Byla vydána verze 0.81 telnet a ssh klienta PuTTY. Opravena je kritická bezpečnostní chyba CVE-2024-31497 obsažena ve verzích 0.68 až 0.80. Používáte-li klíč ECDSA NIST P521 a použili jste jej v PuTTY nebo Pageantu, považujte jej za kompromitovaný.
Hra MineClone2 postavena nad voxelovým herním enginem Minetest byla přejmenována na VoxeLibre.
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž docházelo prokazatelně po část roku 2019.
… více »Bylo vydáno do češtiny přeložené číslo 714 týdeníku WeeklyOSM přinášející zprávy ze světa OpenStreetMap.
V sobotu 20. dubna lze navštívit Maker Faire Jihlava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Knihovna pro potlačení šumu RNNoise byla vydána ve verzi 0.2. Kvalitu potlačení lze vyzkoušet na webovém demu.
FRRouting (FRR) (Wikipedie), tj. softwarová sada pro směrování síťové komunikace, fork Quagga, byl vydán ve verzi 10.0.
Julian Andres Klode vydal APT (Advanced Packaging Tool) ve verzích 2.9.0 a 2.9.1. Jedná se o vývojové verze nové větve APT 3.0. Vylepšuje se uživatelské rozhraní. Přidány byly barvičky. Aktuální náhledy a vývoj lze sledovat na Mastodonu.
Miguel de Icaza se na svém blogu rozepsal o vložitelných herních enginech. Kdysi slibné projekty UrhoSharp a Urho3D jsou již mrtvé. Zůstává Godot. Aktuálně vývojáři řeší Pull request #90510 s návrhem knihovny LibGodot.
Byla vydána nová verze 5.0 linuxové distribuce Lakka, jež umožňuje transformovat podporované počítače v herní konzole. Nejnovější Lakka přichází s RetroArchem 1.17.0.
Každý se jednou postaví před otázku správy a ukládání hesel. Existuje spoustu řešení, tak které je to pravé? To samozřejmě říci nelze, každý má jiné požadavky a i subjektivní pocity je do toho třeba zahrnout podobně jako u spousty věcí.
Rozdílnými požadavky na hesla myslíme třeba to, že někdo si vystačí s málem a nepožaduje třeba tyto fce:
Jinými slovy, někomu stačí naprosto parádní desktopová aplikace KeePass. Někdo pozvedne tuto aplikaci na webovou variantu KeeWeb a někomu nestačí ani to a potřebuje víc.
Vesměs splňuje to, co bylo v úvodu řečeno, možná ještě více. Je tu ale pár ale. Banda, co to vyvíjí, to postavila na Microsoftích technologiích. Další nemilá věc je, že ofiko instalace je jen formou kontejneru v dockeru. A ta poslední nevýhoda je, že výsledkem těch dvou předchozích je náročnost. Tzn., že chceme aspoň dvě jádra (asi by stačilo jedno) a 2GB ram pro VM, kde nám to poběží. Chlapci to totiž postavili na MSSQL, .Net Core a ASP.Net Core. Už jenom samotný MSSQL neoplývá nenáročností a kdo kdy měl tu čest s nějakou .Net Core app ví, že někdy(né vždy) z 10MiB aplikace je díky závislostem 1GB aplikace, která si i něco vezme.
Dále je potřeba zmínit, že né všechny fce jsou bezplatné a člověk tak musí cálovat formou předplatných. Pokud jste tedy firma, kde je vás už více, potřebujete hesla sdílet a chcete to mít u sebe, tak jedině BusinessPlan Enterprise, tj. $5/uživatel/měsíc v případě, že platíte na rok dopředu (pokud chcete platit po měsících, tak je to $6). Funguje to tak, že se zaregistrujete do online verze Bitwardenu, vložíte kartu do systému a koupíte si příslušný počet licencí. Peníze se z karty strhnou až za 7 dní, protože první týden je zkušební doba, během které můžete účet stornovat a nic nezaplatit. Pokud tedy máte koupeno a je to enterprise plan, tak přes web ksicht máte možnost stáhnout licenční soubor. Tento licenční soubor si pak nahrajete do své on-premise instalace. Licenční soubor je s lokální instalací spárován pomocí ID té lokální instalace, nelze tedy klíč použít na jiných instalacích.
Pokud se podíváme na trh, tak zjistíte, že Bitwarden je opravdu ohledně fcí top, navíc i cenou je na tom přívětivěji, než konkurence.
Bitwarden team razí přesvědčení, že každý by měl mít svá hesla zabezpečená. Z toho důvodu má i bezplatnou verzi. Tato bezplatná verze nelze provozovat v režimu on-premise, ale podporuje organizaci (sdílení hesel). Toto sdílení hesel je u free verze pro dva lidi a nepodporuje ukládání příloh. Pokud jste tedy dva a nevadí vám uložená hesla u nich v obláčku, tak vás asi nic nebude limitovat a můžete si užít i 2FA ověřování.
Na serveru není uloženo nic nešifrovaně. Veškeré šifrování probíhá na straně klienta a serveru se posílají jen zašifrovaná data. Pokud ztratíte heslo, tak jste přišli o vše, žádný recovery email pro reset hesla neexistuje, není prostě možný. Podrobněji viz jejich KB: I Forgot my Master Password. Tímto je i definován termín Zero Knowledge. Pokud vám tedy nějaký nástroj pro správu hesel umožní obnovit vaše zapomenuté heslo, tak vězte, že ten nástroj není bezpečný a není vhodné jej používat.
Jak tedy funguje sdílení hesel mezi uživateli? Hesla jsem zašifroval svým heslem, tak jak bez znalosti mého hesla se může kolega podívat do sdílených hesel a dešifrovat je? Hesla jsem totiž nezašifroval mým heslem, ale klíčem. Díky asymetrickému šifrování a kombinací privátních a veřejných klíčů lze toho dosáhnout.
Obecná část je popsána v blogu:
Password Sharing with Organizations
Lepší podrobnosti, jak dosáhnout sdílených dat pomocí klíčů viz wiki:
Public-key cryptography
Čím jsou klíče chráněny viz:
Encryption
Bitwarden má různé certifikace a chlubí se pravidelnými penetračními testy, viz: Compliance, Audits, and Certifications.
Ve finále lze i klíče pravidelně měnit/rotovat, viz: Account Encryption Key
Instalovat budeme on-premise na Debian 10. Postup je vesměs dost jednoduchý
Předpříprava, tj. vytvoříme si uživatele, skupinu apod., kde bude mít Bitwarden data:adduser bitwarden passwd bitwarden groupadd docker usermod -aG docker bitwarden mkdir /opt/bitwarden chmod -R 700 /opt/bitwarden chown -R bitwarden:bitwarden /opt/bitwardenNásledně provedeme stažení skriptu a spuštění instalace (je zde podpora pro Let'sEnCrypt, takže pokud je server přístupný z venku a jsou správně nasměrovány dns, tak můžete zvolit generování cert, já použil vlastní self signed):
# stažení bash souboru cd /opt/bitwarden/ curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh # nastavíme mu práva pro spuštění chmod +x bitwarden.sh # spuštění skriptu ./bitwarden.sh install _ _ _ _ | |__ (_) |___ ____ _ _ __ __| | ___ _ __ | '_ \| | __\ \ /\ / / _` | '__/ _` |/ _ \ '_ \ | |_) | | |_ \ V V / (_| | | | (_| | __/ | | | |_.__/|_|\__| \_/\_/ \__,_|_| \__,_|\___|_| |_| Open source password management solutions Copyright 2015-2021, 8bit Solutions LLC https://bitwarden.com, https://github.com/bitwarden =================================================== bitwarden.sh version 1.39.4 Docker version 20.10.3, build 48d30b5 docker-compose version 1.25.3, build d4d1b42b (!) Enter the domain name for your Bitwarden instance (ex. bitwarden.example.com): bitwarden.corp.devaine.cz (!) Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): n 1.39.4: Pulling from bitwarden/setup a0432a628f6f: Pull complete 578903754fa4: Pull complete cf52678748ce: Pull complete 11b160c8462d: Pull complete 934454d5bb9b: Pull complete ed67547b033c: Pull complete 2c9afa715b19: Pull complete 2a3ef1276c5a: Pull complete 9532f6f80f2c: Pull complete 2d8dd4439342: Pull complete Digest: sha256:935545649a074c156145167cbce019c657e85e57e99ff4c124560121952441d8a4 Status: Downloaded newer image for bitwarden/setup:1.39.4 docker.io/bitwarden/setup:1.39.4 (!) Enter your installation id (get at https://bitwarden.com/host): ************************ (!) Enter your installation key: ***************** (!) Do you have a SSL certificate to use? (y/n): y !!!!!!!!!! NOTE !!!!!!!!!! Make sure 'certificate.crt' and 'private.key' are provided in the appropriate directory before running 'start' (see docs for info). (!) Is this a trusted SSL certificate (requires ca.crt, see docs)? (y/n): y Generating key for IdentityServer. Generating a RSA private key .....................................++++ ...............................................................................................................................................................................................................................................................++++ writing new private key to 'identity.key' ----- Building nginx config. Building docker environment files. Building docker environment override files. Building FIDO U2F app id. Building docker-compose.yml. Installation complete If you need to make additional configuration changes, you can modify the settings in `./bwdata/config.yml` and then run: `./bitwarden.sh rebuild` or `./bitwarden.sh update` Next steps, run: `./bitwarden.sh start`
Jak můžete v průběhu vidět, tak instalátor nám vygeneroval "installation id" a "installation key". Ty budeme potřebovat pro případnou koupi/vygenerování licence.
V dalším kroku naladíme certifikáty (pokud jste nezvolili při instalaci Let's Encrypt)# umístíme cert, které jsem si vygeneroval bokem pomocí mé CA "DevaineRootCA-G2": mv bitwarden.corp.devaine.cz.pem /opt/bitwarden/bwdata/ssl/bitwarden.corp.devaine.cz/ mv bitwarden.corp.devaine.cz.cer /opt/bitwarden/bwdata/ssl/bitwarden.corp.devaine.cz/ mv DevaineRootCA-G2.crt /opt/bitwarden/bwdata/ssl/ # vygenerujeme dhparam cd /opt/bitwarden/bwdata/ssl/ openssl dhparam -out ./dhparam.pem 4096 chmod 700 dhparam.pem # nastavíme oprávnění chown -R nobody:nogroup /opt/bitwarden/bwdata/ssl/ chown -R nobody:nogroup /opt/bitwarden/bwdata/ca-certificates/A provedeme nastavení Bitwardenu, aby je akceptoval, tj. editujeme "/opt/bitwarden/bwdata/config.yml". Jen dodám, že cesty v konfiguračním souboru odpovídají cestám uvnitř dockeru a není to tedy omyl. Certifikáty máme reálně v "/opt/bitwarden/bwdata/ssl/bitwarden.corp.devaine.cz" a v dockeru jsou přístupný pod "/etc/ssl/bitwarden.corp.devaine.cz/", takže nastavení níže není omyl, tak to má být:
... ssl_certificate_path: /etc/ssl/bitwarden.corp.devaine.cz/bitwarden.corp.devaine.cz.cer ssl_certificate_path: /etc/ssl/bitwarden.corp.devaine.cz/bitwarden.corp.devaine.cz.pem ssl_ca_path: /etc/ssl/DevaineRootCA-G2.crt ssl_diffie_hellman_path: /etc/ssl/dhparam.pem ...Následně upravíme globální proměnné "/opt/bitwarden/bwdata/env/global.override.env", kde si nadefinujeme mail server a pár věcí kolem:
globalSettings__baseServiceUri__vault=https://bitwarden.corp.devaine.cz globalSettings__baseServiceUri__api=https://bitwarden.corp.devaine.cz/api globalSettings__baseServiceUri__identity=https://bitwarden.corp.devaine.cz/identity globalSettings__baseServiceUri__admin=https://bitwarden.corp.devaine.cz/admin globalSettings__baseServiceUri__notifications=https://bitwarden.corp.devaine.cz/notifications globalSettings__baseServiceUri__sso=https://bitwarden.corp.devaine.cz/sso globalSettings__baseServiceUri__portal=https://bitwarden.corp.devaine.cz/portal globalSettings__sqlServer__connectionString="Data Source=tcp:mssql,1433;Initial Catalog=vault;Persist Security Info=False;User ID=sa;Password=*************;MultipleActiveResultSets=False;Connect Timeout=30;Encrypt=True;TrustServerCertificate=True" globalSettings__identityServer__certificatePassword=*************** globalSettings__attachment__baseDirectory=/etc/bitwarden/core/attachments globalSettings__attachment__baseUrl=https://bitwarden.corp.devaine.cz/attachments globalSettings__send__baseDirectory=/etc/bitwarden/core/attachments/send globalSettings__send__baseUrl=https://bitwarden.corp.devaine.cz/attachments/send globalSettings__dataProtection__directory=/etc/bitwarden/core/aspnet-dataprotection globalSettings__logDirectory=/etc/bitwarden/logs globalSettings__logRollBySizeLimit= globalSettings__syslog__destination= globalSettings__licenseDirectory=/etc/bitwarden/core/licenses globalSettings__internalIdentityKey=************ globalSettings__oidcIdentityClientKey=************* globalSettings__duo__aKey=************* globalSettings__installation__id=*************** globalSettings__installation__key=*************** globalSettings__yubico__clientId=REPLACE globalSettings__yubico__key=REPLACE globalSettings__mail__replyToEmail=bitwarden-noreply@.devaine.cz globalSettings__mail__smtp__host=mail.corp.devaine.cz globalSettings__mail__smtp__port=25 globalSettings__mail__smtp__ssl=false globalSettings__mail__smtp__username=REPLACE globalSettings__mail__smtp__password=REPLACE globalSettings__disableUserRegistration=true globalSettings__hibpApiKey=REPLACE adminSettings__admins=admin-bw@devaine.czNyní už jen aplikujeme nastavení:
./bitwarden.sh rebuild _ _ _ _ | |__ (_) |___ ____ _ _ __ __| | ___ _ __ | '_ \| | __\ \ /\ / / _` | '__/ _` |/ _ \ '_ \ | |_) | | |_ \ V V / (_| | | | (_| | __/ | | | |_.__/|_|\__| \_/\_/ \__,_|_| \__,_|\___|_| |_| Open source password management solutions Copyright 2015-2021, 8bit Solutions LLC https://bitwarden.com, https://github.com/bitwarden =================================================== bitwarden.sh version 1.39.4 Docker version 20.10.3, build 48d30b5 docker-compose version 1.25.3, build d4d1b42b Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d... done. Building docker environment files. Building docker environment override files. Building nginx config. Building FIDO U2F app id. Building docker-compose.yml.A následně už stačí jen nastartovat:
./bitwarden.sh start _ _ _ _ | |__ (_) |___ ____ _ _ __ __| | ___ _ __ | '_ \| | __\ \ /\ / / _` | '__/ _` |/ _ \ '_ \ | |_) | | |_ \ V V / (_| | | | (_| | __/ | | | |_.__/|_|\__| \_/\_/ \__,_|_| \__,_|\___|_| |_| Open source password management solutions Copyright 2015-2021, 8bit Solutions LLC https://bitwarden.com, https://github.com/bitwarden =================================================== bitwarden.sh version 1.39.4 Docker version 20.10.3, build 48d30b5 docker-compose version 1.25.3, build d4d1b42b Pulling mssql ... done Pulling web ... done Pulling attachments ... done Pulling api ... done Pulling identity ... done Pulling sso ... done Pulling admin ... done Pulling portal ... done Pulling icons ... done Pulling notifications ... done Pulling events ... done Pulling nginx ... done Creating network "docker_default" with the default driver Creating network "docker_public" with the default driver Creating directory /opt/bitwarden/bwdata/core Creating directory /opt/bitwarden/bwdata/core/attachments Creating directory /opt/bitwarden/bwdata/logs Creating directory /opt/bitwarden/bwdata/logs/admin Creating directory /opt/bitwarden/bwdata/logs/api Creating directory /opt/bitwarden/bwdata/logs/events Creating directory /opt/bitwarden/bwdata/logs/icons Creating directory /opt/bitwarden/bwdata/logs/identity Creating directory /opt/bitwarden/bwdata/logs/mssql Creating directory /opt/bitwarden/bwdata/logs/nginx Creating directory /opt/bitwarden/bwdata/logs/notifications Creating directory /opt/bitwarden/bwdata/logs/sso Creating directory /opt/bitwarden/bwdata/logs/portal Creating directory /opt/bitwarden/bwdata/mssql/backups Creating directory /opt/bitwarden/bwdata/mssql/data Creating bitwarden-api ... done Creating bitwarden-mssql ... done Creating bitwarden-events ... done Creating bitwarden-sso ... done Creating bitwarden-notifications ... done Creating bitwarden-attachments ... done Creating bitwarden-icons ... done Creating bitwarden-web ... done Creating bitwarden-identity ... done Creating bitwarden-admin ... done Creating bitwarden-portal ... done Creating bitwarden-nginx ... done 1.39.4: Pulling from bitwarden/setup Digest: sha256:935729a074cd73d365167cbce019c657e85e57e99ff4c124560121952441d8a4 Status: Image is up to date for bitwarden/setup:1.39.4 docker.io/bitwarden/setup:1.39.4 Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d... done. Bitwarden is up and running! =================================================== visit https://bitwarden.corp.devaine.cz to update, run `./bitwarden.sh updateself` and then `./bitwarden.sh update`Běžící kontejnery lze zkontrolovat takto:
docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES d0a3c9f39c45 bitwarden/nginx:1.39.4 "/entrypoint.sh" 10 seconds ago Up 9 seconds (health: starting) 80/tcp, 0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp bitwarden-nginx 22a1102478de bitwarden/portal:1.39.4 "/entrypoint.sh" 12 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-portal 641cd8e46706 bitwarden/admin:1.39.4 "/entrypoint.sh" 12 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-admin 74aff98e3f26 bitwarden/web:2.18.1 "/entrypoint.sh" 14 seconds ago Up 12 seconds (health: starting) bitwarden-web 64fda2b72673 bitwarden/events:1.39.4 "/entrypoint.sh" 14 seconds ago Up 11 seconds (health: starting) 5000/tcp bitwarden-events 734b25a0095b bitwarden/identity:1.39.4 "/entrypoint.sh" 14 seconds ago Up 11 seconds (health: starting) 5000/tcp bitwarden-identity beb28467aa5e bitwarden/icons:1.39.4 "/entrypoint.sh" 14 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-icons 41f1ab6e6dfd bitwarden/notifications:1.39.4 "/entrypoint.sh" 14 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-notifications 629153b357c3 bitwarden/sso:1.39.4 "/entrypoint.sh" 14 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-sso 57b8a66f8434 bitwarden/api:1.39.4 "/entrypoint.sh" 14 seconds ago Up 10 seconds (health: starting) 5000/tcp bitwarden-api 85e71c7aef23 bitwarden/mssql:1.39.4 "/entrypoint.sh" 14 seconds ago Up 12 seconds (health: starting) bitwarden-mssql 65813f7d917b bitwarden/attachments:1.39.4 "/entrypoint.sh" 14 seconds ago Up 12 seconds (health: starting) bitwarden-attachmentsPokud tedy vše dopadlo dobře, tak byste měli vidět přístupný web interface, kde si můžete zaregistrovat účet a fungovat:
https://bitwarden.corp.devaine.cz
Licenční soubor stažený z online účtu si pak nahrajete do tohoto lokálního bitwardenu a tím se vám licence aktivuje. Uživatel, pod kterým si klíč naimportujete, bude správcem organizace. Měl by to mít tedy pod svým účtem šéf týmu, nebo někdo zodpovědný, protože šéf organizace pak ovládá práva v rámci organizace a dokáže tedy vidět všechny hesla v rámci organizace. Každý uživatel má pak i svůj vlastní privátní prostor, který nejde nijak sdílet a nikdo se do něj nedostane, jen ten samotný uživatel.
Výše se v souboru "global.override.env" definoval "adminSettings__admins=admin-bw@devaine.cz". Je to definice emailové adresy, přes kterou se lze dostat do administrace. Funguje to tak, že si otevřeme adresu "https://bitwarden.corp.devaine.cz/admin", tam zadáme emailovou adresu, která odpovídá té definované v "adminSettings__admins". Následně na tu adresu přijde email s vygenerovaným jednorázovým tokenem. Ťuknutím na odkaz z mailu se tedy automaticky přihlásíte. V Admin rozhraní pak můžete vidět účty, částečně jejich nastavení, nastavení organizace, kdo je správcem licence a můžete účty mazat. Nic víc. K datům se nedostanete. Slouží to tedy čistě pro to, že když někdo zapomene heslo, tak tady přes toto rozhraní ho smáznete, on přijde o svůj privátní prostor (jeho blbost, nemá zapomínat heslo) a nebudou vám tam viset mrtvé účty.
Jsou zde dvě možnosti, jak obechcat licenční politiku, mít všechny fce zadarmo.
Tento projekt je na githubu. V kostce dělá to, že v lokálním Bitwardenu vymění klíč za váš vlastní, který se stará o párování licence. Pak si můžete vygenerovat vlastní licenci a zaregistrovat si jí v lokálním Bitwardenu. Licenci si můžete vygenerovat jakoukoli, takže pak můžete mít dostupné všechny fce. Je to trochu nečisté a sám autor to i říká a nabádá, aby ten, kdo to použije, si koupil u Bitwardenu aspoň nějakou licenci, aby jim aspoň trochu přispěl.
Jedná se o projekt, který je plně OSS a je taktéž na githubu. Tento projekt je zajímavý tím, že je to reimplementace originálního serverového api. Týpek to píše v Rust, neřeší licence, prostě jsou dostupné všechny fce, co implementuje. Výhodou je podpora mysql, postgresql, sqlite a celkově je celé řešení nenáročné na hw. Problém je, že kód nebude asi tak "safe" jako původní implementace, resp. možná bych si to pro sebe na privát nasadil, ale do firmy ne. V tomto osobně raději věřím, že autor původního Bitwardenu dělá opravdu audity kódu a penetrační testy tak, jak prezentuje.
Bitwarden má opravdu hodně fcí, tváří se opravdu hodně bezpečně a spousta lidí si ho chválí. Musím říci, že i já s ním mám velmi kladné zkušenosti a v OSS světě asi nemá konkurenci.
Zdar Max
Tiskni
Sdílej:
17.3.2021 02:38
Petr Fiedler | skóre: 35
| blog: Poradna
| Brno
Super zápis, díky.
17.3.2021 12:08
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 13:17
Josef Kufner | skóre: 70
Pamatovat si hesla k mnoha službám prakticky nejde.Samozřejmě že jde, dělám to tak celý život. Bonus: trénováním paměti se snižuje riziko pozdější demence. Btw, správce hesel je naprosto nekompatibilní se situací, kdy se najednou potřebuji někam přihlásit z cizího počítače, třeba na cestách, nebo třeba z mobilu, odkud se obvykle skoro nikam nepřihlašuji. A takové situace považuji za zcela běžné. A nebo sitiuace sice zatím hypotetická, ale která rozhodně může nastat. Ležím například v nemocnici a chci po někom, aby se někam přihlásil mým účtem. Fakt mu při takové příležitosti nechci dát přístup všude, ale jen tam, kam chci.
17.3.2021 15:18
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 15:31
Josef Kufner | skóre: 70
Samozřejmě že jde, dělám to tak celý život. Bonus: trénováním paměti se snižuje riziko pozdější demence.I v případě používání správců hesel stejně skončíš s tím, že si budeš muset pár hesel pamatovat. Ale budou to jednotky nebo malé desítky, nikoli stovky. Nedokážu si představit, že si budu pamatovat několik stovek hesel jako x~S3#_5?fwY<^`wLPn"/zcFcc#8yst nebo passfrází o mnoho slovech.
Btw, správce hesel je naprosto nekompatibilní se situací, kdy se najednou potřebuji někam přihlásit z cizího počítače, třeba na cestách, nebo třeba z mobilu, odkud se obvykle skoro nikam nepřihlašuji. A takové situace považuji za zcela běžné.Tohle je nejlepší řešit kombinací zapamatování takto kritického hesla v kombinaci s 2. faktorem (např. OTP aplikací nebo hw tokenem). Případně si můžu pro taková hesla zadat do správce hesel na mobilu (osobně už ale tohle nedělám).
18.3.2021 16:51
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
md5(base64(doména) + salt). Ale teda osobně taky používám Bitwarden.
18.3.2021 12:27
Gréta | skóre: 36
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
správce hesel je víc lepšejší potože co vůůůbec nemáš skovaný vhlavě prostě taky jako nikdy nevykecáš :D ;D
17.3.2021 16:30
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Což dá víc práce, než si hesla normálně zapamatovat :)Nejvíce práce mi dal samotný přechod na správce hesel, ale pak je zvýšení efektivity a snížení bordelu obrovské.
17.3.2021 08:34
Ruža Becelin | skóre: 40
| blog: RuzaBecelinBlog
17.3.2021 08:53
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 10:46
Ruža Becelin | skóre: 40
| blog: RuzaBecelinBlog
17.3.2021 12:06
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 08:46
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 09:36
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
17.3.2021 10:33
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 11:05
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Tak ten komentář mířil hlavně tam, že pokud má někdo 400 hesel, a ještě navíc je potřebuje sdílet s kolegy, tak to má vést k zamyšlení, jestli to nejde řešit jinak a lépe.To mě zarazilo taky. Pro osobní účty používám keepassxc, a i když mám i pracovní keepassx databázi, sdílených hesel tam mám minimum. Záleží k čemu je třeba mezi kolegy sdílet přístup, ale větší smysl mi dává použít nějaké SSO řešení, ssh klíče nebo vytvoření samostatných účtů. Na druhou stranu, přes centrální správce hesel by šla vynucovat politika hesel na úrovni celé firmy, ale nejsem si jistý, jak moc by něco takového bylo přínosné. Jinak samosebou nasazení Bitwardenu je pořád lepší, než když by se problém s hesly neřešil vůbec.
17.3.2021 12:03
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 18:50
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 12:18
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 12:22
Josef Kufner | skóre: 70
17.3.2021 12:44
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
No, těžko lze něco řešit lépe, pokud to není umožněno, což není.Ono to samo není umožněno, nebo to někdo neumožnil?
A teď si vem, že máš stovky druhů zařízení a služeb, kde buď nemůžeš mít jednotné hlavní heslo, nebo nechceš kvůli diverzifikaci.A nebo se použije takové řešení, kde nejsou stovky (druhů) zařízení nebo jsou to zařízení, která umožní jiné přihlašování (nebo obecně administraci).
Jak píši níže, přístupy na servery vyřešíš certifikáty a orchestrací klíčů (je jedno, zda přes ansible , nebo vlastními skripty), ale stále tam máš toho roota, který ti slouží jako fallback v případě, že vše ostatní selže a potřebuješ se připojit lokálně.Jako možná je to pohodlnost, ale já už si roky odvykl používat heslo roota. Když bylo nejhůř, tak jsem si jej prostě změnil v single režimu.
Samozřejmě, heslo roota lze někam napsat, proti tomu nic nemám.
Nevím, jak se tomu vyhnout (procesně ani technicky), než tak, že nasadím pw manager, který mi usnadní třídění a správu.To je právě to zakrytí bordelu. Vyhnout se tomu lze tak, že nebudou stovky (druhů) zařízení. Jako toto je spíše psychologická otázka, sám se snažím o minimální instalace čehokoliv, ale když vidím, jak firmy o 40 lidech interně používají 80 systémů z toho některé "se migrují" a to už 2x a stále jim běží stará verze, přechodná verze a nová verze, tak je to skutečně na zamyšlení. To zamyšlení by vedlo k tomu, že je možná užitečných tak 15 systémů a skutečně nezbytných tak 5.
A věz, že ty příklady byly kapka v mořiMě je to jedno
17.3.2021 13:14
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 14:07
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Máme na to asi jiný pohledNo to nepochybně.
ale podle toho, jak jsou spolehlivé a jak nízké náklady na tisk majíTo je sice moc hezké, ale potom nikdo nepočítá ty desítky hodin, které s tím někdo stráví.
Nebo jak by jsi řešil přístupy do 3rd portálů jako helpdesky, správy licencí apod.Nevím, já jsem nikdy žádný helpdesk nepotřeboval. Když jsme volali na DELL k vůli problémům s polem, tak první co je zajímalo bylo doplatit servisní poplatky právě za helpdesk, potom nám poslali update dvd, které se mělo nechat projíždět tak dlouho, až to postupně updatovalo všechno (kolega v serverovně strávil několik hodin) a problém to stejně nevyřešilo. Tolik k helpdesku všeho druhu. Ano, možná kdybychom jim platili milion měsíčně, tak by možná udělali něco víc, než obecný update firmware (na naše náklady). Jenže za milion už bychom si stejně stavěli vlastní řešení, což jsme ostatně dělali i tak a bylo to levnější, než celá serviska pro dell.
správy licencíNeznám tento výraz pro oss.
Nebo jak by jsi systémově řešil přístupy do různých eshopů?Tak přístup do eshopu nemusí mít 400 lidí, stejně to prochází schválením. Takže buď eshop umí to, že naskládat do košíku to může kdokoliv a potom to někdo schválí a zaplatí (tj každý má svůj přístup a svou roli), nebo to stejně ve firmě řeší dva lidi a ti si to heslo mohou říct (a nebo opět, mají dva oddělené účty a platí se to na jednu fakturační adresu).
To mám také, ale pak tu mám 100 různých služeb, který mají různé přístupy k různým věcem a správa / sync účtů není rozhodně nic jednotného.Jak už jsem psal asi vícekrát, každý máme svoje peklo.
a člověk nesmí hledět na cenu věcíCenu bych vůbec neviděl jako argument pro to, že když něco musí mít ssh, tak to bude zákonitě dražší, protože tohle prostě neplatí. Pokud nakoupím switche a routery dejme tomu od mikrotiku, tak tam mám ssh přístup úplně stejně, jako do domácího AP za 350Kč. Ve skutečnosti nejhorší přístup byl na všechny ty značkové switche od HP a Cisco, které vyžadovali prehistorickou verzi javy už ve chvíli jejich nákupu.
17.3.2021 14:29
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 14:50
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jsou eshopyVěřím a co? To, že jsou některé eshopy, které to nesplňují ještě neznamená, že jsou takové všechny.
Pak někde potřebuješ jet třeba věrnostní programPotřebuješ...
Příklad s Mikrotikem pěkný, ale do té doby, než zjistíšAno, každý hw má něco, ale byla řeč o ssh. Rozhodně neplatí, že co má ssh je dražší nebo levnější, než něco jiného.
ale ostatní takové štěstí nemajíOtrokářství bylo zrušeno už dávno. A jestli ti někdo stojí s pistolí u hlavy a nutí tě používat eshop s věrnostním programem, tak to nahlas na kriminálce. Jako na absurdní komentář absurdní reakce. Je zbytečné psát osobní komentáře, pokud se neznáme na osobní úrovni.
17.3.2021 15:12
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 15:27
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Takže takhle vypadá reál.Dík, mě je totiž 6 let a vůbec nikdy jsem neměl přístup do 5 datacenter, nespravoval desítky HW serverů, neinstaloval stovky virtuálek a nespravoval tisíce služeb a nejezdil jsem k zákazníkům. Dík, žes mi to osvětlil
Reál vypadá tak, jak si ho kdo udělá. Jestli tě baví spravovat miliony služeb, klidně. Evidentně jo, nic proti. Ale to neznamená, že to tak musí vypadat. Nemusí.
17.3.2021 15:39
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 16:21
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
To se všechno tiskne, protože přece nebudeš spravovat dms systém?Proč by se všechno mělo tisknout? A co je to vlastně to všechno? Jako argumentuješ úplně nesmyslně, já jednak neříkám, že firma nemá mít informační systém, ale to, že by ho třeba neměla vůbec neznamená, že to všechno musí dělat tím nejhorším způsobem, který tě zrovna napadne.
Nebo nebudeš spravovat informační systém, protože kdo umí s excelem, musí umět selecty do db, takže si vystačí jen s db klientem?Já myslím, že můj komentář v nějaké debatě s Frantou jasně ukazuje, co si o excelu nebo o sql schopnostech běžných uživatelů myslím. V každé firmě jsme měli vlastní informační systém vyvinutý přesně podle potřeb firmy a podle mě je to to nejlepší řešení. Info roste s firmou, je tam přesně to, co je potřeba. Ohýbat cizí systémy většinou dopadá dost špatně - buď tam něco není a dává se to do jiných k tomu neurčených systémů nebo je s tím spojená až příliš velká byrokracie. Ale tohle se může lišit, lze narazit i na firmy, u kterých je interní info dost peklo.
Nebudeš spravovat kamerové systémy, protože máme sekuriťáky, co mohou nahrávat záznam na do telefonu?Nejsem posedlý kamerama, ale ty sekuriťáky bych klidně před kamerou nechal projít fyzickými "testy"
. PornHub promazal videa, je potřeba to doplnit.
Nebudeš spravovat dveřní systémy, protože přece máme normální klíče?Nevím, co jsou "dveřní systémy" a je mi to jedno, ale trochu mi to připomnělo debatu o nových "zvonkách" v domě. Z výměny tabla kus za kus se vyklubal obousměrný dorozumívací systém s kamerou (protože všichni jsou posedlí kamerama). V tom se zjistilo, že nebude stačit kabeláž (kdo by to čekal, že), takže se natáhne nová. Jenže ani ta nestačí, protože je potřeba napájet všechny ty displaye v bytech a přenášet signál z kamery. Tak se na každé druhé patro dají zesilovače (upřímně řečeno nevím co to jako má být, protože kdyby se natáhla normální strukturka, tak není co řešit). Potom někdo přišel s tím, že tam chce kód / chip. Tak se vymyslel systém kódů. Když jsem se ptal, kdo to bude spravovat, tak jsem se dozvěděl, že já, protože jsem předseda (jak to souvisí nevím, ale je to univerzální výmluva členů). Takže to odkládám na až někdy, příští rok stejně končím a ať si to dělá kdo chce. Jestli chceš, můžeš nám spravovat "dveřní systém", jestli toho máš málo. A přesně tímto způsobem vzniká ten bordel v systémech. Sejde se sto lidí a každý z nich si vymyslí nějakou featuru, bez které se nedá žít. Což ale vůbec neznamená, že se musí implementovat.
Zatím jsi jen naznačil, že ty nemáš diverzifikovaný systém a nemáš 3rd nástroje, u kterých by jsi řešil licence.Ne. Pochopil jsi to špatně. Já jsem jen naznačil, že nemusím mít licencovaný systém. A když nemám licencovaný systém, potom nemusím řešit licence a systém na správu licencí. Takže ptát se mě na to, jak bych řešil něco je dost nesmyslné, mojí myšlenkou je nemít tam věc, pro kterou musím řešit něco extra. Nebo jich tam mít co nejméně a ještě tak, aby tvořily co nejméně nějakých skupin, které lze potom spravovat naráz. A časem se jich zbavit.
17.3.2021 18:42
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 20:07
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Minimálně vím o vmware, který jste měli a možná máte.Tak předně, já už tam déle než rok nejsem. To jen pro info. Ano, měli jsme vmware, já jsem byl od začátku proti a nikdy jsem se o licence nestaral. Nakonec ani o ten vmware, to prostě kolega nainstaloval a já jsem tam hrnul ty své virtuálky.
ale je to i tak od tebe docela pokryteckýNemyslím si. Rozhodovali jsme se mezi kvm a vmware, v testech vyhrálo kvm, chtěli jsme to nasadit a někdo (podotýkám ne jednatel, ten má právo "bouchnout do stolu" vždy) prosadil vmware proti tehdejších technikům. Není vůbec pokrytecké se nezajímat o něco, vůči čemu jsem předvedl více než dobrou alternativu. Jestli si někdo vybere řešení, které potom přináší vícepráce, tak je to jeho problém. Ale bych odpověděl, tak celé řešení licencí vmware bylo o tom, že jsme to kupovali od dodavatele hw, takže stejný kontaktní člověk, jako pro hw. Není na tom co víc řešit.
Takže jednoduše řečeno, vystačíš si s klíčema na ssh, protože nepotřebuješ řešit přístupy jinam. A na základě svých zkušeností s menší diverzifikací odsuzuješ ostatní řešení.Heron v kostce
Vzdejte to, Heron má vždycky pravdu a pokud něco děláte jinak, než on si myslí, jak byste to měl dělat, tak to děláte blbě. Příkladem jsou asi tak čtyři předchozí diskuze, které jsem tu s ním (nejenom já) za poslední měsíc vedl.
Nevím, co jsou "dveřní systémy",...No, rekl bych, ze uz to vis. Nicmene OT dotaz. To jste tam tak bohati, nebo uz to sem vali Cinan za levno nebo je to nejaka analogova vykopavka?
17.3.2021 21:32
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
18.3.2021 08:11
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Typicky spis nenastavujou nic, protoze kdyz nastoupi clovek, daji do ERPcka ID chipu, a podle toho jakou mu priradej pozici se mu samoserne nastavi kam muze.Jo, zrovna minulý týden jsem rozjížděl jednu čtečku a k nim karty a role, ovšem na místě, kde to má smysl. To panelák skutečně není.
a dobre se posad. Za JEDNY dvere chteli 80k!Sedat si nemusím, nám za jedny dveře chtěli účtovat i 120tis. Jako mě tohle až tak netankuje, kolegové ve výboru se nad tím občas rozčilují, já jim vždy říkám, že je to jenom nabídka, kterou nemusíme ani číst. Prostě to ty firmy zkouší.
Pro zajimavost, ta elektricka zapadka co ji mas u kazdych dveri v panelacich, stoji asi petikilo,Jo a už mě to nebaví vyměňovat. (Resp. vyměňoval jsem to asi 2x.
)
Schvalne bez, z dej si pozadavek, ze chces IP kameru se sifrovanim (aspon tls 1.2) a ipv6 ... sem zvedav jestli budes potrebuvat druhou ruku na pocitani.Raději ne. Mě stačí 3/4 roku patálií se střechařem. Jako není mě potřeba poučovat o každé kravině, já jsem dělal "všechno", ale nevidím sebemenší důvod cokoliv z toho tahat do paneláku. Nebo kamkoliv jinam. Je málo vybraných míst, kde něco z toho má v jisté míře smysl, ale tj asi tak všechno.
18.3.2021 08:59
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 09:24
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
18.3.2021 09:42
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 10:26
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
co ti tam budou zanechávat jehlyTak určitě... Já řeším reálné problémy. Mám kumulativní zkušenost 14 let ze dvou domů (96 + 72 bj) a kromě roku 2015, kdy nenávist k "jiným lidem" vystoupala do maxima a pobláznění členové navrhovali kde co všechno, tak reálně se řeší úplně jiné věci, jako třeba nábytek na chodbách domů (což se nelíbí požárnímu revizákovi a vlastníkům se zase nelíbí to, že to mají odstranit). Jehly, fetky, zlodějíčky, feťáky jsem nikdy neřešil a neznám z okolí předsedu, který by to řešil. Ve skutečnosti jsem několikrát řešil podvodníky, kteří na letáku mají logo policie čr, zaštitují se souhlasem SVJ (který nemají) a kteří nabízejí lidem školení "bezpečnosti", tak akorát prodávají předražené nové bytové dveře. Už jsem je vyhnal 2x. Podomní prodej je zakázán, takže příště na ně rovnou zavolám tu policii, kterou se zaštiťují.
18.3.2021 11:08
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 11:13
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
18.3.2021 13:19
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
23.3.2021 18:18
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Tak to je jasny ne? ... ;DHehe, tak mě už nabízeli i práci na prezidiu, ale s mým přístupem k nadřízenejm by to asi moc dobře nedopadlo.
Resils nekdy neco s vopicajtama?Já sám za sebe nikdy nic, ale policie mi x krát do roka volá při hledání nějaké podezřelé / pohřešované osoby (typicky domnělého nájemníka u nás v domě) a já jim pokaždé říkám, že nám vlastníci nájemníky nehlásí, takže to nevím.
V malým městě dřív mívali všichni odemčeno, teď si na noc rodinné domy také zamykají.?? Co je to "dřív" a "malé město"? Co já pamatuju (80. a 90. léta), tak se vždycky zamykalo. Panelák jak kde (když před domem bylyuž jenom pozemky JZD, tak na to lidi docela dlabali), rodinné domky si ale každý zamykal velmi paranoidně. Město cca 7k, v 4k totéž, menší města už snad ani nejsou.
18.3.2021 15:50
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 21:25
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 08:37
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 10:16
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 12:03
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 12:46
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
17.3.2021 13:01
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 14:37
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 15:14
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 16:32
otasomil | skóre: 39
| blog: puppylinux
cat /dev/urandom | tr -dc '2346789acefghjkmnprtuvwxyzACEFGHJKMNPRTUVWXYZ' | head -c 16
17.3.2021 18:58
Max | skóre: 72
| blog: Max_Devaine
17.3.2021 21:27
otasomil | skóre: 39
| blog: puppylinux
17.3.2021 22:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
prihlaseni do OS toto neresiAno, heslo do OS a k šifrovanému disku (kde je databáze password manageru) jsou jediná dvě hesla, která si musíš pamatovat.
spousta enterprise aplikaci se spusti ve fullscreenuUff, tohle jsem naštěstí nezažil. Pravděpodobně bych takovou aplikaci pouštěl ve virtuálu (protože to bude malware), takže v okně.
casto schranka nefungujeProto jsem si udělal klávesovou zkratku na následující skript:
slp=0.5 if [ $# -ge 1 ]; then slp=$1 fi w="`xclip -out`" sleep $slp; xdotool type --delay 40 "$w"Díky tomu můžu „pastovat“ i když se mi v tom např. geniální webdesignér snaží bránit, nebo to technicky moc dobře nefunguje (virtuál bez guest additions, VNC na nepodporovaný server, management konzole serveru). (navíc mohu skriptu předat jako parametr delší pauzu, pokud někdo odchytává veškeré klávesové zkratky - zdravíme vývojáře medium.com - takže můžu spustit, přepnout se do té aplikace a ono se to tam za pár sekund napíše samo).
Chapu ze jsou firmy limitovany poplatky za licence pro usery ale bohuzel jediny spravny reseni je co user to password tecka takze zadny ze vice lidi se bude prihlasovat na jeden ucetTo prostě nejde když má firma jeden firemní účet na CZC/Alze/DHL/FedExu.
17.3.2021 22:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
DHL/FedExuTeda, tady nějak účty asi spravovat jdou, ale je to takový pain (dělá se to přes lidský support), že to dělat nechcete. Alza a CZC to neumí vůbec.
17.3.2021 23:00
Josef Kufner | skóre: 70
Ano, heslo do OS a k šifrovanému disku (kde je databáze password manageru) jsou jediná dvě hesla, která si musíš pamatovat.Ještě třetí: k e-mailu.
slp, buď z prvního parametru příkazový řádky, nebo default 0.5 (asi by se dalo zjednodušít na slp=${1:-0.5} jestli si dobře pamatuju syntaxi).wslp) a pak se ten text ze schránky (proměnná w) pošle do simulátoru klávesnice (xdotool), takže efekt jako bys to ručně nacvakal na klávesnici.
18.3.2021 08:08
Max | skóre: 72
| blog: Max_Devaine
18.3.2021 12:38
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
18.3.2021 13:14
Josef Kufner | skóre: 70
pouzivam passwords extension pro Nextcloud, i s klienty na iOS a plugin do firefoxu
24.3.2021 07:58
skunkOS | skóre: 27
| blog: Tak nějak