#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.
Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.
Společnost Boston Dynamics oznámila, že humanoidní hydraulický robot HD Atlas šel do důchodu (YouTube). Nastupuje nová vylepšená elektrická varianta (YouTube).
Desktopové prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklé sloučením projektů Razor-qt a LXDE bylo vydáno ve verzi 2.0.0. Přehled novinek v poznámkách k vydání.
Nejvyšší soud podpořil novináře Českého rozhlasu. Nařídil otevřít spor o uchovávání údajů o komunikaci (data retention). Uvedl, že stát odpovídá za porušení práva EU, pokud neprovede řádnou transpozici příslušné směrnice do vnitrostátního práva.
Minulý týden proběhl u CZ.NIC veřejný test aukcí domén. Včera bylo publikováno vyhodnocení a hlavní výstupy tohoto testu.
Byla vydána nová verze 3.5.0 svobodné implementace protokolu RDP (Remote Desktop Protocol) a RDP klienta FreeRDP. Přehled novinek v ChangeLogu. Opraveno bylo 6 bezpečnostních chyb (CVE-2024-32039, CVE-2024-32040, CVE-2024-32041, CVE-2024-32458, CVE-2024-32459 a CVE-2024-32460).
Google Chrome 124 byl prohlášen za stabilní. Nejnovější stabilní verze 124.0.6367.60 přináší řadu oprav a vylepšení (YouTube). Podrobný přehled v poznámkách k vydání. Opraveno bylo 22 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Byla vydána nová verze 9.3 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Novinkou je vlastní repozitář DietPi APT.
Byl vydán Mozilla Firefox 125.0.1, první verze z nové řady 125. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Vypíchnout lze podporu kodeku AV1 v Encrypted Media Extensions (EME). Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 125.0.1 je již k dispozici také na Flathubu a Snapcraftu.
Zdar!
Snažím se vytvořit si v domácí síťi transparentní NTP proxy (hlavně kvůli různým zařízením, co „volají domů“). Na routeru mi běží normální NTP daemon. Firewall (příslušná část) vypadá nějak takto:
iptables -t nat -I PREROUTING -i $LAN_IF -p udp --dport 123 -j DNAT --to-destination $NTP_SERVER:123 iptables -t nat -I PREROUTING -i $LAN_IF -p tcp --dport 123 -j DNAT --to-destination $NTP_SERVER:123
Přičemž $NTP_SERVER je stejná mašina jako router (čímž pádem nepotřebuji ještě k tomu SNAT). (Ten řádek s „-p tcp“ asi nebude potřeba ale pro jistotu ho tam mám taky). V /etc/ntp.conf vypadá příslušný záznam pro lokální síť takto:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
Když se to ale snažím otestovat ze stroje v lokální síti, tak to vypadá nějak takto:
test@test:~# /etc/init.d/ntp stop [ ok ] Stopping NTP server: ntpd. test@test:~# ntpdate www.seznam.cz 9 Nov 21:33:42 ntpdate[30314]: adjust time server 77.75.79.53 offset -0.000877 sec test@test:~# ntpdate www.atlas.cz 9 Nov 21:33:59 ntpdate[30316]: no server suitable for synchronization found test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:34:10 ntpdate[30318]: no server suitable for synchronization found test@test:~# ntpdate www.seznam.cz 9 Nov 21:34:19 ntpdate[30319]: adjust time server 77.75.79.53 offset 0.000498 sec test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:34:29 ntpdate[30320]: no server suitable for synchronization found test@test:~# ntpdate www.seznam.cz 9 Nov 21:34:37 ntpdate[30321]: adjust time server 77.75.79.53 offset -0.000223 sec test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:37:35 ntpdate[30349]: no server suitable for synchronization found test@test:~# test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:40:28 ntpdate[30400]: adjust time server 37.46.80.54 offset 0.000597 sec test@test:~# ntpdate www.seznam.cz 9 Nov 21:40:41 ntpdate[30401]: no server suitable for synchronization found test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:45:09 ntpdate[30487]: adjust time server 37.46.80.54 offset -0.000038 sec
Prostě první stroj funguje, další pak ne; když ale chvíli počkám, pak zase první ze strojů funguje a ostatní nikoliv. Tušíte někdo, v čem může být zakopán pes? Je chyba na straně NTP serveru nebo na straně testovacího stroje?
Napadá mě, že by to mohla být nějaká ochrana proti DDoS útokům, kdy NTP pozná, že je s následujícím packetem něco v nepořádku, tak ho zahodí (to, že jsou packety zahozené, vidím ve wiresharku). První „spojení“ ale v pohodě propustí. JENŽE je mi to divné, proč to tak je, vždyť díky DNATu by se příchozí packety měli NTP jevit úplně stejně (tedy, pokud jsou odeslány ze stejného stroje). Vždyť přece v NTP packetu samotném není cílová adresa nijak zakódována?!
Nemáte někdo tucha, v čem je problém?
Díky!
9.11.2015 21:54
Petr Tomášek | skóre: 39
| blog: Vejšplechty
)
ntpdate -dvBlokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..
12.11.2015 14:11
Petr Tomášek | skóre: 39
| blog: Vejšplechty
Dej tam debug at vime co se deje:ntpdate -dv
ntpdate -dv {server} se bohužel chová jinak než ntpdate {server}. V prvním případě vidím ve wiresharku odpověď (a v tuto chvíli je ta odpověď i korektní, u předchozích pokusů mi to hlásilo leap 11), v případě čistého ntpdate {server} žádná odpověď nepřijde.
Blokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..
To je ptákovina, ISP s tím nemá co do činění, ntp server sám o sobě funguje dobře (jak již bylo řečeno, je umístěn na routeru), problém je někde mezi lokální sítí a tímto NTP serverem.
restrict limited?
11.11.2015 11:34
Petr Tomášek | skóre: 39
| blog: Vejšplechty
#####################################################################################
# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
#####restrict default ignore
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default ignore
# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1 nomodify notrap
#restrict ::1
# Local Network
restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
#restrict 192.168.{něco}.0 mask 255.255.255.0 notrap nomodify noquery
ntpd na tom serveru s -d a podívat se jestli ty pakety od klienta k němu vůbec dojdou. Jestli jo, tak zkusit tcpdump na klientovi a podívat se jestli dostává odpovědi a nemají třeba špatně adresy.
12.11.2015 14:03
Petr Tomášek | skóre: 39
| blog: Vejšplechty
iptables tak asi dobré cvičení. Ale pokud základní cíl je mít na zařízeních správný čas, tak mi vůbec není jasné, proč se vůbec pokoušet o nějakou časovou synchronizaci směrem "domů". To co dělám, je synchronizace na správný čas a použiji správné servery. Buď explicitní a prověřené a nebo na xx.cz.pool.ntp.org dostanu použitelný NTP server s dobrou konektivitou a zařízení bude synchonní s přesností na cca 10ms.
12.11.2015 14:01
Petr Tomášek | skóre: 39
| blog: Vejšplechty
12.11.2015 14:19
Petr Tomášek | skóre: 39
| blog: Vejšplechty
20.11.2015 15:21
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
navíc k tomu můžu přihodit jako „bonus” timesyncd, kterej „tak nějak" ignoruje nastavení NTPJak se to projevuje? Právě jsem to vyzkoušel na systemd 227 a nastavení v /etc/systemd/timesyncd.conf se uplatňuje.
Tiskni
Sdílej:
12.11.2015 22:38