Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.
3D tiskárny Original Prusa MK4S (a MK4) v kombinaci s Prusamenty PLA a PETG mají mezinárodně uznávanou certifikaci UL 2904 GREENGUARD, která potvrzuje splnění přísných bezpečnostních standardů pro VOC a UFP.
Byla vydána verze R1/beta5 open source operačního systému Haiku (Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání.
Sovereign Tech Fund (Wikipedie), tj. program financování otevřeného softwaru německým ministerstvem hospodářství a ochrany klimatu, podpoří Sambu částkou 688 800 eur.
Společnost OpenAI představila novou řadu svých AI modelů OpenAI o1 navržených tak, aby "strávily více času přemýšlením, než zareagují". Videoukázky na 𝕏 nebo YouTube.
Sailathon 24, tj. hackathon mobilního operačního systému Sailfish OS, proběhne od 27. do 30. září v Praze na Strahově ve školícím centru Silicon Hill.
Bylo vydáno Ubuntu 22.04.5 LTS, tj. páté opravné vydání Ubuntu 22.04 LTS s kódovým názvem Jammy Jellyfish. Stejně tak Kubuntu 22.04.5 LTS, Ubuntu Budgie 22.04.5 LTS, Ubuntu MATE 22.04.5 LTS, Lubuntu 22.04.5 LTS, Ubuntu Kylin 22.04.5 LTS, Ubuntu Studio 22.04.5 LTS a Xubuntu 22.04.5 LTS.
Byla publikována veřejná Výroční zpráva Bezpečnostní informační služby za rok 2023 (pdf).
Byla vydána nová verze 8.7 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.
Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 3. Na výběr je Mobian Phosh, Ubuntu 24.04 (GNOME) a Kubuntu 24.04 (KDE Plasma). Cena začíná na 699 dolarech.
Mel jsem potrebu si nakonfigurovat firewal dle svych potreb. Script je psany pro Slackware, ale i pro amatery jej lze volne doupravit i pro jine distribuce. Pouzil jsem v zakladu snad nejpouzivanejsi firewall od Mirka Petricka a doupravil dle svych potreb
Zadani bylo jednoduche:
Par rad pro zacinajici linuxare. Ulozte vse co je v neformatovanem textu do souboru rc.firewall a soubor ulozte v /etc/rc.d . Pote nastavte souboru prislusna prava doporucuji 755 (chmod 755 /etc/rc.d/rc.firewall). Pri prvotnim testovani pres SSH doporucuji si do crontabu napr co 5 minut nastavit reset firewalu (*/5 * * * * /etc/rc.d/rc.firewall stop 1> /dev/null). Usetrite si tim cestu k serveru :) . Ted hura k vlastnimu scriptu. Pro jednoduchost jsem ho ulozil i na Rapidshare.
#!/bin/sh # Start/stop/restart Firewall # Start firewall firewall_start() { if [ ! -r /etc/ip.conf ]; then # no config file, exit: echo "Soubor /etc/ip.conf neexistuje" else #################Zacatek FIREWALLu########################## #Nastaveni promennych ipecka=/etc/ip.conf #soubor s ipeckama, edituj a dodrzuj formatovani tj. IP 2xTAB a text nemusi ani mit # port1=1050 #Povolene port2=2050 #porty port3=3050 #pro IP obsazene v souboru mojeIP=777.777.777.777 #IP pro ktere je povolene uplne vse ################################################ #Dale uz needituj pokud nevis co delas ################################################ # rp_filter na zamezeni IP spoofovani #for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do # echo "1" > ${interface} #done #Nastaveni default pravidel iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Povoleni standatnich IP iptables -A INPUT -i lo -j ACCEPT # Pakety od navazanych spojeni jsou v poradku iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p ICMP --icmp-type echo-request -j ACCEPT #Povoleni administracni IP iptables -A INPUT -i eth0 -s $mojeIP -j ACCEPT cat $ipecka | awk '{ print $1}' | while read LINE ; do iptables -A INPUT -i eth0 -p TCP --dport $port1 -s $LINE -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport $port2 -s $LINE -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport $port3 -s $LINE -j ACCEPT done #uklizeni rm -rf /tmp/ip.tmp echo "Firewall nahozen" ###################Konec FIREWALLu################# fi } ################################################### # Stop Firewall: firewall_stop() { iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F echo " Firewall vypnut"; } ################################################### # Restart inetd: firewall_restart() { firewall_stop sleep 1 firewall_start } ################################################### case "$1" in 'start') firewall_start ;; 'stop') firewall_stop ;; 'restart') firewall_restart ;; *) echo "Pouziti $0 start|stop|restart" esac
Tiskni Sdílej:
Pokud mi muzes poslat jak by mel vypadat zapis budu jen rad.
$IPTABLES -A INPUT -p icmp -j ping $IPTABLES -A ping -p ICMP --icmp-type 0 -m limit --limit 5/s --limit-burst 20 -j ACCEPT $IPTABLES -A ping -p ICMP --icmp-type 3 -m limit --limit 5/s --limit-burst 20 -j ACCEPT $IPTABLES -A ping -p ICMP --icmp-type 8 -m limit --limit 5/s --limit-burst 20 -j ACCEPT $IPTABLES -A ping -p ICMP --icmp-type 11 -m limit --limit 5/s --limit-burst 20 -j ACCEPT
Dik zapracuju to tam. V limitech se nevyznam, necham to jak to mas ty.
Pár postřehů ze zběžného pročtení:
1. Použití souboru /tmp/ip.tmp
způsobem, jakým to děláte, je dost hrubá bezpečnostní chyba. Použijte mktemp
, adresář, který není world-writeable, nebo (což ale nestačí) ten soubor aspoň nejdřív smažte.
2. V tomto případě je navíc použití pomocného souboru úplně zbytečné, stačí použít rouru:
awk | while read ...; do done
3. Když konfigurační soubor neexistuje, firewall nenaběhne; to mi nepřipadá příliš rozumné. Nebylo by vhodnější, aby se k němu v takovém případě skript choval jako k prázdnému?
4. Mazání chainu INPUT
děláte příliš krkolomně, proč nepoužijete '-F
'?
5. Doporučuji nespoléhat na to, že aktuální konfigurace vypadá tak jako při startu systému resp. tak, jak vy ji při startu nastavíte, a vyčistit ji pořádně.
6. Pevné nastavení právě tří povolených portů - a navíc stejných tří pro každou adresu - není moc flexibilní.
7. Nemáte-li vážný důvod nepropouštět RELATED
pakety, udělal bych to.
8. Pořadí pravidel je vhodné volit s ohledem na efektivitu. Povolení ESTABLISHED
(a případně RELATED
) paketů bych dal hned za začátek nebo aspoň za lokální smyčku.
9. Psát '-p ALL
' je zbytečné
Wow Super dik, poucim se upravim
JL
Prvni dilci uspech roura pro AWK nasazena, zapis upraven
V Slacku je to tak, že pokiaľ sa nájde v /etc/rc.d/ súbor rc.firewall, tak sa pustí. Prečo je to tak, to vie Patrick.
to je kvůli tomuhle v /etc/rc.d/rc.inet2
# If there is a firewall script, run it before enabling packet forwarding. # See the HOWTOs on http://www.netfilter.org/ for documentation on # setting up a firewall or NAT on Linux. In some cases this might need to # be moved past the section below dealing with IP packet forwarding. if [ -x /etc/rc.d/rc.firewall ]; then /etc/rc.d/rc.firewall start fi
Čili, když sebereš (chmod -x rc.firewall
) spouštěcí bit u rc.firewall, tak se nespustí.
Nejde o to, jestli se spusti rc.firewall nebo ne, ale spis mi slo o to, ze cpat konfiguraci primo do init skriptu se mi zda prinejmensim nevhodne, ale osobne bych rek spis prasarna. Klidne at se spousti rc.firewall, ale ocekaval bych, ze ten skript nacte konfiguraci napr. z /etc/firewall.conf a to pak zpracuje. Jeden duvod muze byt, ze delam backup /etc excl. /etc/rc.d a /etc/init.d.
Dalsi duvod muze byt ten, ze kdyz bude rc.firewall s nejakou logikou, napr. prave nejake skupiny portu a hostu, a budou ten skript vyuzivat i ostatni, tak pri pripadnych upravach toho skriptu budou moct lidi udelat pouze cp src/rc.firewall /etc/rc.d/, protoze skutecna konfigurace bude v /etc/firewall.conf, kdezto kdyz jsou prikazy primo v tom rc.firewall, tak pri aktualizaci to nemuzou ostatni lidi jednoduse zkopirovat.
V tomhle skriptu je sice naznak konfigurace tak, ze IP adresy jsou ulozeny v externim souboru, ale porty jsou napevno v init skriptu. Klidne by v tom rc.firewall mohli zustat ty obvykly pravidla "povoleni established, related", nastaveni vychozich policy, ale zbytek (povoleni urcitych zdroju, cilu a/nebo portu) by mel byt ulozenej v jinem cfg. Tam by mohly byt i nejake "prepinace", jak by se mel firewall chovat, treba nejake hodnoty pro limit nebo logy.
iptables-save
a iptables-restore
má své výhody, ale také nevýhody. Rozhodně bych se to neodvážil označit za jednoznačně lepší volbu než použití klasického skriptu. Spíš naopak, osobně bych až na výjimky upřednostnil skript.
jasne, pomoci iptables-restore nemuzu udelat for cykly.
me nevadi pouzivat init skript s iptables prikazema, ale vadi mi, kdyz ty prikazy obsahuji konkretni hodnoty. Jak jsem napsal v 17:51, jsem pro pouzivani vlastniho init skriptu pro firewall bez pouziti iptables-restore, ale konfigurace musi byt ulozena separatne, ne v tom init skriptu - a klidne to muze delat to same jako iptables-restore, v lepsim pripade muze config soubor obsahovat nejaky pseudo programovaci/konfiguracni jazyk a ten skript by mel pouze zpracovat ten config file a podle toho nastavit firewall. Jak jsem psal, pri aktualizaci toho skriptu muzou jednoduse vsichni nahradit init skript novou verzi a vsechno funguje. Kdyz budou vsechny pravidla napevno v init skriptu, musi vsichni udelat diff a aplikovat jenom zmeny, ktery se netykaji jejich pravidel.