OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
V mem okolik neni nikdo s nejakou znalosti/zkusenosti IPv6. Marne na internetu hledam odpovedi ohledne zakladnich otazek.
1-IPv4 --- sit 100PC za linux firewallem/routerem s verejnou IPv4 adresou, ktery dela NAT. Nekolik PC maji tunelovane porty na verejnou IP na linux brane. V siti bezi DHCP a rozdava IP adresy 192.168.x.x
2-IPv6 --- ISP poskytuje IPv6, obdrzeno /48, sit 100PC za linux routerem/firewallem. Vsechny servery/stanice pouzivaji pouze IPv6, ktere jsou poskytovany pomoci radvd nebo rucne prirazeny
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?
Předně jak se situace liší od bohužel pro vás hypotetické situace, kdy by ste měl dost IPv4 adres a žádný NAT jste neprovozoval?
Až si vyřešíte zabezpečení této hypotetické situace, tak se můžeme bavit o rozdílech mezi IPv4 a IPv6. V podstatě kromě „source-routingu“, který se v trochu jiné formě vrátil a který lze úspěšně vypnout/ignorovat/blokovat jako v IPv4, je pak už jediným závažným rozdílem ICMPv6. Ohledně toho existuje rozsáhlé pojednání.
Je ovšem nutné si uvědomit, že když zapínáte firewall na bráně, tak tím omezujete svobodu koncových stanic. Co potřebujete vy a vaši uživatelé a čemu dáte přednost, si ale musíte vyřešit sami.
Myslim ze v klidu firewallem, zalezi na distribuci:
http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x2228.html
NN
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall?Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť. Pokud tomu nevěříte, bude potřeba zavést nějaký arbitrující firewall, který rozdělí síť na zóny, mezi kterými je komunikace pevně dána nebo zakázána.
Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť.PC za NATem není tak úplně totéž jako PC připojené k internetu. A pokud je na tom routeru, který dělá NAT, rozumě nastavený firewall, tak zároveň zajišťuje zabezpečení počítačů v síti. (Například omezením forwardu na spojení, která byla iniciována z vnitřní sítě.)
28.7.2009 21:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?
Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:
iptables -P FORWARD DROP # výchozí politika, všechno zahodit iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme iptables -A FORWARD --proto icmp -j ACCEPT
Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:
iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1 iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2 iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše. iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.
Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.
PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.
28.7.2009 21:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
iptables -N server_a iptables -A server_a --proto tcp --dport 22 -j ACCEPT iptables -A server_a --proto tcp --dport 80 -j ACCEPT ........ iptables -A FORWARD -d 1.2.3.4 -j server_a
jeden z duvodu nasazeni IPv6 je prave odstraneni NATu, aby fungovaly p2p aplikace a VOIP bez berlicek. takze zablokovani vseho je fakt imbecilni reseni.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz