Byl vydán Nextcloud Hub 8. Představení novinek tohoto open source cloudového řešení také na YouTube. Vypíchnout lze Nextcloud AI Assistant 2.0.
Vyšlo Pharo 12.0, programovací jazyk a vývojové prostředí s řadou pokročilých vlastností. Krom tradiční nadílky oprav přináší nový systém správy ladících bodů, nový způsob definice tříd, prostor pro objekty, které nemusí procházet GC a mnoho dalšího.
Microsoft zveřejnil na GitHubu zdrojové kódy MS-DOSu 4.0 pod licencí MIT. Ve stejném repozitáři se nacházejí i před lety zveřejněné zdrojové k kódy MS-DOSu 1.25 a 2.0.
Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
Tak rok se s rokem sešel a dnes po oné roční pauze na mě z mailu vyjukla série 171 mailů vyslaných v rozmezí 5:08–7:05 o zabanovaných subjektech co se pokusily o SQL injekt databáze.
Je opravdu zvláštní shoda okolností, že ta vlna přišla opět krátce po vypruzení místního psychouše, tentokrát v debatě pod Maxovým blogpostem o tom co všechno může prozradit SMART o životnosti SSD disku.
Loni to bylo poté, co jsem se otřel o jeho chlebodárce.
Kromě zmíněných 171 subjektů má aktuálně můj fail2ban zabanovaných:
Tiskni
Sdílej:
a že to funguje tak dobře, až jsem na to zapomněl. Příšlušný address-list v hraničním Mikrotiku má k 10k řádkům (a jo, největší podíl mají adresy z Kitánie).
31.5.2021 20:28
Gréta | skóre: 36
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
co je to jakoby tamto naprudko?? :O ;D
A pokud má někdo na svém segmentu takového "humoristu", tak by to měl být pro něj dostatečný důvod aby to ta firma začala řešit. Buď si udělá pořádek mezi uživateli, nebo zavede IPv6.
Jinak aktuální stav blokovaných subjektů, doplněný v závorce o celkový počet zablokovaných subjektů od posledního restartu fail2banu (17.5.2021):
Ti co to zkouší naprudko zkoušejí uhádnout heslo roota, protože ten zakázaný není. Ale protože se přihlašuji klíčem, je filtr nastaven dost striktně. Heslo mám jen pro nouzové případy, takže pravděpodobnost že by ho někdy někdo odchytil je dost mizivá.
Filutové co to zkouší na mailserver většinou vyhoří na tom že nemají reverzní záznam. A ten zbytek nemá v pořádku všechny náležitosti.
O pokusech injektovat databázi wiki už jsem psal a ten zbytek se většinou snaží zavolat /srv/main/wp-login.php, což je jistá vstupenka na blocklist.
1.6.2021 11:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Asi to máme každý nastaveno jinak. Jelikož neprovozuji honeypot, preferuji směšné hodnoty. Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.
Jen pro srovnání, tohle je aktuální stav ze dvou veřejně přístupných strojů, přes které studenti lezou do laborek. Ovšem v pátek byly otočené, takže nevím banovaných adres bylo na počítadle předtím:
Na každém z nich to vychází zhruba na 100–150 IP adres za den. Tisíce IP adres bylo celkově zabanováno akorát na stroji, ze kterého jede virtualizační platforma. Celkem 713264. Aktuálně jsou na něm banované pouze 3 IP adresy. A ten stroj má uptime 605 dní. Takže to vychází v průměru na 1178 blokovaných IP adres na den. V reálu je to ale spíš tak, že útoky chodí ve vlnách. Protože jsme měli za poslední půlrok hned několik útoků, při kterých se podařilo udělat DDOS na starý hlavní firewall, který už je nahrazen novým.
1.6.2021 13:26
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.Ten stroj samotný poskytuje službu pro lidi z internetu.
V reálu je to ale spíš tak, že útoky chodí ve vlnách.To taky, největší vlny na webservery jsme měli z číny, ale to nejspíš nebyl ani útok ani pokus od DDOS (i když se to skoro povedlo), ale obsah těch spojení vykazoval znaky připojení se na proxy a vysvětluji si to tak, že někdo prostě špatně nastavil konfig pro proxy server (možná překlep v ip) a klienti se připojovali k nám. Protože všechna spojení byla jak před kopírák žádost o proxy. Náš stroj pochopitelně proxy neposkytoval a všechno končilo na 404. Proto tomu taky neříkám útoky.
Chápu, že zápisek v blogu je kompletně o něčem jinémZápisek je o tom, že soudruh komunista kapicabot pár dní zpátky někoho kritizoval za údajnou potřebu si kopnout, načež sám pocítil potřebu si kopnout, a tak to udělal.
1.6.2021 21:31
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 22:00
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.Jakou díru? Mluvíš o útočníku člověku? Protože automaty fungujou jinak. Automat zkouší slovník na ssh nebo známé problémy webu a snaží sám sebe zreplikovat. Člověk jde většinou za určitým cílem.
2.6.2021 07:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hučel větrák.Super monitoring.
Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.Super monitoring.
2.6.2021 08:46
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jasně jsem uvedl, že to byl notebook.A ono to na situaci něco mění?
To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?To mi samozřejmě dochází, ale ono taky záleží co ten stroj dělá, má dělat, jak je nastaven a zda má k tomu dostatek prostředků. A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde. A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje. Úplně obecně řečeno, ten stroj by měl mít tolik prostředků, aby levou zadní stíhal provoz, který mu tam může přijít. Tj omezovat by ho měla linka, nikoliv výkon. Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání, tak je potřeba mít nějaký systém fronty, do které spadne uživatelský požadavek a nějak se pak uživatelům oznámí výsledek. Takto to řeší třeba i google, export dat není na počkání, ale za pár hodin ti přijde email, s odkazem na stažení. A tak dále. Jinými slovy, správně nastavený server nemá jít přetížit běžnými požadavky. Ano, nebudu si hrát na supermana, někdy je to těžké nastavit a pracuje se s reálnými lidmi, kteří jsou schopni udělat prasárnu typy (select count(*) from (select * from table order by col)) nad 4GB tabulkou, takže dotaz pokaždé vytvoří 4GB temporary table jen proto, aby spočítal počet záznamů. Takového vývojáře je potřeba okamžitě střelit do hlavy. A z mojí zkušenosti plyne, že jednotka dočasnosti je jeden furt. Fail2Ban se může jevit jak rychlé fajn řešení nějakého problému, ale tím se většinou jenom odloží skutečné řešení nějakého problému. Jak jde čas, tak je to jen horší, protože potom služba nestíhá ani za blokátorem.
A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.Může, ale většinou nemá. Obzvláště v situaci kdy ji platíš. Všechno je to o vyvážení zátěže. Pro mne je fail2ban především represivní nástroj na ty co porušují pravidla a zkoušejí různé brykule. Primární aplikací na mém soukromém serveru je wiki a moc dobře vím jaké má slabiny, které principiálně na aplikační úrovni moc řešit nejdou. Kupř. taková prkotina - výpis všech souborů. Stačí pár klientů co to zavolá se správnými parametry ve stejnou chvíli a máš vystaráno. Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele. No a ty boty se to pokoušejí různým způsobem obejít. A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.
2.6.2021 11:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele.Ano, tak se to běžně dělá.
No a ty boty se to pokoušejí různým způsobem obejít.Ale to ti přece může být jedno, boti dostávají neustále http 401 (nebo něco podobného), ten server by o tom z hlediska výkonu ani neměl vědět. To, že na všechny loginy vystavené do internetu se neustále něco zkouší přihlašovat, je běžná věc.
A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.Pokud je to jen odesílající mailserver pro tu jednu místní službu, tak jak se k němu mohou hlásit klienti z internetu? To nedává smysl.
A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace strojeTak to pozor, tohle není pravda. Konfigurace stroje může být naprosto v pořádku, ale není to nic platné, když je služba postavená na pomalé doprasené aplikaci (kousek vedle v diskuzi se debatuje wordpress, což v kombinaci se "správnými" pluginy je přesně takový případ.)
Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání...S tím (a dalšími odstavci) už samozřejmě nelze než souhlasit. Ale moc vývojářů to neumí.
Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?Samozřejmě, zcela v souladu s vaším modelem, změnilo se to, že se Heron dopustil nejvyššího zločinu: nesouhlasí s názorem soudruha komunisty kapicabota.
1.6.2021 21:49
Gréta | skóre: 36
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
tak todleto je jakože to naprudko :D ;D
1.6.2021 15:52
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.Tak v prvé řadě je asi na místě, aby si každý uvědomil, že server není firewall, ani krabička za 5 litrů. Ten stroj,
Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko.Jo. Taky jsem to tak pro zábavu dělal. Ale z prakticky se osvědčila jiná kombinace.
1.6.2021 16:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 17:33
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 18:21
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 19:12
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 21:26
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
se oháníte tisícovkama blokovaných IP adresNe, já žádné IP neblokuju a nikde jsem to taky nepsal. Jen jsem uváděl statistiky z logů.
1.6.2021 21:38
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
No a to je důvod proč ho používám.Jen pro to, abys měl menší čísla v nějaké metrice?
1.6.2021 21:57
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 22:13
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Já blokuji hlavně ty, co se pokouší o DDOSPokud by to byl skutečný DDOS, tak ti zahltí linku rychleji než server.
ty, co se pokouší zneužít mailserverProč? Předpokládám, že ten server má alespoň základní zabezpečení, není to open relay a odesílat emaily prostřednictvím toho serveru mohou pouze přihlášení uživatelé. Jinými slovy, ten server bez znalosti hesla uživatele nikdo nemůže zneužít a pokud ano, tak víš který účet je kompromitovaný. Jako mě adminování mailserveru nikdy nebavilo, ale nasadit fail2ban na jeden z těch mailserverů s 50 doménamy, co jsem spravoval, by velmi rychle zablokovalo přístup z ČR a zákazníci by mi velmi poděkovali. A ano, jednou za x let zavirovaný komp nějakého usera vesele rozesílal prostřednictvím jeho účtu spam (většinou teda přes napadený outlook), tak jej bylo nutné zablokovat. Ale ne vypnout celý server, nebo zabanovat půlku republiky. Server musí běžet.
1.6.2021 22:44
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.6.2021 18:33
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.Mám svoje weby na WP už jedenáct let kontinuálně a nic se nikdy nerozbilo. Jasně, přebírat web po někom, kdo tam dá pluginy odněkud a potom je to tak křehké, že to nejde updatovat, tak to je peklo, ale vlastní udržovaný web není problém. Tím WP neobhajuju, sám jsem v přechodu na statický web, nakonec to zůstalo u schizofrenie, kdy je část WP a část statická. Časem wp dropnu taky.
Jinak naprosto chapu pokusy na znamy bugy.Z hlediska útočníka určitě. Z hlediska admina ne.
minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).Někdy bych to mohl zopakovat, před lety jsme se s kolegy bavili tím, že jsme sledovali, za jak dlouho se na čerstvě nainstalovaný server se slabým heslem (a povoleným heslem v ssh) někdo připojí. Většinou do 10 minut a byl tam.
nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat? Váš komentářAby ti to něco hlídalo, tak to musíš hlavně zapnout v
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc/fail2ban/jail.conf. Pak si musíš zkontrolovat, jestli to skutečně sedí na tom co chceš hlídat. Rozhodnout se jak budeš velký dobrák, zvolit co budeš ještě akceptovat a co a na jak dlouho chceš banovat.
Pak už záleží jen na tobě co vyhodnotíš jako škodlivou činnost. V adresáři /etc/fail2ban/filter.d/ jsou nějaké předpřipravené věci. A podle nich si můžeš udělat filtr vlastní, pokud někdo zkouší nějaké brykule, které ještě nebyly podchyceny. Chce to něco málo vědět o regulárních výrazech, a to je všechno.
Fail2ban není nic jiného než nadstavba nad logy, která automatizuje to co bys jinak řešil ručně.