Windows Server 持定目錄繼承權限調整

持定根目錄，例如 D:\ 內的使用者權限包含Everyone ，但建立在 D:\Apache\ 的又不要繼承 D:\ 已有的 Everone 權限時，可採以下設定方式。

做法如下：

1. 針對調整的目錄利用檔案總管點選該目錄，此時選擇上方功能列內的 「共用」後再選取「進階安全性設定」
2. 出現「進階安全性設定」視窗後，按 「停用繼承」項目。出現的視窗提示選取 「將繼承的權限轉換成此物件中的明確權限」
3. 選擇要移除權限帳號的主體（例如：Everyone），按下確定即可 （不需要勾選最下方可供勾選的項目 "以可從此物作繼承的權限項目取代所有子物件的權限項目(p)"）

這樣就設定完成了。如果要重設，可以直接將調整好的目錄刪除後再重新建立該目錄後再重新執行以上流程就可以。

7-zip plugin (SHA512)

主要是要新增 SHA 512 的功能。

1. 下載後，直接在 7-zip 目錄內新增  Codecs 目錄並複製 WinCryptHashers.64.dll 與 WinCryptHashers.ini到該目錄。
2. 修改WinCryptHashers.ini。將需要的 SHA-512 啟用即可 (e.g. SHA-512=1)。
   

相關資料：

• 7-Zip Discussion  
• 7-Zip plugins\WinCryptHashers
  

PGP Signature 驗證@ Windows

採用 Gpg4win 的做法： 

1. Gpg4win 下載 後直接做安裝
   
2. 以 Veracrypt 軟體為例。首先到 Veracrypt 下載 安裝檔案、 PGP Signature 檔案 與 VeraCrypt PGP public key
   
3. Signature 驗證：
• 執行 Gpg4win Kleopatra
• 建立個人 OpenPGP 金鑰配對 (Key Pair Creation Wizard)，輸入名稱與電子郵件後直接點選 "Create 建立"
• 點選 Import 功能，將  VeraCrypt_PGP_public_key.asc Import。
  
• 此時會在 All Certificates 項目看到匯入的資料，點選 "VeraCrypt Team (2018 - Supersedes Key ..." 項目會出現 Certificate Details 視窗。點選視窗內的 Certify 按鈕。將自已產生的 Key 與 "VeraCrypt Team (2018 - Supersedes Key ..." 項目做 "保證" 動作。
• 點選 "解密/檢查" 項目功能。點選要確認的 .sig 檔案 (如，VeraCrypt Setup 1.25.9.exe.sig) 後就能看到驗證成果。

其它做法：

1. 下載 GPG Plugin Portable 。安裝後將 GPG 目錄設定在系統內設定環境變數方便使用。或是安裝Gpg4win後也可以直接在終端機直接下指令
2. 指令參考：

• gpg.exe --import VeraCrypt_PGP_public_key.asc
• gpg.exe --verify VeraCrypt Setup 1.25.9.exe.sig VeraCrypt Setup 1.25.9.exe
• 執行後有顯示 gpg: Good signature 表示OK
  

gpg 指令參考

• gpg --import key..asc
• gpg --list-keys
• gpg --delete-key 'veracrypt@idrix.fr'
  

參考文件

• Gpg4win Compendium 3.0
• How to Verify PGP Signature of Downloaded Software on Linux 
• GPG Quick Start 
• Verifying Package Integrity Using MD5 Checksums or GnuPG 
• Verifying phpMyAdmin releases 
• 使用 GnuPG 確保傳輸重要檔案或文件的過程能確保機密性與完整性 
  

Windows Server 關機按鈕關閉

避免誤按關閉按鈕造成主機關機。

方式一：gpedit.msc 將關機按鈕從清單內直接移除

User Configuration > Administrative Templates > Start Menu and Taskbar. > Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands

方式二：cmd > logoff or shutdown -l

 

相關連結：

• Remove Power or Shutdown button from Login Screen, Start Menu, WinX menu in Windows 11/10 
• How To Log Out Of Windows Server 2016
  

Win11 安裝備忘

1. Virtualbox 跳過 TPM
2. 採用離線帳號 (ipconfig /release)

相關連結

• How to Install Windows 11 on VirtualBox even without TPM.
• Windows 11 家用版 OOBE 強制登入微軟帳號？

透過 private key 免帳密直接登入 SSH

 步驟：

1. ssh-keygen -t rsa 產生 id_rsa & id_rsa.pub
2. mv | cat | rename ~/.ssh/id_rsa.pub ~/.ssh/authorized_key
• 此情境是在伺服器端處理，也可在客戶端產生後將 public key 資訊傳到伺服器端
  
• 若有多筆公鑰內文可以附加到 authorized_key 檔案
  
• 若 SSH 伺服器是 Window OpenSSH 且登入的帳號是屬於管理者身份。那就要將 id_rsa.pub 內文附加到 C:\ProgramData\ssh\administrators_authorized_keys 檔案內。
  
3. id_rsa 傳給客戶端。客戶端將該檔放在 USERPROFILE\.ssh\* 就可以直接透過 SSH 免帳密直接登入使用 (e.g. ssh sftp@192.168.0.2)
   
4. id_rsa 透過 puttygen (Tools bar: Conversions item) 轉換成 id_rsa.ppk
• puttygen Tools Bar : Conversions item
• Load id_rsa files and choice "Save private key" item
  
5. 使用方式
• 將 id_rsa.ppk 轉給 client 使用。如透過 filezilla client，登入形式採用金鑰，金鑰指向 id_rsa.ppk
•  id_rsa (不用轉換 ppk ) 直接放到 windows 的使用者目錄內 (如，C:\Users\user_account\.ssh)後，再直接輸入 ssh user_account@IP 即可直接登入遠方主機
6. 指定使用者產生供使用的 private key
   runas /user:account cmd，開啟視窗後，輸入密碼。以該身份執行以上的程序即可(authorized_keys 檔案放在該登入帳號的 .ssh 目錄內)。
   

備忘：公鑰與私鑰的製作可以在使用者端或是伺服器端。將公鑰放到伺服器端且將私鑰傳給要連線的客戶端。

相關參考：

• Set up SSH public key authentication to connect to a remote system
  
• Windows 使用 SSH 金鑰免密碼登入 Linux
• [教學] 使用 PuTTYgen 產生 SSH 連線 RSA、DSA 公鑰與私鑰
• 利用公鑰免密碼連線使用說明 
• 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP 
• SSH key設定 免密碼連線伺服器 
  

 

filezilla server 1.1.0 安裝備忘

新版本 v 1.1.0 與 舊版本 v 0.9.60_b 的介面差異很大。 

在舊版本已存在的狀態下直接做新版本的安裝會自動透過 filezilla-server-config-converter.exe 自動轉換成新版本所採用的設定檔。轉換上去後，在 passive mode settings 的部份沒有順利轉換上去，需要自行重新設定，其它的部份看來都有正確的轉換。

安裝完畢後進入介面的 configure 項目做以下設定調整：

FTP Server Listeners ：
Protocol 的部份全部改成  Require explicit FTP over TLS (port 990 可以關閉)

Passive mode：
需要自行重新設定

Security：
Provide a X.509 certificate，憑證的產生方式已沒有內建，可利用 openssl 自行產生。或者直接採用 filezilla server 所提供的憑證 “Use a self-signed X.509 certificate” 來做使用。先前舊版本的憑證可以透過 filezilla server 自已提供的功能產生，但它的做法會將 RSA PRIVATE KEY、CERTIFICATE 放在同一個檔案，如果要照舊那就產生的 key and crt 的內容合併在一起即可。

設定檔備份：
新版本設定檔的部份調整放到 C:\Windows\System32\config\systemprofile\AppData\Local\filezilla-server

Daemon 執行身份調整 (e.g. account_ftp user)：預設安裝時會將設定檔放到上面所指定的位置。於系統服務將該 daemon 切換執行身份後會在新設定的身份的  C:\New_User\AppData\Local\filezilla-server\* 新增 filezilla server 的設定檔案。將 \filezilla-server\* 目錄賦予相關使用者寫入的權限後再將目錄內已存在的相關設定檔直接刪除再由原來已設定完成(C:\Windows\.....)的設定檔案複製過來。重新啟動 filezilla server 服務。這不確定有沒有其它更簡便的切換方式，爾後再確認。

版本更新方式：下載新版本後(e.g. 1.5.0 version)，直接點選執行檔。重新按介面提示重新安裝一次。但更新後它的 daemon 於系統服務內的登入身份會轉換到執行更新時的帳號身份。若採不同身份執行特定 deamon 的做法時，記得將身份切換回所要指定的身份。

Logging：
先新增 ftp_log.txt 後再到介面內將 File path 指向這個檔案；log output 選用 To file.

目前使用狀況：
使用起來都OK。但 client 連線使用完畢做切斷的動作會出現以下訊息。這在舊版本沒有出現。
GnuTLS error -110 in gnutls_record_recv: The TLS connection was non-properly terminated.
Client did not properly shut down TLS connection
Control channel closed with error from source 0. Reason: ECONNABORTED - Connection aborted.
Session 1 ended with error from source 0. Reason: ECONNABORTED - Connection aborted.

note : 此問題已於 1.4 版本修正

FTPstats GUI-based FileZilla log parser ： 待找