Capire ZFS

Vdev, Dataset, pool, disk, volume.. si resta un pochino spiazzati dalla descrizione dei vari termini su questo file system (che è di piu’ di un semplice file system se paragonato a EXT4, BTRFS, ecc..) Se, come me sei rimasto un po’ sbigottito ti faccio subito vedere un’immagine che chiarisce il 90% dei tuoi dubbi:

..mancano solo i volumi per avere chiaro la struttura di ZFS, che vado subito a spiegarti: i volumi sono come i dataset, solo che vengono gestiti da ZFS come ‘pezzi di disco’ ben delimitati dimensionalmente parlando e normalmente si usano quando hai da pubblicare una partizione iScsi… se chiedi a ZFS di farti un volute da 100GB, lui alloca uno spazio dentro al pool in modo che tu possa pubblicarlo come credi. Certo che in ZFS se fai un volume dovrebbe essere chiaro che ti serve per pubblicarlo in iScsi… altrimenti sono molto più flessibili i dataset. Se vuoi fare qualche test con ZFS a costo quasi zero, puoi usare XigmaNAS che gira anche sotto virtualizzatore VirtualBOX.

Approfondimenti:

https://xigmanas.com/xnaswp/ http://kflu.github.io/2017/07/17/2017-07-17-freebsd-zfs/ https://www.xigmanas.com/wiki/doku.php?id=zfs:volume https://arstechnica.com/information-technology/2020/05/zfs-101-understanding-zfs-storage-and-performance/

Windows Eventi significativi

L’intenzione è quella di fare una lista di eventi importanti. Ci sono molti siti che elencano gli eventID, ma non sempre sono spiegati chiaramente per i non addetti ai lavori. La lista non è in ordine di importanza.

4625 – Accesso Negato – Guarda il tipo per maggiori info oppure guarda qui https://docs.microsoft.com/it-it/windows/security/threat-protection/auditing/event-4625

4625 tipo 2 – Modo intereattivo via console

4625 tipo 3 – Via rete (NLA)

4625 tipo 5 – Un servizio ha tentato di startare con credenziali errate

4625 tipo 7 – La macchina era in lock (windows+L) ma la password inserita è sbagliata

4625 tipo 10 – RDP o TS

4624 – Accesso consentito – Guarda il tipo per maggiori info oppure guarda qui https://docs.microsoft.com/it-it/windows/security/threat-protection/auditing/event-4624 – Nota che se il campo ‘Elevated Token’ è uguale a 1 significa che è entrato un account con privilegi amministrativi

4624 tipo 2 – Modo intereattivo via console

4624 tipo 3 – Via rete (NLA)

4624 tipo 5 – Un servizio con credenziali corrette è partito

4624 tipo 7 – La macchina era in lock (windows+L) ed è stata sbloccata

4624 tipo 10 – Accesso RDP o TS

4720 – Creazione di un nuovo utente

4649 – Questo evento indica che è stato rilevato un attacco di riesecuzione Kerberos: una richiesta è stata ricevuta due volte con informazioni identiche. Questa condizione potrebbe essere causata da una configurazione errata della rete. Questo evento può essere un segno di un attacco di riesecuzione Kerberos o, tra l’altro, problemi di configurazione dei dispositivi di rete o di routing. In entrambi i casi, è consigliabile attivare un avviso e analizzare il motivo per cui l’evento è stato generato

5148 – La Windows Filtering Platform ha rilevato un attacco DoS ed è entrata in modalità difensiva. i pacchetti associati a questo attacco verranno eliminati. (evento raro) Questo evento può essere un segno di un attacco DoS ICMP o, tra l’altro, problemi correlati all’hardware o ai dispositivi di rete. In entrambi i casi, è consigliabile attivare un avviso e analizzare il motivo per cui l’evento è stato generato.

1102 – L’audit log è stato cancellato

4621 – Sistema ripristinato dall’amministratore da CrashOnAuditFail. Gli utenti che non sono amministratori potranno accedere. È possibile che alcune attività controllabili non siano state registrate.

4794 – tentativo di impostare la password di amministratore della modalità ripristino servizi directory

Microsoft ha pubblicato una lista di event id ordinata per criticità a questo link: https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor