

僅 LDAP 非加密：

<Location />

    Order allow,deny

    Allow from all

    AuthType basic

    AuthName "service.changyy.org"

    AuthBasicProvider ldap

    AuthLDAPUrl "ldap://ldap-dmz.changyy.org/dc=changyy,dc=org?uid"

    Require valid-user

</Location>

LDAP + StartTLS：

<Location />

    Order allow,deny

    Allow from all

    AuthType basic

    AuthName "service.changyy.org"

    AuthBasicProvider ldap

    AuthLDAPUrl "ldap://ldap-dmz.changyy.org/dc=changyy,dc=org?uid" TLS

    Require valid-user

</Location>

對應的其他服務也會有類似架構，舉例來說 Mantis 也有 mantisbt.org/docs/master/en-US/Admin_Guide/html/admin.config.auth.ldap.html

預設是啟用 LDAP + StartTLS

//

// Determines whether the connection will attempt an opportunistic upgrade to a TLS connection (STARTTLS).

//

// Defaults to ON.

//

// $g_ldap_use_starttls = ON

需要測試 LDAP 健康情況時，可以把它關閉

// $g_ldap_use_starttls = OFF

補充檢查 ldap service 健康情況時，最常是直接使用 ldapsearch 指令：

```

$ sudo apt install ldap-utils

$ ldapsearch -x -H 'ldap://ldap-dmz.changyy.org' -b 'dc=changyy,dc=org'

...

# search result

search: #

result: 0 Success

...

# numResponses: ###

# numEntries: ###

```

測試 LDAP + StartTLS：

```

$ ldapsearch -x -H 'ldap://ldap-dmz.changyy.org' -b 'dc=changyy,dc=org' -Z

...

ldap_start_tls: Connect error (-11)

additional info: (unknown error code)

ldap_result: Can't contact LDAP server (-1)

```

測試 LDAP + StartTLS 需要更多 debug 資訊：

```

$ ldapsearch -x -H 'ldap://ldap-dmz.changyy.org' -b 'dc=changyy,dc=org' -Z -d 1

...

TLS: peer cert untrusted or revoked (0x402)

TLS: can't connect: (unknown error code).

...

ldap_start_tls: Connect error (-11)

...

```

用 PHP Code 嘗試建立連線，先確認 php.ini 套件：

```

php -i | grep ldap

/etc/php/7.4/cli/conf.d/20-ldap.ini,

Protocols => dict, file, ftp, ftps, gopher, http, https, imap, imaps, ldap, ldaps, pop3, pop3s, rtmp, rtsp, scp, sftp, smb, smbs, smtp, smtps, telnet, tftp

ldap

...

```

運行：

```

$ cat /tmp/t.php 

<?php

$ldapconn = ldap_connect("ldap://ldap-dmz.changyy.org");

if ($ldapconn) {

    ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3);

    ldap_set_option($ldapconn, LDAP_OPT_REFERRALS, 0);

    // 關閉 TLS

    putenv('LDAPTLS_REQCERT=never');

    

    $bind = ldap_bind($ldapconn);

    if ($bind) {

        echo "LDAP bind successful...\n";

    } else {

        echo "LDAP bind failed...\n";

    }

}

$ php /tmp/t.php 

LDAP bind successful...

```

收工!

IoT 開發筆記 - 關於歐盟 RED-DA 對於聯網設備的資安自我檢查辦法

這兩年英國、新加坡、歐盟都有滿多資安相關的議題，例如英國 Product Security and Telecommunications Infrastructure (PSTI) 產品安全和電信基礎設施法案在 2024.04 生效，現在則幫忙公司處理歐盟 2025年夏天要推進的無線設備指令—委託法案 (Radio Equipment Directive – Delegated Act, 簡稱 RED-DA )

已知的粗略資訊：

• 商品若有聯網功能，需要依照 RED-DA 的要求自我檢驗一番，才能把商品賣進歐盟國家
• 尚未有中央單位負責檢驗，各大品牌找一些值得信任檢驗單位，請他們檢驗商品出檢驗報告，未來商品進歐盟時，被要求提供報告時，可以拿出來用

因此，產品負責人或銷售業務，其實要做的是趕緊找一間信任的資安檢驗公司，提出商品檢驗的需求，價格通常也不便宜，最重要檢驗的時程也不短，通常簽約繳件後也要數個月才會產出報告的，而報告其實是會高度依賴商品的使用情境跟品牌/廠牌，基本上代工廠不能公版做完一份就沒事，是品牌商也得依序產報告（找同一間資安公司，應當有些優惠吧？可以讓資安公司省去摸索商品，且相似的商品可以讓驗證機制加速）

總之，就會進行一些聯網設備(IoT)的處理，通常，資安公司也高度依賴產品公司的 IT 部門或負責研發的開發者提供的資訊。

為了加速檢驗報告的產生，公司可以先自行體檢：

• 使用 OpenVAS Scanner 等類似工具對聯網設備進行弱點掃描
• 請開發者整理產品用到了相關 libraries ，透過 CVE 資料庫進行查詢，若發現有漏洞就評估該怎樣更新
• 若像 WIFI AP 提供 http://192.168.1.1 登入後台使用，那至少必須改提供 https://192.168.1.1 自簽憑證方案

由於檢驗報告項目眾多，單純先列一下可以自我檢驗的部分，其他的部分，還是交給資安業者，讓專業的來吧

筆記一下，怎樣用 OpenVAS 來掃設備，當然，這是個 Docker 當道的時代，直接跑 Docker 即可，收工（誤），實測在 macOS 15 和 Windows 11 都可以正常運作的：

C:\Users\User>docker run -p 8443:443 --name openvas mikesplain/openvas

Unable to find image 'mikesplain/openvas:latest' locally

latest: Pulling from mikesplain/openvas

34667c7e4631: Pull complete

d18d76a881a4: Pull complete

119c7358fbfc: Pull complete

2aaf13f3eff0: Pull complete

67b182362ac2: Pull complete

c878d3d5e895: Pull complete

ec12cc49fe18: Pull complete

c4c454aeebef: Pull complete

27d3410150b2: Pull complete

e08d578dc278: Pull complete

44951337cd32: Pull complete

8c7fe885e62a: Pull complete

a4f833680e45: Pull complete

Digest: sha256:23c8412b5f9f370ba71e5cd3db36e6f2e269666cd8a3e3e7872f20f8063b2752

Status: Downloaded newer image for mikesplain/openvas:latest

Testing redis status...

Redis not yet ready...

Redis ready.

Checking for empty volume

Restarting services

 * Restarting openvas-scanner openvassd

   ...done.

 * Restarting openvas-manager openvasmd

   ...done.

 * Restarting openvas-gsa gsad

   ...done.

Reloading NVTs

Rebuilding NVT cache... done.

Checking setup

openvas-check-setup 2.3.3

  Test completeness and readiness of OpenVAS-9

  Please report us any non-detected problems and

  help us to improve this check routine:

  http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss

  Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the problem.

  Use the parameter --server to skip checks for client tools

  like GSD and OpenVAS-CLI.

Step 1: Checking OpenVAS Scanner ...

        OK: OpenVAS Scanner is present in version 5.1.3.

        OK: OpenVAS Scanner CA Certificate is present as .

...

接著就在本機開啟 https://localhost:8443/ 來運作：

添加一則 task (左上角的紫色 icon ) -> 指定設備的 IP -> 右下角有 Actions 記得按下 Play icon 

運行好一陣子後，就會看到一些報告了，像是幫你檢驗 Web server 的版本是否有漏洞、網頁上是否有需要更新的 js libraries，例如：

至於嵌入式系統內部的自我檢查，其實可以善用美國國家單位提供的服務： nvd.nist.gov/vuln/search

在那邊去輸入資訊查詢，像是 curl 啊，等等

當然，這邊純人工檢查極累 Orz 所以，也有 API 服務可以申請，就能夠批次詢問了，細節請參考：

nvd.nist.gov/developers/vulnerabilities

最後，把玩一下小工具：pypi.org/project/cve-vulnerability-scanner/

% NVD_API_KEY='XXXX-XXXX-XXXX-XXXX' cve-vulnerability-scanner -p zlib -v 1.2.13 -o /tmp/output.md ; cat /tmp/output.md 

Scanning zlib version 1.2.13

Loading cached data for zlib

Scan complete. Report generated in /tmp/output.md

# Security Vulnerability Report

Generated on: 2024-11-09 08:53:47

## zlib 1.2.13

### CVE-2023-45853

Severity: CRITICAL

CVSS Score: 9.8

Version Range: * to 1.3

Published: 2023-10-14T02:15:09.323

Last Modified: 2024-08-01T13:44:58.990

Description: MiniZip in zlib through 1.3 has an integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_64 via a long filename, comment, or extra field. NOTE: MiniZip is not a supported part of the zlib product. NOTE: pyminizip through 0.2.6 is also vulnerable because it bundles an affected zlib version, and exposes the applicable MiniZip code through its compress API.

### CVE-2023-48106

Severity: HIGH

CVSS Score: 8.8

Version Range: * to *

Published: 2023-11-22T18:15:09.630

Last Modified: 2023-12-02T00:27:03.327

Description: Buffer Overflow vulnerability in zlib-ng minizip-ng v.4.0.2 allows an attacker to execute arbitrary code via a crafted file to the mz_path_resolve function in the mz_os.c file.

### CVE-2023-48107

Severity: HIGH

CVSS Score: 8.8

Version Range: * to *

Published: 2023-11-22T23:15:10.663

Last Modified: 2023-12-27T04:15:07.277

Description: Buffer Overflow vulnerability in zlib-ng minizip-ng v.4.0.2 allows an attacker to execute arbitrary code via a crafted file to the mz_path_has_slash function in the mz_os.c file.

### CVE-2023-6992

Severity: MEDIUM

CVSS Score: 5.5

Version Range: * to 2023-11-16

Published: 2024-01-04T12:15:23.690

Last Modified: 2024-01-10T01:14:35.027

Description: Cloudflare version of zlib library was found to be vulnerable to memory corruption issues affecting the deflation algorithm implementation (deflate.c). The issues resulted from improper input validation and heap-based buffer overflow.

A local attacker could exploit the problem during compression using a crafted malicious file potentially leading to denial of service of the software.

Patches: The issue has been patched in commit  8352d10 https://github.com/cloudflare/zlib/commit/8352d108c05db1bdc5ac3bdf834dad641694c13c . The upstream repository is not affected.

### CVE-2003-0107

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to *

Published: 2003-03-07T05:00:00.000

Last Modified: 2022-06-22T16:40:46.327

Description: Buffer overflow in the gzprintf function in zlib 1.1.4, when zlib is compiled without vsnprintf or when long inputs are truncated using vsnprintf, allows attackers to cause a denial of service or possibly execute arbitrary code.

### CVE-2004-0797

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to *

Published: 2004-10-20T04:00:00.000

Last Modified: 2022-06-22T16:40:46.360

Description: The error handling in the (1) inflate and (2) inflateBack functions in ZLib compression library 1.2.x allows local users to cause a denial of service (application crash).

### CVE-2005-2096

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to *

Published: 2005-07-06T04:00:00.000

Last Modified: 2022-06-22T16:40:46.413

Description: zlib 1.2 and later versions allows remote attackers to cause a denial of service (crash) via a crafted compressed stream with an incomplete code description of a length greater than 1, which leads to a buffer overflow, as demonstrated using a crafted PNG file.

### CVE-2005-1849

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to *

Published: 2005-07-26T04:00:00.000

Last Modified: 2022-06-22T16:40:46.380

Description: inftrees.h in zlib 1.2.2 allows remote attackers to cause a denial of service (application crash) via an invalid file that causes a large dynamic tree to be produced.

### CVE-2009-1391

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to 2.015

Published: 2009-06-16T23:30:00.203

Last Modified: 2018-10-03T22:00:28.997

Description: Off-by-one error in the inflate function in Zlib.xs in Compress::Raw::Zlib Perl module before 2.017, as used in AMaViS, SpamAssassin, and possibly other products, allows context-dependent attackers to cause a denial of service (hang or crash) via a crafted zlib compressed stream that triggers a heap-based buffer overflow, as exploited in the wild by Trojan.Downloader-71014 in June 2009.

### CVE-2009-1391

Severity: UNKNOWN

CVSS Score: 0.0

Version Range: * to *

Published: 2009-06-16T23:30:00.203

Last Modified: 2018-10-03T22:00:28.997

Description: Off-by-one error in the inflate function in Zlib.xs in Compress::Raw::Zlib Perl module before 2.017, as used in AMaViS, SpamAssassin, and possibly other products, allows context-dependent attackers to cause a denial of service (hang or crash) via a crafted zlib compressed stream that triggers a heap-based buffer overflow, as exploited in the wild by Trojan.Downloader-71014 in June 2009.

這工具純把玩，困難之處就是做 version 和 library name 比對，這工具純示意，仍有非常大進步的空間，甚至該把這空間交給專業的資安公司就好，畢竟這是個分工的時代，且需要大量的人力檢視 Orz

Windows 開發筆記 - 將 Windows 11 筆電作業系統重置/還原至乾淨的環境與建立本地帳號密碼登入方式

由於 Windows 筆電常拿來實驗軟體，環境裝得有點亂，把它重置一下，筆記一下流程，哪天應該會用到：

系統 -> 復原 -> 重設此電腦 -> 本機重新安裝 -> 變更設定 -> 是否清除資料 (是) -> 按下重設就開始進行

接著會花一點時間，例如 20-30 分鐘後，筆電重開機，此台筆電就進入顯示 "正在重設這部電腦 10%" ，依筆電規格運算時間不同，在這台大概還要運行 40 分鐘：

手上的筆電，還會問你要不要保留筆電相關 keys ，通常是推薦選 ESC 略過清除：

A configuration change was requested to clear this computer's TPM (Trusted Platform Module).

WARNING: Clearing erases information stored on the TPM.

You will lose all created keys and access to data encrypted by these keys.

Press [F9] to confirm, ESC to reject

The system will restart.

詢問 Claude.ai 提供的資訊：

這個訊息是關於 TPM (Trusted Platform Module，信賴平台模組) 的重要警告。讓我解釋一下：

TPM 是電腦主機板上的一個安全晶片，主要用來：

1. 存儲加密金鑰

2. 保護 Windows Hello 的生物識別資料（如指紋）

3. 保護 BitLocker 硬碟加密的金鑰

4. 確保開機過程的安全性

這個警告在告訴你：

- 系統正在請求清除 TPM 中的資料

- 如果你按下 F9 確認清除，你將會失去：

  - TPM 中儲存的所有加密金鑰

  - 使用這些金鑰加密的資料的存取權限

- 按 ESC 可以取消這個動作

建議：

1. 如果你正在重置電腦並打算重新開始使用，按 F9 沒有問題

2. 如果你的電腦有使用 BitLocker 加密，請確保你已經備份了重要資料

3. 如果你不確定要不要清除，建議先按 ESC，等確認沒有重要資料需要保留後再進行

清除後，系統會重新啟動，而 TPM 會重新初始化以供新的 Windows 安裝使用。

接著，就像筆電剛買回來初次啟動一樣，開始被問要怎樣登入系統。印象中只要一開始設定好連外網路後，由於 Windows 也都在推廣自家帳號跟雲端服務，選個人使用會一直卡在被要求註冊一個帳號或登入一個微軟帳號，這時可以使用 "為公司或學校設定"，在這種組織流程中可以像以前 Windows 7 等等，直接創建本機帳號：

為公司或學校設定 -> 登入選項 -> 改為加入網域 -> 輸入

接著進入系統後，大概會繼續做：

• 系統安全更新 -> 升級到最新
• 系統 -> 遠端桌面 -> 啟用
• 系統 -> 電源和電池 
• -> 電源
• -> 螢幕與睡眠 -> 插電時，在下列時間後讓裝置進入睡眠狀態：永不
  
• -> 電源模式：最佳效能
• 關閉 筆電關閉就進入休眠
• Ctrl + R -> 輸入 control panel
  
• -> 控制台 -> 硬體與音效 -> 電源選項 -> 選擇蓋上螢幕時的行為
• 當我關閉筆記電腦螢幕時：一般電源 -> 不進行動做
• 開始 選單 -> Microsoft Store
• -> Python 3.12
• -> Visual Studio Code
  
• -> Brave Browser
• -> Mozilla Firefox
• 啟用系統內建 OpenSSH Server
• Ctrl+R -> 輸入 services.msc -> 找尋 OpenSSH 伺服器 
         -> 按 右鍵 選 啟用
         -> 按 右鍵 選 內容 -> 啟動類型 -> 自動
• 下載 CygWin 安裝更多工具
• https://www.cygwin.com/install.html
• 或是用 Windows 11 系統內建的 curl 來下載
• C:\Users\User\Downloads>curl https://www.cygwin.com/setup-x86_64.exe > setup-x86_64.exe
• 安裝 curl, wget, vim, git, cmake, clang, autossh 工具
• 之後透過 command 遠端登入 Windows 筆電時，可以在靠指令切換到 CygWin 的環境：
• C:\Users\User>C:\cygwin64\Cygwin.bat 
  
  User@PC ~
  $
  
  User@PC ~
  $ pwd
  /cygdrive/c/Users/User
• 使用 winget 指令：learn.microsoft.com/zh-tw/windows/package-manager/winget/
• 太久沒用 Windows ，沒想到 Microsoft 有推出自家牌 winget 套件管理工具，直接用他安裝工具
• 安裝完記得要重新登入才會更新工具搜尋環境，但是，有些工具裝完的確找不到，需自行更新 PATH 資訊
• 範例一：安裝 wget 指令
• C:\Users\User>wget
• 'wget' 不是內部或外部命令、可執行的程式或批次檔。
• C:\Users\User>winget install wget
• 找到 Wget [JernejSimoncic.Wget] 版本 1.21.4
• 此應用程式已由其擁有者授權給您。
• Microsoft 不負任何責任，也不會授與協力廠商封裝的任何授權。
• 正在下載 https://eternallybored.org/misc/wget/1.21.4/64/wget.exe
•   ██████████████████████████████  6.71 MB / 6.71 MB
• 已成功驗證安裝程式雜湊
• 正在啟動套件安裝...
• 新增的命令列別名: "wget"
• 已修改路徑環境變數；重新啟動命令介面以使用新值。
• 已成功安裝
• 範例二：安裝 git vim
• C:\Users\User>winget install git vim
• 找到多個符合輸入條件的套件。請精煉輸入。
• 名稱   識別碼        來源
• ----------------------------
• My Git 9NLVK2SL2SSP  msstore
• Git    Git.Git       winget
• Git    Microsoft.Git winget
• 找到多個套件: git
• 找到多個符合輸入條件的套件。請精煉輸入。
• 名稱            識別碼          來源
• ---------------------------------------
• Vim Cheat Sheet 9WZDNCRDMCWR    msstore
• Vim             vim.vim         winget
• Vim             vim.vim.nightly winget
• 找到多個套件: vim
• 大概就安裝這些工具：
• C:\Users\User>winget install wget vim.vim Microsoft.Git GnuWin32.Grep CoreyButler.NVMforWindows Docker.DockerDesktop
• 其中 vim 預設還沒更新到 PATH 環境，需要去找他出來用 "C:\Program Files\Vim\vim91\vim.exe" ，對應的還有 "C:\Program Files (x86)\GnuWin32\bin\grep.exe" 等等

如此，又變成可以遠端進去處理、測試的 Windows 節點了！ 像是 Python Windows 的實驗環境就可以用：

C:\Users\User\Downloads>python -m venv venv  

C:\Users\User\Downloads>.\venv\Scripts\activate

C:\Users\User\Downloads>pip install grip