Byla vydána (𝕏) nová verze 26.1 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.1 je Witty Woodpecker. Přehled novinek v příspěvku na fóru.
Deník TO spustil vlastní zpravodajský webový portál ToHledej.CZ s internetovým vyhledávačem a bezplatnou e-mailovou schránkou. Dle svého tvrzení nabízí 'Zprávy, komentáře, analýzy bez cenzury' a 'Mail bez šmírování a Velkého bratra'. Rozložením a vizuálním stylem se stránky nápadně podobají portálu Seznam.cz a nejspíše je cílem být jeho alternativou. Z podmínek platformy vyplývá, že portál využívá nespecifikovaný internetový vyhledávač třetí strany.
Computer History Museum (Muzeum historie počítačů) zpřístupnilo své sbírky veřejnosti formou online katalogu. Virtuálně si tak můžeme prohlédnout 'rozsáhlou sbírku archivních materiálů, předmětů a historek a seznámit se s vizionáři, inovacemi a neznámými příběhy, které revolučním způsobem změnily náš digitální svět'.
Ruský hacker VIK-on si sestavil vlastní 32GB DDR5 RAM modul z čipů získaných z notebookových 16GB SO-DIMM RAM pamětí. Modul běží na 6400 MT/s a celkové náklady byly přibližně 218 dolarů, což je zhruba třetina současné tržní ceny modulů srovnatelných parametrů.
Národní identitní autorita (NIA), která ovlivňuje přihlašování prostřednictvím NIA ID, MEP, eOP a externích identit (např. BankID), je částečně nedostupná.
Byla vydána nová verze 1.16.0 klienta a serveru VNC (Virtual Network Computing) s názvem TigerVNC (Wikipedie). Z novinek lze vypíchnout nový server w0vncserver pro sdílení Wayland desktopu. Zdrojové kódy jsou k dispozici na GitHubu. Binárky na SourceForge. TigerVNC je fork TightVNC.
Byla vydána nová verze 4.6 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.
Rozsáhlá modernizace hardwarové infrastruktury Základních registrů měla zabránit výpadkům digitálních služeb státu. Dnešnímu výpadku nezabránila.
Čínský startup Kimi představil open-source model umělé inteligence Kimi K2.5. Nová verze pracuje s textem i obrázky a poskytuje 'paradigma samosměřovaného roje agentů' pro rychlejší vykonávání úkolů. Kimi zdůrazňuje vylepšenou schopnost modelu vytvářet zdrojové kódy přímo z přirozeného jazyka. Natrénovaný model je dostupný na Hugging Face, trénovací skripty však ne. Model má 1 T (bilion) parametrů, 32 B (miliard) aktivních.
V Raspberry Pi OS lze nově snadno povolit USB Gadget Mode a díky balíčku rpi-usb-gadget (CDC-ECM/RNDIS) mít možnost se k Raspberry Pi připojovat přes USB kabel bez nutnosti konfigurování Wi-Fi nebo Ethernetu. K podporovaným Raspberry Pi připojeným do USB portu podporujícího OTG.
Firewall mám...
| na desktopu |
|
44% (524) |
| na routeru |
|
62% (741) |
| na serveru |
|
32% (374) |
| jinde |
|
6% (68) |
| nikde |
|
18% (217) |
Celkem 1186 hlasů
Vytvořeno: 6.7.2009 11:44
Tiskni
Sdílej:
6.7.2009 11:55
David Watzke | skóre: 74
| blog: Blog...
| Praha
Ty tam máš Seagate? Já mám Hitachi HDP72502 
>>> 100 Mbit up and down ?
Nepredpokladam ze to mate doma nekde za wifi.
6.7.2009 18:45
David Watzke | skóre: 74
| blog: Blog...
| Praha
Jo tak to jo. Ja si jen rikal ze 100 Mbit to uz je nejakejch koni.
Plánujete ho za ten rok začíta platit ? 
Já mám teď primární virtuál server u XENzone, ale OVH je také hodně kvalitní hosting.
Bylo by to sice malinko dražší, ale ty parametry jsou nesrovnatelné.
9.7.2009 21:58
David Watzke | skóre: 74
| blog: Blog...
| Praha
V podnikovej sieti (cca. 250PC) oddelujem internet od vnutornej siete firewallom CISCO, a aplikujem firewally tez na linuxovych serveroch za timto ferewallom - predsa len, lide su nevyspytatelni a spekuluju aj na vnutornej sieti. Serverovy firewall je dobry aj na povolenie pristupu iba z nekterych PC v sieti - dobre vtedy ked sluzba nevie filtrovat prichadzajuce TCP/IP dotazy. Standardne nechavam pustenu sluzbu iptables aj na vsetkych linuxovych klientoch (Fedora).
Snad až bude GSM verze...
Nikde.
Staci nespoustet naslouchajici sluzby ktere nepotrebuju.
Jsem za NATem, takže mi nějaké masivní připojování k PC nehrozí. Každopádně pro jistotu jsem na serveru zakázal přístup na port 631 (CUPS), aby mi lidi netiskli vzdáleně nějaký blbosti. :) Vím, že to jde nastavovat přímo v CUPSu, ale pokud to můžu zablokovat už na IP vrstvě, tak tím líp.
, celkem prdel vytiskout někomu papír z tiskárny , a ještě lepší když je to firemní laserovka s pořádnym zásobníkem
na to opravdu nezapomenu ... takkzhle jsme se známým spamovali docela dost dlouho ... :)
Projel jsem si několik adresních rozsahů jen tak informativně a ani jeden port 631 otevřenej a hromada jich filtovanych, tak uz to asi neni co to byvalo
Na routeru, na laptopovem serveru a na "workstation" laptopu.
7.7.2009 19:22
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Nějak ticho o tématu ... jakej firewall? Je to sw, hw, snort, psad, prelude, něco jiného?
[mrkva@Odyssey ~]$ nmap 192.168.1.102 Starting Nmap 4.76 ( http://nmap.org ) at 2009-07-07 20:57 CEST All 1000 scanned ports on 192.168.1.102 are closed Nmap done: 1 IP address (1 host up) scanned in 0.20 secondsFirewall? A proc jako? :)
A jak se to pozná?
Pokud ho nemám, je to chyba (obyč. os. počítač)?
8.7.2009 15:09
David Watzke | skóre: 74
| blog: Blog...
| Praha
Jako firewall dobře poslouží skript s pár pravidly pro iptables od zkušenějšího kamaráda – odchozí povolit, příchozí požadavky zahazovat a hotovo. + případně povolit pár vybraných portů (ssh, přenos souborů přes jabber, torrent), tedy pokud to má smysl a uživatel není za nějakým dalším firewallem/NATem. Takže moc složitého nastavování na tom není.
10.7.2009 22:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
příchozí požadavky zahazovatBlééé. (ICMP)
to leda – na příchozí ping mám výjimku. Pak je ještě někdy dobré mít seznam IP adres „kamarádských“ počítačů a těm ty požadavky na zakázané porty nezahazovat, ale odmítat – aby nemusely zbytečně čekat (z jejich strany nečekáme útok ani skenování).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
6.7.2009 14:03
6.7.2009 18:32
6.7.2009 11:59
6.7.2009 13:27
7.7.2009 00:34
6.7.2009 21:02
6.7.2009 22:59
7.7.2009 09:29
ACCEPT na INPUT i OUTPUT. Složité na nastavování to není vůbec, a je to stejně užitečné nastavení, jako to vaše.
11.7.2009 11:52
xkucf03 | skóre: 50
| blog: xkucf03
To ale předpokládáš, že člověk, který nerozumí sítím, si není schopný nainstalovat nějakou síťovou službu – což podle mého není pravda.
11.7.2009 12:26
xkucf03 | skóre: 50
| blog: xkucf03
Přijde mi lepší, když firewall zahazuje všechno příchozí (třeba kromě pingů) – uživatel si nainstaluje službu a zjistí že „nejde“, tak se začne zajímat, proč nejde a třeba se i něco přiučí. Druhá možnost je, že firewall nemá vůbec a dojde k instalaci služby (ať už to byl záměr uživatele nebo ne) a uživatel má v systému potenciální díru a jeho znalosti se nijak nezlepšily.
8.7.2009 13:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
8.7.2009 15:09
socket() a bind() tak, že se omezila komunikace jen na loopback (tj. nešlo komunikovat z vnějškem a naopak). Čistě teoreticky by podobným způsobem šel postavit jednoduchý "firewall", protože je málo pravděpodobné, že by běžná aplikace používala na síťovou komunikaci přímo syscally.
socket(), ale může také třeba zneužít nějakou důvěryhodnou aplikaci, stačí třeba zavolat wget.
může také třeba zneužít nějakou důvěryhodnou aplikaci, stačí třeba zavolat wget.A tomu aplikacni firewall zabrani jak?
8.7.2009 19:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
conntrack či recent. Ale on ten FW stejně není potřeba - co má poslouchat na síti, to poslouchá na síti, co nemá být přístupné zvnějšku, to poslouchá jen na lokální smyčce. Když se k tomu potřebuji dostat, použiju SSH tunel.
Jenže než se pořád tunelovat přes SSH je pohodlnější si povolit některé služby pro vybrané IP adresy.
S tím OpenVZ je to škoda, snad s tím se Snajpou pohneme Taky bych ten firewall potřeboval.
Nevíte někdo o dobrém praktickém článku na téma bezpečnost? Mám jeden stroj s veřejnou IP - sice na něm není nic zajímavého, ale stejně bych jen nerad viděl v nějakém botnetu. Představuji si soupisu osvědčených praktik (jako např. pro roota zakázané ssh), nějakého penetračního testu a jak +/- ověřit, zda už se neděje něco špatného (pokud to bez hlubších znalostí vůbec jde). Díky
Představuji si soupisu osvědčených praktik
ssh a používání klíčůroota zakázané ssh, které akorát odvádějí pozornost od skutečného zabezpečenípokud to bez hlubších znalostí vůbec jdeTěžko.
9.7.2009 11:13
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
A když tak ho ještě zamknout do skříně
jako že Snow Leopard?
klikl jsem na to až po přečtení tvého příspěvku, nevědel jsem co to je ale jakmile na mne vyskočilo jablko, opravdu ale opravdu jsem se upřímně leknul
without-password u volby PermitRootLogin v konfiguráku sshd. Pokud používáte pam, podívejte se na pam_access a související /etc/security/access.conf. Tam můžete třeba říci, že root se smí přihlašovat pouze z těch a těch IP adres. Přístup uživatelů k ssh je dobré omezit pomocí voleb AllowUsers nebo AllowGroups v konfiguráku sshd, kde přesně specifikujete, kteří uživatelé se budou smět přihlásit přes SSH. Pak, když založíte uživatele "test" s heslem "test", nebudete během hodiny začleněn do botnetu (i když se můžete stát spammerem, dle konfigurace poštovního serveru).
SSH a další služby se dají chránit pomocí fail2ban či denyhosts, popřípadě pomocí mého oblíbeného modulu recent v rámci Netfilteru (iptables).
Docela dobrá rada do začátku, kterou kolega výše, myslím, nezmínil, je nainstalovat logwatch nebo logcheck a provoz serveru sledovat.
Časem nějaké základy bezpečnosti sesumarizuji, i když to asi nehodím sem - plánuji to umístit v rámci jednoho svého projektu, který je nyní ve fázi návrhu. To je nicméně ještě na hony vzdálené. Mimochodem, znáte security-portal.cz?
add sumarizace - ale ve zprávičkách by se to objevit mohlo, ne? Každopádně ať se projekt povede.
Kdysi jsem použil službu na skenování portů (jen doufám, že nefunguje jako pozvánka )
Na routeru a nikde. Na routeru ho sice mam, ale vyplej - router se po par hodinach uptime vzdy zhrouti (asi spatny fw.. nebo mu proste dochazi pamet ci co..), kdyz je spusteny fw a par dalsich featur (uPnP.. atp). Na PC na to kaslu a server.. tez :)
.. jojo, jsem nezodpovedny.