Ab der OSsecure Version ’79 gibt es ein Notfallsystem:
Über Telnet (nicht SSH) anmelden.
Terminalprogramm „Putty“ oder Eingabeaufforderung nutzen. (https://www.heise.de/download/putty.html)
Eingabeaufforderung: telnet IP-Adresse
root
password (OSsecure)
nosoup4u (Netzwerkscanner)
ToolBox über Console starten
perl /programme/scbio/toolbox.pl
Link: Menü embedded Toolbox OSsecure
PA Datenbank in VM löschen. PA startet anschließend mit leerer DB und neuen keys
sudo rm /home/osaccess/.Physical_Access/ -r
sudo reboot
Nach dem Reboot wieder mit admin und Password1 anmelden
Bei einem PhysicalAccess Netzwerkscanner die Keys löschen, damit Gerät neu am Server aktiviert werden kann/muss
rm /programme/IDDevice/.prk
rm /programme/IDDevice/.puk
rm /programme/IDDevice/.spuk
reboot
Anzeige Partitionen
fdisk -l
(L wie Ludwig)
Anzeige Linux Version
cat /proc/version
Ergebnis bei OSsecure Systemen:
Linux version 4.9.58+ (safecor@safecor-mint18) (gcc version 5.4.0 20160609 (Ubuntu/Linaro 5.4.0-6ubuntu1~16.04.4) ) #10 SMP PREEMPT Fri Nov 10 14:43:52 CET 2017
CPU oder Rechnertyp herausbekommen
cat /proc/cpuinfo
N2600 IEI
N2800 Kaltenbach silber
N270 Kaltenbach schwarz
x5-Z8300 Tronsmart
E3815 NUC
Datum Uhrzeit ändern:
date -s “yyyy-mm-dd hh:mm:ss“
hwclock –systohc (Andere Systeme, 2*Minuszeichen vor “systohc“ ohne Leerzeichen)
Beispiel: date -s “2019-09-30 09:51:05“
UTC Zeit also -2 Std.
Arm Rechner und NUC Rechner:
Beispiel: wie wolle 10 Uhr am 28.02.2024 einstellen:
Aktuelle Uhrzeit – 1 STD.
Befehle:
date -s 2024.02.28-09:00:00
hwclock –systohc
reboot
Dann zur Prüfung einmal nach dem Reboot in der Weboberflöche schauen, ob alles passt.
wenn vor Ort –> idealerweise dann Stromreset des Rechners , zwecks Prüfung der Bios Batterie.
———————
vermutlich alte NT Server..
Timeserver
VOLKSBANKEN:
ntp-int.brz.in.gad.de
10.253.1.150
GNPPBIADS301.pb.rz.in.gad.de
10.68.128.24
ntp-int.brz.FIDUCIA.DE
10.253.1.150
timeserver.gadeg.de
10.64.78.19
SPARKASSE:
timeserver Sparkasse (Rothenburg)
17.243.1.35
Sparkassen
SNTP:
4.243.1.35
17.243.1.35
NTP:
17.243.1.20
17.243.1.50
4.243.1.20
4.243.1.50
Um den Timeserver eines Windows PC herauszubekommen…
In der Windows Console folgendes eingeben: w32tm /query /status
Logs einsehen
cat /programme/scbio/log/ossecure.log
oder „live“ (muss dann aber mit STRG+C verlassen werden)
tail -f /programme/scbio/log/ossecure.log
Prozesse auflisten und abschießen
ps und killall sh oder killall 1087 (Prozessnummer)
Defektes Dateisystem reparieren (http Error 500) – „-y beantwortet alle Fragen mit yes“
Nur bei Dateisystemen ausführen, welche Read-only gemounted sind (siehe unten)! Alternativ von einerm Live System durchführen.
fsck /dev/sda2 -y
e2fsck -pf /dev/sda2
Herausbekommen, ob SDA oder HDA oder mmcblk?
Die alten Rechner mit IDE-Platten oder die kleinen eBox Rechner sind hda2, alle neueren Systeme sda2. Bei NUC und Arm Systemen ist es mmcblk0p2.
cd dev
ls
Herausbekommen, ob Dateisystem read-only gemounted wurde
An einer der beiden genannten Stellen steht ro anstelle von rw, dann ist das Dateisystem read-only und fsck (oder e2fsck) kann ausgeführt werden.
[root@test1]: mount
rootfs on / type rootfs (ro) ◄ Hier steht ro=read-only und nicht rw=read-write
/dev/root on / type ext4 (ro,relatime,data=ordered) ◄ Hier steht ro=read-only und nicht rw=read-write
devtmpfs on /dev type devtmpfs (rw,relatime,size=1028964k,nr_inodes=221967,mode=755)
proc on /proc type proc (rw,relatime)
tmpfs on /dev/shm type tmpfs (rw,relatime)
tmpfs on /tmp type tmpfs (rw,relatime)
tmpfs on /var type tmpfs (rw,relatime)
devpts on /dev/pts type devpts (rw,relatime,mode=600)
/dev/sda1 on /boot type msdos (ro,relatime,fmask=0022,dmask=0022,codepage=437,errors=remount-ro)
sys on /sys type sysfs (rw,relatime)
[root@test1]:/dev #
Speicherplatz der Festplatte anzeigen / Wie viel ist noch frei?
df -h
Inhalt vom TMP Ordner löschen
rm -r /programme/scbio/tmp/org
Autonegation für Netzwerk aktivieren/deaktivieren (fest auf 100 MB full duplex einstellen)
mii-tool -A 100baseTx-FD eth0 (autoneg an)
mii-tool -F 100baseTx-FD eth0 (autoneg aus)
Reboot, wenn reboot nicht funktioniert
Im Normalfall wird einfach „reboot“ eingegeben. Alternativ:
/sbin/reboot
Windows Console: Wie kann ich die MAC von einem entfernten Gerät herausbekommen, wenn ich nur die IP Adresse kenne?
Erst das Gerät (die IP) an-pingen mit
ping -4 192.168.23.216
dann….
arp -a 192.168.23.216
Hat der PC einen Link
Mit Alt+F3 auf die Console der Toolbox wechseln:
Befehl: mii-tool
Antwort: link ok ODER no link
Beispiel:
[root@FZ-03-IEI]:~ # mii-tool
eth0: negotiated 100baseTx-FD, link ok
Windows Console: Wie kann ich die IP-Adresse/Hostnamen von einem entfernten Gerät herausbekommen, wenn ich nur die MAC Adresse kenne?
Ich habe die MAC von meinem Gerät, zum Beispiel: F0:AD:4E:02:E3:6A aus Systemverwaltung Netzwerk einstellen.
1. Zunächst muss ich zumindest das Netzwerk-Segment kennen, in welchem das Gerät eingesetzt wird (z.B. 192.168.10.xxx). Wenn ich mir nicht ganz sicher bin, dann besser mehrere Segmente an-pingen… (z.B. 192.168.11.xxx und 192.168.0.xxx und 192.168.1.xxx). Es wird immer die 255 im Segment ange-pingt.
ping 192.168.10.255
ping 192.168.11.255
ping 192.168.0.255
2. Anschließend kann nun die MAC herausgesucht werden. Bei der MAC bitte alles klein schreiben und mit – getrennt (nicht mit :)
arp -a |find „f0-ad-4e-02-e3-6a“
Alternativ können auch alle IPs und MAC-Adressen (mit denen du Kontakt hattest) in eine Textdatei geschrieben werden. Diese liegt dann in dem Pfad, wo du bist (C:\Users\DU\arp.txt).
arp -a > arp.txt
Wenn der arp Befehl die IP zu der MAC noch nicht auflistet oder findet, dann hast du noch nicht das richtige Segment mit PING abgesucht (siehe Schritt 1)
OSEntry
root
fjdka/26T
cd /mnt/mtdblock
killall zkentryguard
killall zkentry
./zkentry –> Log-Übersicht (Screenshot)
rm ZkOssecureDb_1471.db3 (löscht offline-db)
reboot
CPU Auslastung, Speicher, Temperatur, etc.
htop
cat /sys/class/thermal/thermal_zone*/temp
cat /sys/devices/platform/pwm-fan\:/hwmon/hwmon0/pwm1
Lüfter X/255
echo „255“ > /sys/devices/platform/pwm-fan\:/hwmon/hwmon0/pwm1
echo „0“ > /sys/devices/platform/pwm-fan\:/hwmon/hwmon0/pwm1
Prozesse auflisten
ps
Java-Version anzeigen / installieren
Anzeige Java-Version:
ls -l /programme
Installieren Java:
cd /programme/scbio
dann
./java_update.sh
Wenn alle Logs mit „2020-09-28 14:01:05,520 DEBUG“ zugeschrieben sind
rm /programme/scbio/debug
reboot
OSsecure Datenbank löschen
cd /programme/scbio/
rm -r scbioDB
busybox unzip default.db.zip
reboot
Der Reboot muss nach Eingabe von „busybox unzip default.db.zip“ schnell durchgeführt werden!
Firststart ohne Neueingabe ID+Name
rm -r /programme/scbio/installstep /programme/scbio/firstStartFinished /programme/scbio/scbioDB
reboot
OSEntry ZK // OSEntry F2 // OSEntry WP: Neue Verbindung zu PhysicalAccess einstellen
vi /programme/scbio/src/physical_access.properties.xml
Mit der Taste „i“ wird der Bearbeitungsmodus gestartet
Mit der Taste „ESC“ wird der Bearbeitungsmodus verlassen
Speichern und Schließen mit der Eingabe „:wq“
Schließen ohne Speichern mit der Eingabe „:q!“
OSEntry ZK // OSEntry F2 // OSEntry WP: PhysicalAccess Keys löschen um neue Verbindung zu erzwingen
root
fjdka/26T
cd /mnt/mtdblock
löschen:
rm -r privKeyTest
rm -r pubKeyTest
reboot
Nach dem Reboot kann es etwas dauern, bis der Entry die neuen Keys berechnet hat. In der Zeit das Gerät bitte NICHT vom Strom nehmen!
OSEntry F2 // OSEntry WP: Aktivierung des NeoLock Plugins für PhysicalAccess
Nur möglich mit Mifare-Modul M340K-V1.02!!!! M340K-V1.0 geht NICHT!!!
root
fjdka/26T
vi /mnt/mtdblock/zkConfig.ini
mit „i“ in den Bearbeitungsmodus wechseln
Phyiscal-Access-Plugin-Name=NeoLockPlugin
eintragen (standardmäßig steht da Phyiscal-Access-Plugin-Name=CylinderManagementPlugin)
Sollte der Eintrag „Phyiscal-Access-Plugin-Name=*“ fehlen, bitte einmal die aktuelle Version für den F2/WP neu installieren und den Server „PhysicalAccess“ neu anlegen!
Mit „ESC“ den Bearbeitungsmodus verlassen
Dann einfach mit Eingabe „:wq“ speichern
reboot
Einzelne Log Einträge einer Person geräteübergreifend heraussuchen
In den Logdaten von OSsecure kann nach einer Person, aber nur je Gerät und nicht geräteübergreifend gesucht werden. Die folgende Query sucht hingegen über alle Geräte. PersNr in diesem Beispiel ist 10012.
select * from logging left join members on members.id = logging.member_id where event like '%10012%'
Nach Update startet das Webinterface von OSsecure nicht mehr, Gerät ist aber anpingbar
In der Regel ist die Start Datei defekt/korrupt. Kunde benötigt ToolBox und Teamviewer! Mit Teamviewer aufschalten.
Im Windows Explorer per ftp auf den Tagestresor aufschalten:
ftp://root:password@10.17.116.6
Dann aus dem Verzeichnis „res“ im Ordner der Toolbox die Datei Start in den Ordner „/programme/scbio/start“ auf den Tagestresor kopieren und die vorhandene Start Datei (0 byte) überschreiben.
Dann mit Putty auf den tagestresor aufschalten und…
chmod +x /programme/scbio/start
reboot