abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 17:33 | Komunita

Společnost Purism informuje o aktuálním vývoji chytrého telefonu Librem 5, jenž by měl respektovat bezpečnost, svobodu a soukromí uživatelů. Telefon už umí telefonovat. Librem 5 by měl být k dispozici v lednu 2019. Předobjednat jej lze za 599 dolarů.

Ladislav Hagara | Komentářů: 13
včera 09:00 | Bezpečnostní upozornění

Společnost Qualys zveřejnila výsledky bezpečnostního auditu procps-ng. Nalezeno bylo 7 bezpečnostních chyb (CVE-2018-1120, CVE-2018-1121, CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125 a CVE-2018-1126). Dvě z nich jsou zneužitelné k lokální eskalaci práv. Příslušné záplaty jsou již k dispozici v upstreamu.

Ladislav Hagara | Komentářů: 3
18.5. 06:44 | Nová verze

Byla vydána třiadvacátá alfa verze svobodné historické realtimové strategie 0 A.D. (Wikipedie). Kódový název této nejnovější verze je Ken Wood. Představení novinek v poznámkách k vydání a také na YouTube.

Ladislav Hagara | Komentářů: 3
18.5. 05:55 | Zajímavý článek

Tento týden se v Cambridge ve Velké Británii konal hackfest, který měl za cíl zlepšit výkon na GNOME postavených systémů na slabších počítačích. Hans de Goede například analyzoval spotřebu paměti jednotlivých komponent ve Fedora 28 Workstation na stroji s 2 GB RAM a pomocí kroků popsaných v článku Kde uspořit paměť ve Fedora Workstation na MojeFedora.cz snížil spotřebu paměti z 1,4 GB na 765 MB.

Ladislav Hagara | Komentářů: 8
17.5. 20:55 | Nová verze

Bram Moolenaar oznámil vydání verze 8.1 textového editoru Vim (Vi IMproved). Hlavní novinkou je integrovaný terminál.

Ladislav Hagara | Komentářů: 8
17.5. 16:55 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.27 a beta verze 1.28 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 6
17.5. 11:11 | Nová verze

Byla vydána verze 5.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Před měsícem slavil Proxmox VE 10 let (pdf).

Ladislav Hagara | Komentářů: 16
17.5. 10:22 | Nová verze

Byla vydána verze 4.8 a záhy na to opravná verze 4.8.1 svobodné náhrady proprietárních BIOSů coreboot (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 10
16.5. 05:55 | Komunita

Správce souborů (Files, Soubory, Nautilus) v nejnovějším GNOME 3.28 již neumožňuje zobrazovat ikony na ploše. Dalším vylepšením bude pravděpodobně odstranění možnosti spouštění aplikací (commit) přímo ze správce souborů.

Ladislav Hagara | Komentářů: 126
16.5. 04:44 | IT novinky

Dnes končí crowdfundingová kampaň na podporu modulárního open source routeru Turris MOX od CZ.NIC. Cílová částka 250 tisíc dolarů byla vybrána. Z posledních novinek představených v rámci kampaně lze zmínit demo webového rozhraní, spolupráci s Nextcloudem a Turris MOX: Cloud nebo konfigurátor pro testování kompatibility jednotlivých modulů.

Ladislav Hagara | Komentářů: 19
Používáte pro některé služby inetd?
 (32%)
 (26%)
 (43%)
Celkem 129 hlasů
 Komentářů: 3, poslední 9.5. 08:05
    Rozcestník

    Dotaz: jak na nestandardni nastaveni/zabezpeceni site?

    22.5.2011 15:15 CandySan | skóre: 9 | blog: bonzacek
    jak na nestandardni nastaveni/zabezpeceni site?
    Přečteno: 242×
    Zdar odbornici!

    bylo mi dano za ukol, abych vyresil nektere konkretni prvky zabezpeceni jedne site, ale zatim se mi bohuzel nedari kapnout na spravny postup. Soucasna sit sestava z nekolika serveru, brany (linux) a spousty koncovych zarizeni (mobily, notesy, pracovni i nepracovni stanice s ruznymi os) a vsichni jsou na jedine fyzicke siti popropojovani obyc. switchema.

    Co je potreba vyresit: A. jednotlive stanice nemaji byt schopne mezi sebou komunikovat na urovni tysipka (politika je takova, ze vse maji na serveru a pokud nekdo potrebuje vytvorit testovaci podsit, tak mu nic nebrani v tom, aby si priradil ip adresy z jine podsite a provadel si vyzkumy mezi takto nastavenymi stroji, ale nemelo by byt mozne provozovat napr. sdileni mezi obchodniky ci jinymi prac. stanicemi, nebo jakkoliv se navzajem kontaktovat) B. jednoznacne prirazeni MAC adres jejich provozovatelum (vcetne virtualek spoustenych na jednotlivych desktopech) aby se vedelo v pripade potizi ruzneho typu C. omezeni moznosti pripojovani neznamych zarizeni do site k sitovym prostredkum (napr. domaci notesy), ale zaroven musi byt umozneno navstevam (tedy vlastne stejnym cizim zarizenim) behat do netu (typicky notesy v zasedackach na wifine - mela by se tak omezit i hrozba infekce widli mezi sebou)

    Umim si predstavit portal, kde se useri budou bud prihlasovat, pokud maji takovyhle pristup, nebo se nemusi prihlasovat a pak budou muset cekat na zasah nektereho admina. Dalo by se to udelat tak, ze portal si zjisti jejich mac adresu, pripadne nabidne kratky a jednoduchy postup jak ji zjistit a dale uz jen user zapise kdo je a adminovi prijede zprava, ze tu je pozadavek tohoto typu k vyrizeni (napr. obchodak o vikendu v praci a admin to vyridi az se k tomu dostane - vzdalene, nebo treba i dalsi den). Dale by pak portal pracoval s iptables, kde by pro tento ucel byl vydefinovany nejaky chain v nemz by si portal delal co chce a povoloval by mac adresy jak je potreba (ulozeno v databazi a nejaka ta logika za tim). Takovym nejakym principem by se dal resit bod B a rekneme ze i C.

    Nevim vsak jak poresit A. Neni uzitecne aby useri museli nejak slozite se pripojovat do site a nejak slozite ji nastavovali. Chtelo by to vsechno z dhcp. Umim si predstavit, ze by dhcp server includoval nejaky konfiguracni file a ten by byl portalem pregenerovavan (asi jednosmerne na zaklade ulozenych dat z databaze), takze i zde vidim velmi siroke moznosti, ale to je furt malo.

    Tedy jeden z napadu pro bod A. je takovy, ze stanice budou dostavat lokalni adresy s maskou 255.255.255.255. Tim padem nemohou bez udani cesty komunikovat nikam. Brana by byla na nejake vnitrni adrese a reklo by se, ze route na ip_brana dev device a pak route default gw ip_brana. Na brane by se svazalo nekolik sitovek do sebe aby byla vetsi propustnost, forward pravidlo by bylo defaultne na drop a portalek by pridaval za behu povolovaci pravidla pro jednotlive MAC adresy (do toho chainu) a az teprve tim by bylo umozneno routovat mezi ostatnimi lokalnimi adresami. Nejak by se vytvorilo povolovaci pravidlo ven do netu i neznamym stanicim a rekneme ze by bejvalo bylo splneno...

    Jenze... nejak mi tohle reseni uplne nevoni - nemel byste nekdo lepsi napad? Treba i uplne jine reseni od zakladu... Dale nevim jak takovehle nastaveni zadat pomoci dhcp - mozna kdybych tohle vedel, tak mam vyreseno. Dokonce vubec nevim jak tohle nastavit na widowsech (umim asi vnutit 255.255.255.255, ale uz vubec nevim jak na ta dve routovaci pravidla).

    diky za pripadne napady a za kazdou radu!

    Odpovědi

    22.5.2011 17:15 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    A. Nastavit rozumně firewall na stanici - tím se vyřeší částečně i C, respektive se tím řeší dost věcí. Když jsem to dřív (3 roky zpět) dělal, tak jsme měli symantec antivirus, kde šlo tyto věci spravovat centrálně, pro notebooky tam šlo udělat různé profily (doma, v práci, na cestě, ...) ... dnes asi už budou i další / ještě lepší možnosti.

    B. Tomu moc nerozumím, jednoznačně přiřazené MAC adresy máte od výroby. Pokud je chcete asociovat s konkrétním PC v inventáři nebo živým člověkem, tak je to záležitost seznamu PC / databáze zařízení, kterou by měla každá slušná síť mít (klidně stylem access resp. oo base) ... nevím k čemu na to dělat nějaký portál.

    C. Přístup pro návštěvy ven ze zasedačky se řeší typicky VLANem nebo separátním šlaufem do internetové brány, nad tím se obvykle udělá monitoring, aby se daly dohledat incidenty. Pokud je v zasedačce wifi tak musí být odstíněna nebo dobře zabezpečena, aby "zasedačka" nebyla i v parku před budovou :) Omezení připojení neznámých strojů do vnitřní sítě je dost "tricky", v základu se např. můžete opřít o autentizaci uživatelů/strojů proti doménovému řadiči, nebo lze propojit firewall serveru se seznamem známých adres (případně DHCP).

    In Ada the typical infinite loop would normally be terminated by detonation.
    Jendа avatar 22.5.2011 17:48 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Uff, je to trochu delší, ale doporučuji ti při návrhu vzít na vědomí, že MAC adresa lze u naprosté většiny síťových karet libovolně měnit, takže si Foo může nastavit MAC adresu Bar, udělat něco nepěkného a za Bar pak přijde admin. Obecně by asi bylo nejlepší tohle řešit 802.1x segmenty a RADIUS autentizací, nebo alespoň nákupem chytrých switchů, které umí omezení MAC adresy na portu.
    Tohle (mirror) podporujete.
    22.5.2011 18:06 d'areback
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Bez sebrani uzivatelum admin prav to jde vyresit jen s jejich spolupraci/dobrou vuli (Pokud maji admina, prineseny pocitac se vzdycky do site da zapojit)
    Pro pocitace:
    - Sebrat admin prava, zaheslovat BIOS a zasifrovat na disku co jde
    - 802.1x + radius proti uctum pocitacu v domene (switch musi podporovat 802.1x)
    - Pokud nekdo chce vlastni pokusnou sit, dat mu nejaky switch a par kabelu nebo rovnou pres drzku
    
    Pro tupa zarizeni:
    - separatni lan/vlan s vazbou MAC-IP (a kamerami na snimani manipulace s utp kabelazi :)
    
    Pro hosty:
    - separatni lan/vlan + captive portal s pridelovani paru jmeno+heslo jen na par hodin a jen poverenym pracovnikem.
    
    23.5.2011 19:33 CandySan | skóre: 9 | blog: bonzacek
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Parada! Diky moc za odpovedi!

    Neco jsem si z toho vzal uz ted a neco z toho jeste namicham :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.