abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 0
dnes 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
včera 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
včera 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 2
20.2. 21:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). Z novinek je nutno upozornit na nový zpětně nekompatibilní formát záznamu asciicast v2. S novým formátem si poradí nové verze asciinema-playeru a asciinema-serveru [Hacker News].

Ladislav Hagara | Komentářů: 0
20.2. 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 12
20.2. 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
19.2. 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
19.2. 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
19.2. 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 423 hlasů
 Komentářů: 35, poslední včera 19:51
    Rozcestník

    Dotaz: Transparentní NTP proxy

    Petr Tomášek avatar 9.11.2015 21:53 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Transparentní NTP proxy
    Přečteno: 674×

    Zdar!

    Snažím se vytvořit si v domácí síťi transparentní NTP proxy (hlavně kvůli různým zařízením, co „volají domů“). Na routeru mi běží normální NTP daemon. Firewall (příslušná část) vypadá nějak takto:

    iptables -t nat -I PREROUTING   -i $LAN_IF -p udp --dport 123 -j DNAT --to-destination $NTP_SERVER:123
    iptables -t nat -I PREROUTING   -i $LAN_IF -p tcp --dport 123 -j DNAT --to-destination $NTP_SERVER:123
    

    Přičemž $NTP_SERVER je stejná mašina jako router (čímž pádem nepotřebuji ještě k tomu SNAT). (Ten řádek s „-p tcp“ asi nebude potřeba ale pro jistotu ho tam mám taky). V /etc/ntp.conf vypadá příslušný záznam pro lokální síť takto:

    restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
    

    Když se to ale snažím otestovat ze stroje v lokální síti, tak to vypadá nějak takto:

    test@test:~# /etc/init.d/ntp stop
    [ ok ] Stopping NTP server: ntpd.
    test@test:~# ntpdate www.seznam.cz
     9 Nov 21:33:42 ntpdate[30314]: adjust time server 77.75.79.53 offset -0.000877 sec
    test@test:~# ntpdate www.atlas.cz
     9 Nov 21:33:59 ntpdate[30316]: no server suitable for synchronization found
    test@test:~# ntpdate www.abclinuxu.cz
     9 Nov 21:34:10 ntpdate[30318]: no server suitable for synchronization found
    test@test:~# ntpdate www.seznam.cz
     9 Nov 21:34:19 ntpdate[30319]: adjust time server 77.75.79.53 offset 0.000498 sec
    test@test:~# ntpdate www.abclinuxu.cz
     9 Nov 21:34:29 ntpdate[30320]: no server suitable for synchronization found
    test@test:~# ntpdate www.seznam.cz
     9 Nov 21:34:37 ntpdate[30321]: adjust time server 77.75.79.53 offset -0.000223 sec
    test@test:~# ntpdate www.abclinuxu.cz
     9 Nov 21:37:35 ntpdate[30349]: no server suitable for synchronization found
    test@test:~#
    test@test:~# ntpdate www.abclinuxu.cz
     9 Nov 21:40:28 ntpdate[30400]: adjust time server 37.46.80.54 offset 0.000597 sec
    test@test:~# ntpdate www.seznam.cz
     9 Nov 21:40:41 ntpdate[30401]: no server suitable for synchronization found
    test@test:~# ntpdate www.abclinuxu.cz
     9 Nov 21:45:09 ntpdate[30487]: adjust time server 37.46.80.54 offset -0.000038 sec
    

    Prostě první stroj funguje, další pak ne; když ale chvíli počkám, pak zase první ze strojů funguje a ostatní nikoliv. Tušíte někdo, v čem může být zakopán pes? Je chyba na straně NTP serveru nebo na straně testovacího stroje?

    Napadá mě, že by to mohla být nějaká ochrana proti DDoS útokům, kdy NTP pozná, že je s následujícím packetem něco v nepořádku, tak ho zahodí (to, že jsou packety zahozené, vidím ve wiresharku). První „spojení“ ale v pohodě propustí. JENŽE je mi to divné, proč to tak je, vždyť díky DNATu by se příchozí packety měli NTP jevit úplně stejně (tedy, pokud jsou odeslány ze stejného stroje). Vždyť přece v NTP packetu samotném není cílová adresa nijak zakódována?!

    Nemáte někdo tucha, v čem je problém?

    Díky!

    Odpovědi

    Petr Tomášek avatar 9.11.2015 21:54 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    (Malá oprava, na tom testovacím stroji jsem pochopitelně přihlášen jako root@test. Trochu jsem to s tou ruční anonymizací přehnal ;-) )
    10.11.2015 10:49 NN
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Dej tam debug at vime co se deje:
    ntpdate -dv
    Blokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..
    Petr Tomášek avatar 12.11.2015 14:11 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Dej tam debug at vime co se deje:
    ntpdate -dv

    ntpdate -dv {server} se bohužel chová jinak než ntpdate {server}. V prvním případě vidím ve wiresharku odpověď (a v tuto chvíli je ta odpověď i korektní, u předchozích pokusů mi to hlásilo leap 11), v případě čistého ntpdate {server} žádná odpověď nepřijde.

    Blokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..

    To je ptákovina, ISP s tím nemá co do činění, ntp server sám o sobě funguje dobře (jak již bylo řečeno, je umístěn na routeru), problém je někde mezi lokální sítí a tímto NTP serverem.

    10.11.2015 18:40 miros
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Není v ntp.conf nějaký řádek s restrict limited?
    Petr Tomášek avatar 11.11.2015 11:34 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Momentálně není. Příslušná část konfigu (anonymizováno):
    #####################################################################################
    # Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
    # details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
    # might also be helpful.
    #
    
    #####restrict default ignore
    restrict -4 default kod notrap nomodify nopeer noquery
    restrict -6 default ignore
    
    # Local users may interrogate the ntp server more closely.
    restrict 127.0.0.1 nomodify notrap
    #restrict ::1
    
    # Local Network
    restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
    #restrict 192.168.{něco}.0 mask 255.255.255.0 notrap nomodify noquery
    
    12.11.2015 07:07 miros
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Pak by se asi hodilo pustit ntpd na tom serveru s -d a podívat se jestli ty pakety od klienta k němu vůbec dojdou. Jestli jo, tak zkusit tcpdump na klientovi a podívat se jestli dostává odpovědi a nemají třeba špatně adresy.
    Petr Tomášek avatar 12.11.2015 14:03 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Klient žádné odpovědi nedostává, to už jsem psal, teď momentálně na to nemám čas s tím laborovat (až snad večer), ale mám pocit, že ntpd se tvářil, jakoby nic.
    12.11.2015 11:13 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Když tady čtu diskusi tak hlavně mi není jasné, proč dělat takové cvičení. Pokud chci si pohrát a porozumět nastavení iptables tak asi dobré cvičení. Ale pokud základní cíl je mít na zařízeních správný čas, tak mi vůbec není jasné, proč se vůbec pokoušet o nějakou časovou synchronizaci směrem "domů". To co dělám, je synchronizace na správný čas a použiji správné servery. Buď explicitní a prověřené a nebo na xx.cz.pool.ntp.org dostanu použitelný NTP server s dobrou konektivitou a zařízení bude synchonní s přesností na cca 10ms.
    Petr Tomášek avatar 12.11.2015 14:01 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Nepochopil jsi. Základním účelem tohoto opatření je, aby zařízení, které do své sítě připojuji (třeba jen proto, že je chci vyzkoušet), „nevolalo“ domů někam do číny, atd. Je to jen jedno ze souboru opatření (spíše takový dodatek), které v síti uplatňuji a samozřejmě je přizpůsobuji tomu, o jaké zařízení se jedná a co s ním chci dělat (podezřelejší kousky pochopitelně nejdříd odsnifuji). Jestli zaříení bude o pár ms vedle, je naprosto šumafuk.

    Ale jaksi např. transparentní DNS server mi fungoval na první pokus, s NTP to nějak dře...
    Petr Tomášek avatar 12.11.2015 14:19 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Ještě, aby bylo úplně jasno: „Voláním domů“ myslím tuhle problematiku.
    BigWrigley avatar 12.11.2015 22:38 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    No to s tim defaultnim Google resolverem v systemd mi docela vyrazilo dech... A snad jeste vic to, ze se to povazuje za normalni.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    12.11.2015 22:55 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Ten OpenWRT to prebil. Koľko je takých krabičiek bez dozoru, aj s privátnymi kľúčami a bez IDS?
    19.11.2015 16:57 Brad
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    To teda taky čumím, navíc k tomu můžu přihodit jako „bonus” timesyncd, kterej „tak nějak" ignoruje nastavení NTP (takže se těm snahám zakladatele vlákna ani nedivím), ale to určtě nejsem sám kdo to zjistil...

    ...no, je z toho všeho jasný, jaká „sorta” nám to likviduje Linux a tlačí ten průjem jménem systemd (a dost mě se*e, jak rychle se prakticky všechny důležitější distribuce nechaly zprznit, ale to je na jinou debatu).
    Heron avatar 20.11.2015 15:21 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    navíc k tomu můžu přihodit jako „bonus” timesyncd, kterej „tak nějak" ignoruje nastavení NTP
    Jak se to projevuje? Právě jsem to vyzkoušel na systemd 227 a nastavení v /etc/systemd/timesyncd.conf se uplatňuje.
    21.11.2015 22:23 Brad
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    To se projevuje tak, že mi po síti běhají NTP pakety přestože systray klikátko (KDE-hodiny-nastavení) říká, že by neměly. Ten konfigurák mám až na pár komentářů práznej, co bych tam měl napsat, abych timesyncd přesvědčil, že si má ušetřit práci? Z manpage mi to nějak není jasné... Systemd mám 217
    Heron avatar 26.11.2015 10:43 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Transparentní NTP proxy
    Pokud nechcete synchronizaci času po síti, tak tu službu vypněte. Běžet nemusí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.