abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
dnes 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 0
dnes 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
včera 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 0
včera 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
včera 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
včera 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
včera 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 2
včera 16:11 | Zajímavý software

Společnost Avast uvolnila zdrojové kódy svého dekompilátoru RetDec (Retargetable Decompiler) založeného na LLVM. Vyzkoušet lze RetDec jako webovou službu nebo plugin pro interaktivní disassembler IDA. Zdrojové kódy RetDec jsou k dispozici na GitHubu pod open source licencí MIT.

Ladislav Hagara | Komentářů: 3
13.12. 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 6
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 989 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: jak na nestandardni nastaveni/zabezpeceni site?

    22.5.2011 15:15 CandySan | skóre: 9 | blog: bonzacek
    jak na nestandardni nastaveni/zabezpeceni site?
    Přečteno: 242×
    Zdar odbornici!

    bylo mi dano za ukol, abych vyresil nektere konkretni prvky zabezpeceni jedne site, ale zatim se mi bohuzel nedari kapnout na spravny postup. Soucasna sit sestava z nekolika serveru, brany (linux) a spousty koncovych zarizeni (mobily, notesy, pracovni i nepracovni stanice s ruznymi os) a vsichni jsou na jedine fyzicke siti popropojovani obyc. switchema.

    Co je potreba vyresit: A. jednotlive stanice nemaji byt schopne mezi sebou komunikovat na urovni tysipka (politika je takova, ze vse maji na serveru a pokud nekdo potrebuje vytvorit testovaci podsit, tak mu nic nebrani v tom, aby si priradil ip adresy z jine podsite a provadel si vyzkumy mezi takto nastavenymi stroji, ale nemelo by byt mozne provozovat napr. sdileni mezi obchodniky ci jinymi prac. stanicemi, nebo jakkoliv se navzajem kontaktovat) B. jednoznacne prirazeni MAC adres jejich provozovatelum (vcetne virtualek spoustenych na jednotlivych desktopech) aby se vedelo v pripade potizi ruzneho typu C. omezeni moznosti pripojovani neznamych zarizeni do site k sitovym prostredkum (napr. domaci notesy), ale zaroven musi byt umozneno navstevam (tedy vlastne stejnym cizim zarizenim) behat do netu (typicky notesy v zasedackach na wifine - mela by se tak omezit i hrozba infekce widli mezi sebou)

    Umim si predstavit portal, kde se useri budou bud prihlasovat, pokud maji takovyhle pristup, nebo se nemusi prihlasovat a pak budou muset cekat na zasah nektereho admina. Dalo by se to udelat tak, ze portal si zjisti jejich mac adresu, pripadne nabidne kratky a jednoduchy postup jak ji zjistit a dale uz jen user zapise kdo je a adminovi prijede zprava, ze tu je pozadavek tohoto typu k vyrizeni (napr. obchodak o vikendu v praci a admin to vyridi az se k tomu dostane - vzdalene, nebo treba i dalsi den). Dale by pak portal pracoval s iptables, kde by pro tento ucel byl vydefinovany nejaky chain v nemz by si portal delal co chce a povoloval by mac adresy jak je potreba (ulozeno v databazi a nejaka ta logika za tim). Takovym nejakym principem by se dal resit bod B a rekneme ze i C.

    Nevim vsak jak poresit A. Neni uzitecne aby useri museli nejak slozite se pripojovat do site a nejak slozite ji nastavovali. Chtelo by to vsechno z dhcp. Umim si predstavit, ze by dhcp server includoval nejaky konfiguracni file a ten by byl portalem pregenerovavan (asi jednosmerne na zaklade ulozenych dat z databaze), takze i zde vidim velmi siroke moznosti, ale to je furt malo.

    Tedy jeden z napadu pro bod A. je takovy, ze stanice budou dostavat lokalni adresy s maskou 255.255.255.255. Tim padem nemohou bez udani cesty komunikovat nikam. Brana by byla na nejake vnitrni adrese a reklo by se, ze route na ip_brana dev device a pak route default gw ip_brana. Na brane by se svazalo nekolik sitovek do sebe aby byla vetsi propustnost, forward pravidlo by bylo defaultne na drop a portalek by pridaval za behu povolovaci pravidla pro jednotlive MAC adresy (do toho chainu) a az teprve tim by bylo umozneno routovat mezi ostatnimi lokalnimi adresami. Nejak by se vytvorilo povolovaci pravidlo ven do netu i neznamym stanicim a rekneme ze by bejvalo bylo splneno...

    Jenze... nejak mi tohle reseni uplne nevoni - nemel byste nekdo lepsi napad? Treba i uplne jine reseni od zakladu... Dale nevim jak takovehle nastaveni zadat pomoci dhcp - mozna kdybych tohle vedel, tak mam vyreseno. Dokonce vubec nevim jak tohle nastavit na widowsech (umim asi vnutit 255.255.255.255, ale uz vubec nevim jak na ta dve routovaci pravidla).

    diky za pripadne napady a za kazdou radu!

    Odpovědi

    22.5.2011 17:15 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    A. Nastavit rozumně firewall na stanici - tím se vyřeší částečně i C, respektive se tím řeší dost věcí. Když jsem to dřív (3 roky zpět) dělal, tak jsme měli symantec antivirus, kde šlo tyto věci spravovat centrálně, pro notebooky tam šlo udělat různé profily (doma, v práci, na cestě, ...) ... dnes asi už budou i další / ještě lepší možnosti.

    B. Tomu moc nerozumím, jednoznačně přiřazené MAC adresy máte od výroby. Pokud je chcete asociovat s konkrétním PC v inventáři nebo živým člověkem, tak je to záležitost seznamu PC / databáze zařízení, kterou by měla každá slušná síť mít (klidně stylem access resp. oo base) ... nevím k čemu na to dělat nějaký portál.

    C. Přístup pro návštěvy ven ze zasedačky se řeší typicky VLANem nebo separátním šlaufem do internetové brány, nad tím se obvykle udělá monitoring, aby se daly dohledat incidenty. Pokud je v zasedačce wifi tak musí být odstíněna nebo dobře zabezpečena, aby "zasedačka" nebyla i v parku před budovou :) Omezení připojení neznámých strojů do vnitřní sítě je dost "tricky", v základu se např. můžete opřít o autentizaci uživatelů/strojů proti doménovému řadiči, nebo lze propojit firewall serveru se seznamem známých adres (případně DHCP).

    In Ada the typical infinite loop would normally be terminated by detonation.
    Jendа avatar 22.5.2011 17:48 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Uff, je to trochu delší, ale doporučuji ti při návrhu vzít na vědomí, že MAC adresa lze u naprosté většiny síťových karet libovolně měnit, takže si Foo může nastavit MAC adresu Bar, udělat něco nepěkného a za Bar pak přijde admin. Obecně by asi bylo nejlepší tohle řešit 802.1x segmenty a RADIUS autentizací, nebo alespoň nákupem chytrých switchů, které umí omezení MAC adresy na portu.
    Why did the multithreaded chicken cross the road? to To other side. get the
    22.5.2011 18:06 d'areback
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Bez sebrani uzivatelum admin prav to jde vyresit jen s jejich spolupraci/dobrou vuli (Pokud maji admina, prineseny pocitac se vzdycky do site da zapojit)
    Pro pocitace:
    - Sebrat admin prava, zaheslovat BIOS a zasifrovat na disku co jde
    - 802.1x + radius proti uctum pocitacu v domene (switch musi podporovat 802.1x)
    - Pokud nekdo chce vlastni pokusnou sit, dat mu nejaky switch a par kabelu nebo rovnou pres drzku
    
    Pro tupa zarizeni:
    - separatni lan/vlan s vazbou MAC-IP (a kamerami na snimani manipulace s utp kabelazi :)
    
    Pro hosty:
    - separatni lan/vlan + captive portal s pridelovani paru jmeno+heslo jen na par hodin a jen poverenym pracovnikem.
    
    23.5.2011 19:33 CandySan | skóre: 9 | blog: bonzacek
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Parada! Diky moc za odpovedi!

    Neco jsem si z toho vzal uz ted a neco z toho jeste namicham :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.