abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 17
dnes 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 5
včera 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
včera 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
včera 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 14
včera 05:55 | Komunita

Prezident Nadace pro svobodný software (FSF) Richard M. Stallman vyhlásil na slavnostním ceremoniálu v rámci konference LibrePlanet 2017 vítěze Free Software Awards za rok 2016. Ocenění za společenský přínos získal SecureDrop (Wikipedie). Za rozvoj svobodného softwaru byl oceněn Alexandre Oliva (Wikipedie).

Ladislav Hagara | Komentářů: 0
včera 04:44 | Nová verze

Byla vydána verze 0.7.0 debugovacího nástroje cgdb. Mezi novinky patří například zvýrazňování syntaxe jazyka Rust. Podrobnosti v poznámkách o vydání.

Neel | Komentářů: 0
25.3. 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 7
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 32
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 50
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 949 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: jak na nestandardni nastaveni/zabezpeceni site?

    22.5.2011 15:15 CandySan | skóre: 9 | blog: bonzacek
    jak na nestandardni nastaveni/zabezpeceni site?
    Přečteno: 242×
    Zdar odbornici!

    bylo mi dano za ukol, abych vyresil nektere konkretni prvky zabezpeceni jedne site, ale zatim se mi bohuzel nedari kapnout na spravny postup. Soucasna sit sestava z nekolika serveru, brany (linux) a spousty koncovych zarizeni (mobily, notesy, pracovni i nepracovni stanice s ruznymi os) a vsichni jsou na jedine fyzicke siti popropojovani obyc. switchema.

    Co je potreba vyresit: A. jednotlive stanice nemaji byt schopne mezi sebou komunikovat na urovni tysipka (politika je takova, ze vse maji na serveru a pokud nekdo potrebuje vytvorit testovaci podsit, tak mu nic nebrani v tom, aby si priradil ip adresy z jine podsite a provadel si vyzkumy mezi takto nastavenymi stroji, ale nemelo by byt mozne provozovat napr. sdileni mezi obchodniky ci jinymi prac. stanicemi, nebo jakkoliv se navzajem kontaktovat) B. jednoznacne prirazeni MAC adres jejich provozovatelum (vcetne virtualek spoustenych na jednotlivych desktopech) aby se vedelo v pripade potizi ruzneho typu C. omezeni moznosti pripojovani neznamych zarizeni do site k sitovym prostredkum (napr. domaci notesy), ale zaroven musi byt umozneno navstevam (tedy vlastne stejnym cizim zarizenim) behat do netu (typicky notesy v zasedackach na wifine - mela by se tak omezit i hrozba infekce widli mezi sebou)

    Umim si predstavit portal, kde se useri budou bud prihlasovat, pokud maji takovyhle pristup, nebo se nemusi prihlasovat a pak budou muset cekat na zasah nektereho admina. Dalo by se to udelat tak, ze portal si zjisti jejich mac adresu, pripadne nabidne kratky a jednoduchy postup jak ji zjistit a dale uz jen user zapise kdo je a adminovi prijede zprava, ze tu je pozadavek tohoto typu k vyrizeni (napr. obchodak o vikendu v praci a admin to vyridi az se k tomu dostane - vzdalene, nebo treba i dalsi den). Dale by pak portal pracoval s iptables, kde by pro tento ucel byl vydefinovany nejaky chain v nemz by si portal delal co chce a povoloval by mac adresy jak je potreba (ulozeno v databazi a nejaka ta logika za tim). Takovym nejakym principem by se dal resit bod B a rekneme ze i C.

    Nevim vsak jak poresit A. Neni uzitecne aby useri museli nejak slozite se pripojovat do site a nejak slozite ji nastavovali. Chtelo by to vsechno z dhcp. Umim si predstavit, ze by dhcp server includoval nejaky konfiguracni file a ten by byl portalem pregenerovavan (asi jednosmerne na zaklade ulozenych dat z databaze), takze i zde vidim velmi siroke moznosti, ale to je furt malo.

    Tedy jeden z napadu pro bod A. je takovy, ze stanice budou dostavat lokalni adresy s maskou 255.255.255.255. Tim padem nemohou bez udani cesty komunikovat nikam. Brana by byla na nejake vnitrni adrese a reklo by se, ze route na ip_brana dev device a pak route default gw ip_brana. Na brane by se svazalo nekolik sitovek do sebe aby byla vetsi propustnost, forward pravidlo by bylo defaultne na drop a portalek by pridaval za behu povolovaci pravidla pro jednotlive MAC adresy (do toho chainu) a az teprve tim by bylo umozneno routovat mezi ostatnimi lokalnimi adresami. Nejak by se vytvorilo povolovaci pravidlo ven do netu i neznamym stanicim a rekneme ze by bejvalo bylo splneno...

    Jenze... nejak mi tohle reseni uplne nevoni - nemel byste nekdo lepsi napad? Treba i uplne jine reseni od zakladu... Dale nevim jak takovehle nastaveni zadat pomoci dhcp - mozna kdybych tohle vedel, tak mam vyreseno. Dokonce vubec nevim jak tohle nastavit na widowsech (umim asi vnutit 255.255.255.255, ale uz vubec nevim jak na ta dve routovaci pravidla).

    diky za pripadne napady a za kazdou radu!

    Odpovědi

    22.5.2011 17:15 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    A. Nastavit rozumně firewall na stanici - tím se vyřeší částečně i C, respektive se tím řeší dost věcí. Když jsem to dřív (3 roky zpět) dělal, tak jsme měli symantec antivirus, kde šlo tyto věci spravovat centrálně, pro notebooky tam šlo udělat různé profily (doma, v práci, na cestě, ...) ... dnes asi už budou i další / ještě lepší možnosti.

    B. Tomu moc nerozumím, jednoznačně přiřazené MAC adresy máte od výroby. Pokud je chcete asociovat s konkrétním PC v inventáři nebo živým člověkem, tak je to záležitost seznamu PC / databáze zařízení, kterou by měla každá slušná síť mít (klidně stylem access resp. oo base) ... nevím k čemu na to dělat nějaký portál.

    C. Přístup pro návštěvy ven ze zasedačky se řeší typicky VLANem nebo separátním šlaufem do internetové brány, nad tím se obvykle udělá monitoring, aby se daly dohledat incidenty. Pokud je v zasedačce wifi tak musí být odstíněna nebo dobře zabezpečena, aby "zasedačka" nebyla i v parku před budovou :) Omezení připojení neznámých strojů do vnitřní sítě je dost "tricky", v základu se např. můžete opřít o autentizaci uživatelů/strojů proti doménovému řadiči, nebo lze propojit firewall serveru se seznamem známých adres (případně DHCP).

    In Ada the typical infinite loop would normally be terminated by detonation.
    Jendа avatar 22.5.2011 17:48 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Uff, je to trochu delší, ale doporučuji ti při návrhu vzít na vědomí, že MAC adresa lze u naprosté většiny síťových karet libovolně měnit, takže si Foo může nastavit MAC adresu Bar, udělat něco nepěkného a za Bar pak přijde admin. Obecně by asi bylo nejlepší tohle řešit 802.1x segmenty a RADIUS autentizací, nebo alespoň nákupem chytrých switchů, které umí omezení MAC adresy na portu.
    Nezapomeňte si posunout časovače na svých bombách o hodinu dopředu!
    22.5.2011 18:06 d'areback
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Bez sebrani uzivatelum admin prav to jde vyresit jen s jejich spolupraci/dobrou vuli (Pokud maji admina, prineseny pocitac se vzdycky do site da zapojit)
    Pro pocitace:
    - Sebrat admin prava, zaheslovat BIOS a zasifrovat na disku co jde
    - 802.1x + radius proti uctum pocitacu v domene (switch musi podporovat 802.1x)
    - Pokud nekdo chce vlastni pokusnou sit, dat mu nejaky switch a par kabelu nebo rovnou pres drzku
    
    Pro tupa zarizeni:
    - separatni lan/vlan s vazbou MAC-IP (a kamerami na snimani manipulace s utp kabelazi :)
    
    Pro hosty:
    - separatni lan/vlan + captive portal s pridelovani paru jmeno+heslo jen na par hodin a jen poverenym pracovnikem.
    
    23.5.2011 19:33 CandySan | skóre: 9 | blog: bonzacek
    Rozbalit Rozbalit vše Re: jak na nestandardni nastaveni/zabezpeceni site?
    Parada! Diky moc za odpovedi!

    Neco jsem si z toho vzal uz ted a neco z toho jeste namicham :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.