abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 2
včera 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 0
včera 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
včera 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 5
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 6
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 11
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
21.2. 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
21.2. 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 691 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: jak na nestandardni nastaveni/zabezpeceni site?

    22.5.2011 15:15 CandySan | skóre: 9 | blog: bonzacek
    jak na nestandardni nastaveni/zabezpeceni site?
    Přečteno: 242×
    Zdar odbornici!

    bylo mi dano za ukol, abych vyresil nektere konkretni prvky zabezpeceni jedne site, ale zatim se mi bohuzel nedari kapnout na spravny postup. Soucasna sit sestava z nekolika serveru, brany (linux) a spousty koncovych zarizeni (mobily, notesy, pracovni i nepracovni stanice s ruznymi os) a vsichni jsou na jedine fyzicke siti popropojovani obyc. switchema.

    Co je potreba vyresit: A. jednotlive stanice nemaji byt schopne mezi sebou komunikovat na urovni tysipka (politika je takova, ze vse maji na serveru a pokud nekdo potrebuje vytvorit testovaci podsit, tak mu nic nebrani v tom, aby si priradil ip adresy z jine podsite a provadel si vyzkumy mezi takto nastavenymi stroji, ale nemelo by byt mozne provozovat napr. sdileni mezi obchodniky ci jinymi prac. stanicemi, nebo jakkoliv se navzajem kontaktovat) B. jednoznacne prirazeni MAC adres jejich provozovatelum (vcetne virtualek spoustenych na jednotlivych desktopech) aby se vedelo v pripade potizi ruzneho typu C. omezeni moznosti pripojovani neznamych zarizeni do site k sitovym prostredkum (napr. domaci notesy), ale zaroven musi byt umozneno navstevam (tedy vlastne stejnym cizim zarizenim) behat do netu (typicky notesy v zasedackach na wifine - mela by se tak omezit i hrozba infekce widli mezi sebou)

    Umim si predstavit portal, kde se useri budou bud prihlasovat, pokud maji takovyhle pristup, nebo se nemusi prihlasovat a pak budou muset cekat na zasah nektereho admina. Dalo by se to udelat tak, ze portal si zjisti jejich mac adresu, pripadne nabidne kratky a jednoduchy postup jak ji zjistit a dale uz jen user zapise kdo je a adminovi prijede zprava, ze tu je pozadavek tohoto typu k vyrizeni (napr. obchodak o vikendu v praci a admin to vyridi az se k tomu dostane - vzdalene, nebo treba i dalsi den). Dale by pak portal pracoval s iptables, kde by pro tento ucel byl vydefinovany nejaky chain v nemz by si portal delal co chce a povoloval by mac adresy jak je potreba (ulozeno v databazi a nejaka ta logika za tim). Takovym nejakym principem by se dal resit bod B a rekneme ze i C.

    Nevim vsak jak poresit A. Neni uzitecne aby useri museli nejak slozite se pripojovat do site a nejak slozite ji nastavovali. Chtelo by to vsechno z dhcp. Umim si predstavit, ze by dhcp server includoval nejaky konfiguracni file a ten by byl portalem pregenerovavan (asi jednosmerne na zaklade ulozenych dat z databaze), takze i zde vidim velmi siroke moznosti, ale to je furt malo.

    Tedy jeden z napadu pro bod A. je takovy, ze stanice budou dostavat lokalni adresy s maskou 255.255.255.255. Tim padem nemohou bez udani cesty komunikovat nikam. Brana by byla na nejake vnitrni adrese a reklo by se, ze route na ip_brana dev device a pak route default gw ip_brana. Na brane by se svazalo nekolik sitovek do sebe aby byla vetsi propustnost, forward pravidlo by bylo defaultne na drop a portalek by pridaval za behu povolovaci pravidla pro jednotlive MAC adresy (do toho chainu) a az teprve tim by bylo umozneno routovat mezi ostatnimi lokalnimi adresami. Nejak by se vytvorilo povolovaci pravidlo ven do netu i neznamym stanicim a rekneme ze by bejvalo bylo splneno...

    Jenze... nejak mi tohle reseni uplne nevoni - nemel byste nekdo lepsi napad? Treba i uplne jine reseni od zakladu... Dale nevim jak takovehle nastaveni zadat pomoci dhcp - mozna kdybych tohle vedel, tak mam vyreseno. Dokonce vubec nevim jak tohle nastavit na widowsech (umim asi vnutit 255.255.255.255, ale uz vubec nevim jak na ta dve routovaci pravidla).

    diky za pripadne napady a za kazdou radu!

    Odpovědi

    22.5.2011 17:15 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    A. Nastavit rozumně firewall na stanici - tím se vyřeší částečně i C, respektive se tím řeší dost věcí. Když jsem to dřív (3 roky zpět) dělal, tak jsme měli symantec antivirus, kde šlo tyto věci spravovat centrálně, pro notebooky tam šlo udělat různé profily (doma, v práci, na cestě, ...) ... dnes asi už budou i další / ještě lepší možnosti.

    B. Tomu moc nerozumím, jednoznačně přiřazené MAC adresy máte od výroby. Pokud je chcete asociovat s konkrétním PC v inventáři nebo živým člověkem, tak je to záležitost seznamu PC / databáze zařízení, kterou by měla každá slušná síť mít (klidně stylem access resp. oo base) ... nevím k čemu na to dělat nějaký portál.

    C. Přístup pro návštěvy ven ze zasedačky se řeší typicky VLANem nebo separátním šlaufem do internetové brány, nad tím se obvykle udělá monitoring, aby se daly dohledat incidenty. Pokud je v zasedačce wifi tak musí být odstíněna nebo dobře zabezpečena, aby "zasedačka" nebyla i v parku před budovou :) Omezení připojení neznámých strojů do vnitřní sítě je dost "tricky", v základu se např. můžete opřít o autentizaci uživatelů/strojů proti doménovému řadiči, nebo lze propojit firewall serveru se seznamem známých adres (případně DHCP).

    In Ada the typical infinite loop would normally be terminated by detonation.
    Jendа avatar 22.5.2011 17:48 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Uff, je to trochu delší, ale doporučuji ti při návrhu vzít na vědomí, že MAC adresa lze u naprosté většiny síťových karet libovolně měnit, takže si Foo může nastavit MAC adresu Bar, udělat něco nepěkného a za Bar pak přijde admin. Obecně by asi bylo nejlepší tohle řešit 802.1x segmenty a RADIUS autentizací, nebo alespoň nákupem chytrých switchů, které umí omezení MAC adresy na portu.
    Vox agroferti, vox Dei.
    22.5.2011 18:06 d'areback
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Bez sebrani uzivatelum admin prav to jde vyresit jen s jejich spolupraci/dobrou vuli (Pokud maji admina, prineseny pocitac se vzdycky do site da zapojit)
    Pro pocitace:
    - Sebrat admin prava, zaheslovat BIOS a zasifrovat na disku co jde
    - 802.1x + radius proti uctum pocitacu v domene (switch musi podporovat 802.1x)
    - Pokud nekdo chce vlastni pokusnou sit, dat mu nejaky switch a par kabelu nebo rovnou pres drzku
    
    Pro tupa zarizeni:
    - separatni lan/vlan s vazbou MAC-IP (a kamerami na snimani manipulace s utp kabelazi :)
    
    Pro hosty:
    - separatni lan/vlan + captive portal s pridelovani paru jmeno+heslo jen na par hodin a jen poverenym pracovnikem.
    
    23.5.2011 19:33 CandySan | skóre: 9 | blog: bonzacek
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Parada! Diky moc za odpovedi!

    Neco jsem si z toho vzal uz ted a neco z toho jeste namicham :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.