abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 1
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 25
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 786 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Jak byste technicky realizovali přístup k firemním datům z intenetu

16.11.2011 19:27 sonda
Jak byste technicky realizovali přístup k firemním datům z intenetu
Přečteno: 443×
Ahoj. Situace je následující: datový windows server, potřeba přístupu k datům z domova, nikam jinam do sítě nepotřebují. Řešení už mám prakticky realizované přes připojení se na ssh server resp. uživatel se připojí klíčem k serveru, přes příkaz (napíše jméno skriptu a zadá heslo - to je automatizované přes nastavení v klientu) si připojí sdílení a pomocí sftp klienta může přenášet data: výhodou je úplné odstavení koncového uživatele od přímého přístupu k windows serveru (nemožnost útoků). Nevýhodou je prakticky jen nutnost připojit si sdílení (1 krok navíc). Chtěl bych tady vysondovat jak to řešíte vy? Jak moc se dá důvěřovat microsoftu, že zabezpečil SMB - kdyby měl uživatel z domova přes VPNko přímý přístup k serveru (u VPN by tedy mohl nastat problém kolize dvou privátních adres, nebo by se musel použít NAT nebo druhá IP adresa serveru)?

Odpovědi

16.11.2011 20:17 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Nevidim bezpecnotsni problem zridit vpn a povolit tunelem pouze pristup na ip adresu serveru a pouze na port 445 a na zdilene adresare zabezpecene heslem. Pripadne jeste omezit pocet spojeni za sebou jako ochranu pred brute force na ten share.

NN
16.11.2011 21:57 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Pokud to není bezpečnostní riziko, tak nad tím popřemýšlím, až budu mít k dispozici nějaké další veřejné ip adresy, teď má windows server privátní ip adresu a je za NATem. A už vidím ten bordel až by se někdo připojil a byl doma ve stejné podsíti jako je ten windows server - pak bych musel dát serveru další ip adresu z jiného rozsahu a říct uživateli ať zadává správnou ip adresu. Jenže to už je věc, kterou nezvládne většina uživatelů a to myslím naprosto bez nadsázky. Už připojení se přes ssh jich nezvládne půlka (i když mají k dispozici všecho "zautomatizované" .bat soubory. Dokonce teď uvažuji o možnosti povolit jim přihlašování přes ssh pomocí hesel (ty alespoň nemohou ztratit) s tím, že bych vynutil použití sftp. Je to velká blbost? Podle mě má přihlašování klíčem jen výhodu, že se nepřenáší heslo během autentizace s ssh serverem. Nicméně to případnému útoku MITM nezabrání, stejně si každý musí kontrolovat serverové fingerprinty.
17.11.2011 09:43 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Pokud si sitovou cast VPN zaridis sam, prideleni IP adresy a zpristupneni site je pro klienta automaticke, pouze zadava heslo do vpn, adresar staci nazdilet jenou, potom bude maximalne offline. Vpn server nemusi bezet na serveru a klientska sit muze byt oddelena od site serveru. Ty pouze sit zpristupnis v ramci vpn a oddelis firewallem,takto:
server --- vpn --- kleint
Staci ti jedna verejna pro vsechny a vymysleny privatni rozsah pro klienty, zbytek vyresis sitove.

NN
17.11.2011 13:16 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Jak zbytek vyřeším síťově? Pokud má klient i server stejnou privátní ip adresu, pak to nebude fungovat a vůbec nezáleži na tom, že od VPN serveru dostane klient novou privátní IP adresu. Úplně stačí, pokud bude klient doma a server ve firmě ve stejné podsíti, pak bych musel klientovi ukrást alespoň 1 IP adresu toho serveru (dát to jako první routu). Jak tohle nějak normálně řešit v rámci privátních IP adres? Přidávat IP adresy a doufat, že jedna z nich nebude kolidovat, NAT, ...?
např.

klient
eth0: 192.168.1.50/24
tap0: 10.1.0.2/24

vpn server:
eth0: 192.168.1.3/24
tap0: 10.1.0.1/24

windows server:
192.168.1.50/24
17.11.2011 14:05 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Chapu,ale tim natem by to mozna zamaskovat, nemam to otestovane, nejak takto:
win server 192.168.1.50 (lan)
vpn server 88.44.22.11 (wan)
           10.1.0.1 (vnitrek tunelu)
           10.1.0.2 ( <-> NAT 192.168.1.50)
klient     10.1.0.3 (vpn)
           192.168.1.50(lan)
           88.44.33.11(wan)
Na VPN server by jsi naroutoval lan windows serveru a do VPN tunelu ji premaskovaval pro klienta, takze klientu by se zadna sit nemusela routovat.

To, ze muze nahodou kolidovat IP-cko tunelu s privatni siti klienta s tim musis pocitat. Nicmene privatni adresni porostor je dost siroky.

Nicmene se to musi otestovat.

NN
17.11.2011 19:03 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
OK, teď trošku z jiného soudku: než budu mít čas a prostředky tohle nějak rozumně realizovat, mám takový šílený nápad to řešit stále pomocí SFTP, jen to zjednodušit pro uživatele tím, že bych povolil přihlašování heslem. Uživatelům bych rozdistribuoval nějakého portable sftp klienta, který by měl už v sobě uložený fingerprint serveru. Velký bezpečnostní risk?
17.11.2011 20:55 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
Jo, ale sftp s fingerprintem jsem rozchodil jenom s winscp, protoze putty neumi "hostkey", pokud premyslis, jak to automatizovat.

Ale stejne se priklanim k reseni openvpn + smb mount, uzivatel si spusti VPN GUI, zada heslo ke klici a zbytek je automat. Nazdileny adresar, bude automaticky pristupny, jinak offline.

NN

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.