Byla vydána nová major verze 9.0 softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Vypíchnuta je podpora AI.
Wasmer byl vydán ve verzi 7.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
V reakci na nepopulární plán Microsoftu ještě více ve Windows prohloubit integraci umělé inteligence Copilot, Opera na sociální síti 𝕏 oznámila, že připravuje nativní linuxovou verzi prohlížeče Opera GX. Jedná se o internetový prohlížeč zaměřený pro hráče, přičemž obsahuje všechny základní funkce běžného prohlížeče Opera. Kromě integrace sociálních sítí prohlížeč například disponuje 'omezovačem', který umožňuje uživatelům omezit využití sítě, procesoru a paměti prohlížečem, aby se tak šetřily systémové zdroje pro jinou aktivitu.
NVIDIA vydala nativního klienta své cloudové herní služby GeForce NOW pro Linux. Zatím v beta verzi.
Open Gaming Collective (OGC) si klade za cíl sdružit všechny klíčové projekty v oblasti linuxového hraní počítačových her. Zakládajícími členy jsou Universal Blue a Bazzite, ASUS Linux, ShadowBlip, PikaOS a Fyra Labs. Strategickými partnery a klíčovými přispěvateli ChimeraOS, Nobara, Playtron a další. Cílem je centralizovat úsilí, takže namísto toho, aby každá distribuce udržovala samostatné opravy systému a podporu hardwaru na
… více »V kryptografické knihovně OpenSSL bylo nalezeno 12 zranitelností. Opraveny jsou v upstream verzích OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 a 3.0.19. Zranitelnosti objevila společnost AISLE pomocí svého autonomního analyzátoru.
Desktopové prostředí Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4. V programovacím jazyce Rust s využitím stavebních bloků z projektu Smithay jej napíše Brian Tarricone. Úprava stávajícího xfwm4 tak, aby paralelně podporoval X11 i Wayland, se ukázala jako špatná cesta.
Desktopové prostředí KDE Plasma 6.8 poběží už pouze nad Waylandem. Vývojáři, kteří s rozhodnutím nesouhlasí, vytvořili fork KDE Plasma s názvem SonicDE (Sonic Desktop Environment) s cílem zachovat a vylepšovat podporu X11.
Byla vydána nová stabilní verze 7.8 dnes již jedenáctiletého webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 144. Přehled novinek i s náhledy v příspěvku na blogu.
GNU gettext (Wikipedie), tj. sada nástrojů pro psaní vícejazyčných programů, dospěl do verze 1.0. Po více než 30 letech vývoje. Přehled novinek v souboru NEWS.
Používáte na serverech port knocking?
| všude |
|
2% (10) |
| výjimečně |
|
7% (29) |
| nikde |
|
47% (194) |
| o co jde? |
|
26% (107) |
| nemám žádný server |
|
18% (75) |
Celkem 415 hlasů
Vytvořeno: 19.3.2018 10:37
Tiskni
Sdílej:
20.3.2018 18:26
otasomil | skóre: 39
| blog: puppylinux
[port knocking] Nepouzivam
…a to je v tom odstavci jediné, na čem se shodneme. :-)
23.3.2018 23:39
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
MJ vedeli jste ze obecnou vlastnosti mobilnich siti je porad jedina IP a to i pri pohybu po republice a dokonce i v roamingu.Obecnou vlastností to rozhodně není, protože pár let nazpátek dostávaly mobily v síti T-Mobile veřejné IPv4 adresy. Opravdu. Natolik mě to tehdy překvapilo, že jsem hned psal kamarádovi, aby se podíval, a taky dostal veřejnou IP. Když jsem SIM strčil do USB modemu (+pppd na Linuxu), tak jsem se mohl na danou IP připojit. Druhou věcí je, že v roamingu v některých sítích dostávám lokální IP, nikoliv českou. Děje se mi to například v Rakousku. Má to výhody i nevýhody. Výhodou místní IP je lepší latence, česká IP se mi zase hodila v roamingu v Číně, kdy mi pak na mobilu aspoň chodily Google Maps (v Číně běžně blokované).
24.3.2018 12:25
otasomil | skóre: 39
| blog: puppylinux
protože pár let nazpátek...To je presne ono. To byvalo. Dokonce znam cloveka ktery na tomto postavil jakesi zarizeni pro ovladani dalsich veci. Bohuzel toto dlouho nevydrzelo. Za cas dostavaly jeho chytre strojky ledabyle jinou IP az byl donucen doprogramovat funkci ktera na zaklade poslane sms ve spravnem tvaru odpovedela opet sms s IP adresou. Tuto uzivatel dal do prohlizece a s velkou slavou se pripojil k ovladani. To je ale jiz mnoho let. Byly to pocatky dat v mobilnich sitich. A dnes... za jedinou IPv4 je schovano klidne tisice uzivatelu.
23.3.2018 23:40
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
A ochranu v podobe umisteni SSHD na vysokem portu (nekde v desitkach tisic) + zakazany root login + povoleni pristupu pouze z konkretnich IP (pomoci hosts.allow, hosts.deny) lze povazovat za naprosto dostatecne zabezpeceni.Vida, já za dostatečné zabezpečení považuju zakáz přihlašování heslem
24.3.2018 12:59
otasomil | skóre: 39
| blog: puppylinux
Vida, já za dostatečné zabezpečení považuju zakáz přihlašování heslemTaky OK. Jen nepomaha pred roboty kteri nadale bubnuji na vychozi port. Mnou uvedene opatreni pouzivam jiz nekolik let a v logach na VPS nemam jinou IP nez svoji. Cili co chtit vic...
Jen nepomaha pred roboty kteri nadale bubnuji na vychozi port.
V jakém smyslu nepomáhá? Jako že se do toho klíče časem trefí (pokud by to tedy vůbec zkoušeli)?
24.3.2018 13:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
24.3.2018 21:48
otasomil | skóre: 39
| blog: puppylinux
iptables -A INPUT -p tcp --dport 28912 -s 100.100.100.100 -j ACCEPT iptables -A INPUT -p tcp --dport 28912 -j DROPJo tak tcpwrapper a /etc/hosts.allow, /etc/hosts.deny je uz zastarala vec ale setkavam se s nim v distrech porad. Asi to bude neco jako /etc/hosts ktery je taky s nami stale a lze jej vyuzit porad.
24.3.2018 22:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Toz pres iptables neco ve smyslu pro povoleni jedine IP 100.100.100.100?
Tak nějak, jen bych to asi dal do samostatného chainu, aby se protokol a port nemusely testovat pokaždé znovu:
iptables -N ssh iptables -A INPUT -p tcp --dport 22 -j ssh iptables -A ssh -s 1.1.1.1 -j ACCEPT iptables -A ssh -s 1.1.1.2 -j ACCEPT ... iptables -A ssh -j DROP
nebo (hlavně při větším počtu adres) rovnou použít ipset:
ipset create ssh-whitelist hash:ip iptables -A INPUT -p tcp --dport 22 -m set --match-set ssh-whitelist src -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP ipset add ssh-whitelist 1.1.1.1 ipset add ssh-whitelist 1.1.1.2 ...
Jo tak tcpwrapper a /etc/hosts.allow, /etc/hosts.deny je uz zastarala vec ale setkavam se s nim v distrech porad.
Že je to zastaralé, to by ani tak nevadilo, ale hlavně je to implementované moc vysoko a dostane se to ke slovu až docela pozdě, když už je spojení navázané. Netfilter vám zahodí rovnou syn packet, a to hned v jádře. Je to rychlejší a necháváte méně prostoru pro nějakou zneužitelnou chybu.
24.3.2018 22:03
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nebylo by v takovém případě praktičtější řešení použít pro daný účel aspoň trochu smysluplnější hardware?Dušný MIPS obsahuje naprostá většina routerů do litru. To si mám kupovat dvakrát dražší zařízení jenom abych si ušetřil
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
-p 933 nebo jeden řádek v konfiguráku?
1. Kolega v tom odkazovaném blogu píše, že se jedná o desítky pokusů za denZajímavé, já jich mám tisíce denně, což vzhledem k tomu, že třeba tom MIPS SoC sežere jedno SSH spojení 1 (74Kc) - 2 (24Kc) sekundy CPU…
Když to bude někdo chtít opravdu uDoSovat, uDoSuje mu i ten NUC.Jistě, ale tady se nebavíme o cíleném DoSu, ale o robotech zkoušejících hesla.
Mimo jiné se zmiňuje, že tak jako tak povoluje přístup k SSH jen z definovaného whitelistu adres. Proč se tedy vůbec bavíme o náhodných návštěvách robotů louskajících hesla?Přišlo mi, že tento subthread řeší nestandardní port.
a veřejnou adresouTak já se bavil konkrétně o domácím routeru, např. Nexx WT3020 nebo TP-Link WDR3500. Ale jinak takhle internet funguje
(nečekal bych zrovna od tebe, že budeš veřejnou adresu považovat za něco speciálního) (a jinak IPv6 tohle nejspíš vyřeší, protože nebudeš vědět, co v celé /64 skenovat)
a veřejnou adresounečekal bych zrovna od tebe, že budeš veřejnou adresu považovat za něco speciálního
Captain context. Zkus si tu větu, ze které jsi vytáhl poslední tři slova, přečíst celou.
24.3.2018 06:40
Jendа | skóre: 78
| blog: Jenda
| JO70FB
povoleni pristupu pouze z konkretnich IP (pomoci hosts.allow, hosts.deny)Možná bych preferoval iptables, je tam méně vrstev potenciálně zabugovaného SW.
24.3.2018 12:33
otasomil | skóre: 39
| blog: puppylinux
Možná bych preferoval iptables...Taky reseni. hosts.allow je vsak trivialni. Staci zadat do hosts.allow viz priklad:
sshd : 100.100.100.100 : allow sshd : [2000:2000:2000::2000] : allow sshd : ALL : deny
vsechny modre vsechny zelene nemam kravyPro cloveka co nema kravy jsou vsechny pravdive
No, to bych zrovna rekl ze je otazka "Používáte na serverech port knocking?" polozena spravne. Az na vyse zmineny problem s univerzalnim kvantifikatorem ktery v otazce tak nejak skryte je. S otazkou typu "A => B" je situace jeste horsi. (mozna nekdo mezitim otazku zmenil)
Bude to znit kostrbate, ale ted me narychlo napada ze bez problemu by mohlo byt: "Spravujete server? Pokud ano, pouzivate port nocking?"
1.4.2018 11:08
