abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
včera 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 0
včera 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 5
15.1. 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 6
15.1. 13:37 | Zajímavý projekt

1. ledna byl představen projekt Liri (GitHub). Jedná se o spojení projektů Hawaii, Papyros a původního projektu Liri s cílem vyvíjet operační systém (linuxovou distribuci) a aplikace s moderním designem a funkcemi. Včera byl představen Fluid 0.9.0 a také Vibe 0.9.0. Jedná se o toolkit a knihovnu pro vývoj multiplatformních a responzivních aplikací podporující Material Design (Wikipedie) a volitelně také Microsoft Design Language (designový jazyk Microsoft) [reddit].

Ladislav Hagara | Komentářů: 6
14.1. 00:33 | Zajímavý software

Google na svém blogu věnovaném open source představil knihovnu pro komprimaci a dekomprimaci 3D grafiky s názvem Draco. Knihovna bude využívána například v aplikacích pro virtuální a rozšířenou realitu. Porovnání Draco s gzip na YouTube. Zdrojové kódy Draco jsou k dispozici na GitHubu pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 5
13.1. 17:27 | IT novinky

V loňském roce proběhla úspěšná kampaň na Indiegogo na podporu GPD Win. Jedná se o malý 5,5 palcový notebook a přenosnou herní konzoli v jednom. Předinstalované Windows 10 lze nahradit Linuxem. V únoru by se na Indiegogo měla objevit kampaň na podporu 7 palcového notebooku GPD Pocket.

Ladislav Hagara | Komentářů: 32
13.1. 02:00 | Nová verze

Po pěti měsících od vydání verze 1.0.0 (zprávička) byla vydána verze 2.0.0 frameworku Kirigami (HIG) pro vytváření uživatelských rozhraní mobilních a konvergentních aplikací nad toolkitem Qt. Pro vyzkoušení je určena aplikace pro Android Kirigami gallery.

Ladislav Hagara | Komentářů: 0
12.1. 23:28 | Zajímavý software

Akční hra Lugaru HD od Wolfire Games (recenze) byla uvolněna jako svobodný software, a to včetně dat (pod licencí Creative Commons Attribution – Share Alike). Linuxový port byl v roce 2010 součástí první akce Humble Indie Bundle a engine byl krátce poté uvolněn pod licencí GNU GPL, což vedlo mj. k portu na AmigaOS. Autor mezitím pracuje na pokračování nazvaném Overgrowth.

Fluttershy, yay! | Komentářů: 0
12.1. 14:49 | Bezpečnostní upozornění

Na serveru Jabb.im bylo zveřejněno vyjádření k úniku dat z Jabbim Archive (pastebin). Dump databáze obsahuje komunikaci uživatelů, jejich IP adresy a logy aplikace od října 2015 do března 2016. Celkově se jedná o 8 GB dat, převažujícím jazykem zpráv je čeština a slovenština. O úniku informoval jako první server Motherboard. Jabbim Archive byla službou volitelnou, dostupnou pouze pro VIP uživatele. Podle provozovatele serveru Jabb.im k

… více »
Michal Makovec | Komentářů: 68
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 298 hlasů
 Komentářů: 21, poslední dnes 02:01
    Rozcestník
    Reklama

    Dotaz: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    1.10.2014 13:34 PepeONaChair | skóre: 4
    Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Přečteno: 453×
    Ahoj,

    obecne mi jde o to, aby si lide s nainstalovanym OpenVPN klientem nemohli presunout instalaci OpenVPN klienta na jiny nez mnou urceny pocitac, tj. na pracovni firemni notebook. Jde o to, aby si nemohli zprovoznit OpenVPN klienta (s prekopirovanim klicu z pracovniho notebooku) napr. na svem domacim PC, ...

    Ucelem neni, aby klient vubec nemohl nahodit VPN spojeni s nasim centralnim VPN serverem, ikdyz by to bylo samozrejme lepsi, ale aby aspon po nahozeni spojeni mel VPN server nejakou moznost poznat, ze se k nemu pripojil klient z jineho PC, nez ze ktereho muze. Nasledne by mu bud VPN spojeni ukoncil, zariznul komunikaci nebo proste spustil nejakou akci (kterou si naprogramuju).

    Rikal jsem si, ze treba existuje nejaky identifikator, ktery by mohl klient serveru pri/po nahozeni VPN konekce odeslat. Napriklad ID harddisku, ID operacniho systemu, jedinecne ID instalace OpenVPN (pokud vubec existuje), ...

    Vsichni OpenVPN klienti maji na notebocich Win7 nebo Win8. OpenVPN server mi bezi na Debianu. Pouzivam to uz hodne let, takze takove ty veci ohledne klicu a rout a iptables mam za sebou. Toto je vsak vec, kterou mi kloudne neporadili ani na OpenVPN foru :|

    Co treba OpenVPN klient nainstalovany uvnitr Virtual Machine, napr. ve VirtualBoxu? Je to sice asi slepa ulicka (protoze je tam taky problem s overenim, na jakem hostu pobezi ten VM guest), ale zajimava :)

    Napada vas neco? P.

    Odpovědi

    otula avatar 1.10.2014 13:46 otula | skóre: 44 | blog: otakar | Adamov
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Sice nemám s VPN žádné zkušenosti, ale pro tohle by snad mělo jít nastavit pravidlo v iptables, aby se na daný port šlo připojit pouze z konkrétní MAC adresy.
    Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
    1.10.2014 13:53 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    jj, to jsem zkousel, funguje to, ale MAC adresu TAP interfejsu jde jednoduse zmenit Zapomnel jsem do te otazky napsat, ze nasi lidi, co VPNku pouzivaji, musi mit bohuzel z titulu sve prace admin pristup do systemu.
    Pavel 'TIGER' Růžička avatar 1.10.2014 13:56 Pavel 'TIGER' Růžička | skóre: 37
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Tak to by šlo řešit nějakým certifikátem, ne?
    1.10.2014 14:09 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Tomu nerozumim, jaky certifikat myslis a jak bych zapracovat do systemu?
    Jendа avatar 1.10.2014 14:24 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Certifikát je člověk vybavený pendrekem, který dělá namátkové kontroly, jestli někdo nepřistupuje na VPN z jiného počítače.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    Pavel 'TIGER' Růžička avatar 1.10.2014 15:47 Pavel 'TIGER' Růžička | skóre: 37
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ano, toto řešení je nejlepší. Nicméně jsem myslel SSL certifikáty. Ovšem neexistuje žádné zabezpečení, které nelze prolomit. To je stará, známá vesta.
    1.10.2014 15:52 dustin | skóre: 60 | blog: dustin
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Předpokládám, že certifikáty může snadno přenést na jiný komp.
    1.10.2014 15:55 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    jj, z toho bych mel prave tez obavu
    2.10.2014 10:36 ET
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    kdyz ten certifikat naimportujes do windows certificate storu a pri importu nastavis, ze nepujde exportovat, pak by to melo byt OK... jit by to melo, viz cryptoapicert "THUMB"
    2.10.2014 11:12 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    diky za tip, proctu si to. Ze jde nastavit, aby certifikat nesel vyexportoval jsem nevedel.
    2.10.2014 11:36 ET
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ono je to myslim v pindowsech by default. Pokud chces umoznit export, musis pri importu zaskrtnout checkbox "povolit export priv. klice" (nebo tak nejak)
    Jendа avatar 2.10.2014 12:44 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Jak je to uložené na disku? Nemůžu si ten certifikát přečíst, když nabootuju live CD nebo prostě patchnu ten certstore, aby to neřešil? (nezapomeň, že tam mám admina)
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    2.10.2014 13:16 ET
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    certifikaty jsou ulozeny v registrech na vice mistech - msdn

    a ted koukam, ze udelat export non-exportabel certu lze (husty...)

    http://stackoverflow.com/questions/3914882/how-to-export-non-exportable-private-key-from-store

    https://github.com/iSECPartners/jailbreak-Windows

    takze otazkou je, na kolik ma tazatel schopny usery :)
    otula avatar 1.10.2014 14:12 otula | skóre: 44 | blog: otakar | Adamov
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Zapomnel jsem do te otazky napsat, ze nasi lidi, co VPNku pouzivaji, musi mit bohuzel z titulu sve prace admin pristup do systemu.
    To je celkem dost podstatný detail ;-)
    Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
    1.10.2014 20:59 Xerces
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Zapomnel jsem do te otazky napsat, ze nasi lidi, co VPNku pouzivaji, musi mit bohuzel z titulu sve prace admin pristup do systemu.

    Pokud musí mít administrátorský přístup do systému tak bych to neřešil, ať si dělaj co chtěj a když to zkurvěj tak si to sežerou :-)
    Pavel 'TIGER' Růžička avatar 1.10.2014 13:53 Pavel 'TIGER' Růžička | skóre: 37
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    ... asi by to muselo být ještě v kombinaci s IP adresou, protože není problém simulovat konkrétní MAC adresu.
    otula avatar 1.10.2014 14:08 otula | skóre: 44 | blog: otakar | Adamov
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Pokud by to nevadilo, tak určitě.
    Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
    1.10.2014 14:16 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    Odkdy se pozná MAC adresa na dálku přes Internet?

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    1.10.2014 14:26 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ahoj, jde o to, ze po nahozeni VPN komunikace je skutecne na VPN serveru videt MAC adresa TAP interfejsu z druhe strany tunelu, tj. strany klienta. Mam to vyskousene.
    1.10.2014 14:55 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    Tak to samozřejmě, protože jsou na stejném virtuálním switchi, nicméně MAC adresa TAP rozhraní nemá bohužel nic společného s hardwarem a s jeho identifikací. Adresa ethernetu nebo WiFi se ovšem nikam mimo místní switch nepřenáší, tedy pokud neuvažujeme dobrovolnou konvenci s IPv6 suffixy odvozenými od MAC adresy (EUI64). Ani IPv6 ovšem nijak nepomůže, protože MAC adresa se dá triviálně snadno „změnit“ — prostě se do paketů místo hodnoty zjištěné ze síťového adaptéru napíše jiná hodnota.

    Jediné řešení by bylo mít k tomu firemnímu počítači (nebo někde v něm) napevno fyzicky přidělaný SmartCard se soukromým klíčem, který by se nedal vyjmout. Jedině tak by se dalo (téměř) zajistit, aby se nikdo nepřipojoval z jiného než firemního počítače, pokud ovšem pomineme jednoduchý trik s upraveným klientem, který ten firemní počítač použije pro autentifikaci a kryptografii, zatímco samotnou komunikaci bude provádět z jiného stroje.

    Přísně vzato, nikdo přece nemůže zabránit uživateli toho firemního počítače, aby do něj připojil USB WiFi adaptér, vytvořil přístupový bod a routoval pak spojení do VPN pro libovolný počet jiných počítačů. Tohle by nemohl udělat jedině v případě, že by neměl přístup k rootovi, ale bez přístupu k rootovi by si zase nespustil to OpenVPN, že jo.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    1.10.2014 15:06 nobody
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    SmartCard ktera se neda vyjmout ? jako pomoci vterinoveho lepidla ? :)
    co pouzit TPM ?
    2.10.2014 17:51 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    Proč ne, ale to už pak není řeč o využití současných počítačů tak, jak jsou...

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    1.10.2014 16:01 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ono to nemusi byt uplne neprustrelne reseni ve smyslu sifrovacich karet apod. Stacilo by jen znacne zneprijemneni :) Nejsme zase banka apod.

    Kdyby slo, aby si OpenVPN klient ocuchal neco (co neni mozne tak jednoduse zmanit jako MAC adresu, napr. ty ID, co jsem popisoval v prvni otazce) v Operacnim systemu a poslal o tom informaci OpenVPN serveru, stacilo by.
    Jendа avatar 1.10.2014 20:24 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Můžeš si zkompilovat vlastního OpenVPN klienta (hm, nebo něco, co není pod virální licencí), který to bude dělat, dostat se tak na úroveň podobnou protipirátské ochraně a doufat, že to nikomu nebude stát za tu práci to obejít (opět viz komerční software, který kontrolu ID systému dělá, a na který existuje spousta cracků).

    A nebo nám můžeš říct, o co ti jde, a třeba vymyslíme úplně jiné a jednodušší řešení. Mě třeba nenapadá, k čemu to potřebuješ.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    2.10.2014 17:57 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    Taky mi připadá, že tohle celé je spíš společenský problém než technický problém a že pokud není napříč celým pracovním kolektivem jasný konsenzus ohledně pravidel a jejich smysluplnosti, pak prostě nebude vůle ta pravidla respektovat a jakékoliv zabezpečení přestane fungovat. Bezpečnostní opatření by měla znepříjemňovat práci spíš útočníkům zvenku než lidem uvnitř firmy.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    otula avatar 1.10.2014 15:46 otula | skóre: 44 | blog: otakar | Adamov
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?

    Odkdy se pozná MAC adresa na dálku přes Internet?

    Mea culpa, neuvědomil jsem si to.
    Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
    Jendа avatar 1.10.2014 14:15 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    obecne mi jde o to, aby si lide s nainstalovanym OpenVPN klientem nemohli presunout instalaci OpenVPN klienta na jiny nez mnou urceny pocitac, tj. na pracovni firemni notebook. Jde o to, aby si nemohli zprovoznit OpenVPN klienta (s prekopirovanim klicu z pracovniho notebooku) napr. na svem domacim PC, ...
    Přesně o toto se snaží hudební, filmový a softwarový průmysl s miliardovými náklady na ochranu proti kopírování. Asi víš, s jakými výsledky.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    1.10.2014 21:32 pavele
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Co třeba:

    "Pod pokutou 100 000 Kč se zakazuje jakákoliv manipulace a přenos OpenVPN klienta (například s prekopirovanim klicu z pracovniho notebooku na domaci PC), ...

    Podpis: .........."
    Jendа avatar 2.10.2014 12:45 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ano, ale tohle je technická, nikoli právní, poradna ;)
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    2.10.2014 10:28 Honza
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    Ahoj, tohle by se dalo řešit podobným způsobem jako to řeší IT u nás. Není to 100% foolproof, protože se to dá různými hacky obejít, ale pokud se po tom nebude uživatel dopodrobna pídit, jako já, tak je to docela spolehlivé řešení.

    U nás se pro VPN používá cisco client, který si bere ze systému certifikát pro ověření a šifrování komunikace. Tenhle certifikát si uživatel ani s admin právy nemůže jednoduše exportovat. Jak jsem psal, dá se to hacknout toolem, ale je to dost práce. Tool se dá ošetřit antivirem, nebo něčím podobným, který tool na násilné stažení certifikátu ze systému zablokuje/smaže, nicméně pokud uživatel bude chtít tak to stejně nějak dokáže, ale zkomplikuješ mu to docela dost.

    OpenVPN by měl být schopen podobné funkce, jako má cisco client, tedy používání integrovaného certfikátu, pomocí atributu cryptoapicert v konfiguračním souboru - netestoval jsem.

    Samozřejmostí je, že uživatel/počítač musí být v doméně, ze které si stáhne certifikát. Nevyřešíš tím tedy situaci, kdy uživatel bude cestovat z jednoho doménového počítače na druhý, ale vyřešíš tak situaci, aby se uživatel nemohl připojit z neznámého počítače - nepřipojeného do domény.

    Něco málo info tady (hledej openvpn): http://serverfault.com/questions/532012/handling-domain-joined-laptops-that-are-rarely-on-the-local-lan, jinak google
    2.10.2014 11:13 PepeONaChair | skóre: 4
    Rozbalit Rozbalit vše Re: Muze se OpenVPN klient pripojit jen z 1 konkretniho PC?
    perfekt, diky, to by mohlo byt ono

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.