abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 10:22 | Komunita

Minulý týden byla ze správce souborů (Files, Soubory, Nautilus) v GNOME odstraněna možnost spouštění aplikací. Po bouřlivé diskusi byla dnes tato možnost do správce souborů vrácena (commit).

Ladislav Hagara | Komentářů: 12
včera 22:44 | Nová verze

Ani ne po měsíci vývoje od vydání verze 2.10.0 byla vydána nová verze 2.10.2 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Přehled novinek i s náhledy v oznámení o vydání. Opraveno bylo 44 chyb. Novinkou je podpora formátu HEIF (High Efficiency Image File Format) a dva nové filtry.

Ladislav Hagara | Komentářů: 30
včera 17:44 | Komunita

SFC (Software Freedom Conservancy) na svém blogu blahopřeje společnosti Tesla k prvnímu kroku k dodržování licence GPL. Tesla ve svých elektromobilech používá svobodný software. Změny ve zdrojovým kódech ale doteď veřejně nezveřejňovala. Změna nastala tento týden. Zdrojové kódy byly zveřejněny na GitHubu. Nejedná se zatím ale o kompletní odpovídající zdrojové kódy (CCS - complete corresponding source).

Ladislav Hagara | Komentářů: 14
19.5. 17:33 | Komunita

Společnost Purism informuje o aktuálním vývoji chytrého telefonu Librem 5, jenž by měl respektovat bezpečnost, svobodu a soukromí uživatelů. Telefon už umí telefonovat. Librem 5 by měl být k dispozici v lednu 2019. Předobjednat jej lze za 599 dolarů.

Ladislav Hagara | Komentářů: 28
19.5. 09:00 | Bezpečnostní upozornění

Společnost Qualys zveřejnila výsledky bezpečnostního auditu procps-ng, tj. balíčku s příkazy free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w a watch. Nalezeno bylo 7 bezpečnostních chyb (CVE-2018-1120, CVE-2018-1121, CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125 a CVE-2018-1126). Dvě z nich jsou zneužitelné k lokální eskalaci práv. Příslušné záplaty jsou již k dispozici v upstreamu.

Ladislav Hagara | Komentářů: 5
18.5. 06:44 | Nová verze

Byla vydána třiadvacátá alfa verze svobodné historické realtimové strategie 0 A.D. (Wikipedie). Kódový název této nejnovější verze je Ken Wood. Představení novinek v poznámkách k vydání a také na YouTube.

Ladislav Hagara | Komentářů: 3
18.5. 05:55 | Zajímavý článek

Tento týden se v Cambridge ve Velké Británii konal hackfest, který měl za cíl zlepšit výkon na GNOME postavených systémů na slabších počítačích. Hans de Goede například analyzoval spotřebu paměti jednotlivých komponent ve Fedora 28 Workstation na stroji s 2 GB RAM a pomocí kroků popsaných v článku Kde uspořit paměť ve Fedora Workstation na MojeFedora.cz snížil spotřebu paměti z 1,4 GB na 765 MB.

Ladislav Hagara | Komentářů: 10
17.5. 20:55 | Nová verze

Bram Moolenaar oznámil vydání verze 8.1 textového editoru Vim (Vi IMproved). Hlavní novinkou je integrovaný terminál.

Ladislav Hagara | Komentářů: 8
17.5. 16:55 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.27 a beta verze 1.28 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 6
17.5. 11:11 | Nová verze

Byla vydána verze 5.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Před měsícem slavil Proxmox VE 10 let (pdf).

Ladislav Hagara | Komentářů: 17
Používáte pro některé služby inetd?
 (33%)
 (24%)
 (42%)
Celkem 135 hlasů
 Komentářů: 4, poslední dnes 12:56
    Rozcestník

    Dotaz: Zabezpecenie DNS

    12.11.2014 11:33 trittler
    Zabezpecenie DNS
    Přečteno: 312×
    Zdravim, mam bind9 server + verejna staticka IP. Dnes som si vsimol tohoto :
    root@mail:~# tail -f /var/log/syslog
    Nov 12 11:23:14 mail named[16894]: client 68.2.181.144#57619: query (cache) 'sema.cz/ANY/IN' denied
    
    Tie zaznamy sa stale opakuju
    root@mail:~# tail -f /var/log/query.log 
    client 68.2.181.144#26821: query: sema.cz IN ANY +E (192.168.0.31)
    
    Chcem len vediet ci to mam dobre zabezpecene, alebo nieco mi tam este chyba. Na nete som asi nieco ako open dns, ale to moc nechcem.

    Konfiguraky: named.conf
    root@mail:~# cat /etc/bind/named.conf
    include "/etc/bind/named.conf.options";
    include "/etc/bind/named.conf.local";
    include "/etc/bind/named.conf.default-zones";
    include "/etc/bind/rndc.key";
    
    controls {
            inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
    };
    trusted-keys {
    	dlv.isc.org. 257 3 5 "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
    	};
    
    named.conf.local
    root@mail:~# cat /etc/bind/named.conf.local 
    logging {
        channel query.log {
            file "/var/log/query.log";
            // Set the severity to dynamic to see all the debug messages.
            severity debug 3;
        };
        category queries { query.log; };
    };
    
    + Zonove zaznamy
    
    
    named.conf.options
    root@mail:~# cat /etc/bind/named.conf.options
    acl "allowed" {
    	192.168.5.0/24;
    	192.168.10.0/24;
    	localhost;
    	localnets;
    };
    options {
    	directory "/var/cache/bind";
    	allow-query { any; };
    	allow-recursion { allowed; };
    	allow-query-cache { allowed; };
    
      		forwarders {
    		8.8.8.8;
    		8.8.4.4;
    		195.210.29.64;
    		};
    	rate-limit {
        		responses-per-second 5;
      	          };	       
    	forward only;
    	dnssec-enable yes;
    	dnssec-validation yes;
    	dnssec-lookaside auto;	
    	also-notify {};
    	fetch-glue no;
    };
    
    

    Odpovědi

    12.11.2014 11:37 trittler
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    log pocas jednej sekundy
    root@mail:~# time tail -f /var/log/query.log 
    client 221.229.162.197#30569: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#30569: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#6948: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#6948: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#1216: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#1216: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#45720: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#45720: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#11571: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#11571: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#1768: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#1768: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#22297: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#22297: drop REFUSED response to 80.250.115.0/24
    client 80.250.115.133#58805: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#58805: slip REFUSED response to 80.250.115.0/24
    client 221.229.162.197#17687: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#17687: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#3585: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#3585: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#16553: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#16553: drop REFUSED response to 80.250.115.0/24
    client 221.229.162.197#9780: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#9780: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#49030: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#49030: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#4523: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#4523: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#63228: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#63228: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#29943: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#29943: slip REFUSED response to 221.229.162.0/24
    client 80.250.115.133#2142: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#2142: slip REFUSED response to 80.250.115.0/24
    client 221.229.162.197#12853: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#12853: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#18454: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#18454: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#12803: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#12803: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#11976: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#11976: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#42548: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#42548: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#27375: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#27375: drop REFUSED response to 80.250.115.0/24
    client 221.229.162.197#17555: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#17555: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#46601: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#46601: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#51315: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#51315: slip REFUSED response to 221.229.162.0/24
    client 80.250.115.133#48420: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#48420: slip REFUSED response to 80.250.115.0/24
    client 221.229.162.197#33798: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#33798: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#3435: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#3435: drop REFUSED response to 80.250.115.0/24
    client 221.229.162.197#58059: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#58059: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#62829: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#62829: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#25584: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#25584: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#32870: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#32870: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#64117: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#64117: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#21581: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#21581: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#48471: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#48471: slip REFUSED response to 80.250.115.0/24
    client 221.229.162.197#39125: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#39125: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#64811: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#64811: drop REFUSED response to 221.229.162.0/24
    client 80.250.115.133#50582: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#50582: drop REFUSED response to 80.250.115.0/24
    client 221.229.162.197#2589: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#2589: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#42520: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#42520: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#14914: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#14914: slip REFUSED response to 221.229.162.0/24
    client 80.250.115.133#19227: query: wradish.com IN ANY +E (192.168.0.31)
    client 80.250.115.133#19227: slip REFUSED response to 80.250.115.0/24
    client 221.229.162.197#6794: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#6794: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#57811: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#57811: slip REFUSED response to 221.229.162.0/24
    client 221.229.162.197#46059: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#46059: drop REFUSED response to 221.229.162.0/24
    client 221.229.162.197#7354: query: wradish.com IN ANY +E (192.168.0.31)
    client 221.229.162.197#7354: slip REFUSED response to 221.229.162.0/24
    
    
    real	0m1.260s
    user	0m0.004s
    sys	0m0.000s
    
    
    12.11.2014 15:29 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS

    Nevidím tam nikde DNSSEC, takže to máš naprosto nezabezpečené.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    12.11.2014 22:05 NN
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    Jako zarazejici vidim v acl parametr localnets, ktery povoluje resolving pro vsechny site na stroji vcetne verejne, to v kombinaci s otevrenym nastavenim allow-query, allow-recursion defacto povoluje vsechno vsem. Takze je otazka k cemu vlastne tento resolver slouzi a nedivil bych se, kdyby se ho nekdo nepokusil zneuzit. Viz dolozeny pokus pravdepodobne o DNS amplification utok. Mohl by jsi odchytit, kolik toho priblizne prochazi? Neni mozne, se server uz nestiha odpovidat?
    13.11.2014 10:31 j
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    Ta verejna sit bude tak maximaplne jedno Ccko, ostatne v logu je videt, ze DNS odmita preklad. A pokud na nem bezi nejaka vlastni domena, tak stim stejne nic jinyho neudelas. Jedine nasadit nejakej script, kterej bude vyhodnocovat opakovany rejecty v logu a nasledne blokne prislusnou adresu/rozsah na firewallu.

    Pokud to ma fungovat jako DNS cache, tak jednoduse na firewallu odstrelit (drop) vse, co prichazi zvenku.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.