Stát, potažmo ministerstvo vnitra plánuje zřízení nového, neveřejného virtuálního operátora, který by byl primárně určený na zajištěni kritické infrastruktury státu. Cílem je zajistit udržitelné, bezpečné, mobilní, vysokorychlostní datové a hlasové služby umožňující přístup ke kritickým aplikacím IZS a krizového řízení.
Byla vydána nová verze 10.0 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnout lze nové balíčky ownCloud Infinite Scale a Uptime-Kuma.
Byla vydána nová verze 3.0.8 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.
Microsoft poskytl FBI uživatelské šifrovací klíče svého nástroje BitLocker, nutné pro odemčení dat uložených na discích třech počítačů zabavených v rámci federálního vyšetřování. Tento krok je prvním známým případem, kdy Microsoft poskytl klíče BitLockeru orgánům činným v trestním řízení. BitLocker je nástroj pro šifrování celého disku, který je ve Windows defaultně zapnutý. Tato technologie by správně měla bránit komukoli kromě
… více »Spotify prostřednictvím svého FOSS fondu rozdělilo 70 000 eur mezi tři open source projekty: FFmpeg obdržel 30 000 eur, Mock Service Worker (MSW) obdržel 15 000 eur a Xiph.Org Foundation obdržela 25 000 eur.
Nazdar! je open source počítačová hra běžící také na Linuxu. Zdrojové kódy jsou k dispozici na GitHubu. Autorem je Michal Škoula.
Po více než třech letech od vydání verze 1.4.0 byla vydána nová verze 1.5.0 správce balíčků GNU Guix a na něm postavené stejnojmenné distribuci GNU Guix. S init systémem a správcem služeb GNU Shepherd. S experimentální podporou jádra GNU Hurd. Na vývoji se podílelo 744 vývojářů. Přibylo 12 525 nových balíčků. Jejich aktuální počet je 30 011. Aktualizována byla také dokumentace.
Na adrese gravit.huan.cz se objevila prezentace minimalistického redakčního systému GravIT. CMS je napsaný ve FastAPI a charakterizuje se především rychlým načítáním a jednoduchým ukládáním obsahu do textových souborů se syntaxí Markdown a YAML místo klasické databáze. GravIT cílí na uživatele, kteří preferují CMS s nízkými nároky, snadným verzováním (např. přes Git) a možností jednoduchého rozšiřování pomocí modulů. Redakční
… více »Tým Qwen (Alibaba Cloud) uvolnil jako open-source své modely Qwen3‑TTS pro převádění textu na řeč. Sada obsahuje modely VoiceDesign (tvorba hlasu dle popisu), CustomVoice (stylizace) a Base (klonování hlasu). Modely podporují syntézu deseti různých jazyků (čeština a slovenština chybí). Stránka projektu na GitHubu, natrénované modely jsou dostupné na Hugging Face. Distribuováno pod licencí Apache‑2.0.
29.5.2014 22:57
| Přečteno: 2574×
| Python
| 
| poslední úprava: 28.4.2016 18:25
Skript pro automatickou aktualizaci aplikací FireFox, Thunderbird atp., které stahuje z ftp.mozilla.org, svůj průběh loguje do souboru, případně odesílá e-mail s reportem.
Závislosti v Debian Wheezy/Jessie jsou:
# aptitude install python2.7 libpython2.7-stdlib libpython2.7-minimal python-gpgme python-pycurl
Nejprve si ve stručnosti popíšeme jak skript funguje.
Nyní přistoupíme k vlastní akci. Nejprve si stáhneme a rozbalíme vlastní skript s konfiguračními soubory:
$ wget http://www.fuky.org/update_package/update_package-1.0.6.tar.bz2 $ tar xf update_package-1.0.6.tar.bz2
Stáhneme a ověříme veřejný klíč:
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/KEY
Importujeme stažený veřejný klíč do ~/.gnupg/pubring.gpg:
$ gpg --import KEY
Vypíšeme si informace o veřejných klíčích:
$ gpg --list-keys /home/fuky/.gnupg/pubring.gpg ------------------------------------- pub 4096R/3A06537A 2013-07-16 uid Mozilla Software Releases <releases@mozilla.org> sub 4096R/15A0A4BC 2013-07-16 [expires: 2015-07-16]
Zjistíme fingerprint subklíče:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
$ gpg --fingerprint --fingerprint 15A0A4BC
pub 4096R/3A06537A 2013-07-16
Key fingerprint = 2B90 598A 745E 992F 315E 22C5 8AB1 3296 3A06 537A
uid Mozilla Software Releases <releases@mozilla.org>
sub 4096R/15A0A4BC 2013-07-16 [expires: 2015-07-16]
Key fingerprint = 5445 390E F5D0 C2EC FB8A 6201 057C C3EB 15A0 A4BC
Nastavíme fingerprint v našem konfiguračním souboru:
$ vim update_firefox.cfg fingerprint = 5445390EF5D0C2ECFB8A6201057CC3EB15A0A4BC
Vytvoříme si cílový adresář pro rozbalení archívu (pro testy /tmp/opt, naostro /opt):
$ mkdir /tmp/opt
Spustíme vlastní skript:
./update_package.py update_firefox.cfg
Informace o průběhu nalezneme v logu:
$ cat update_package_firefox.log Installed version = None Remote version = 29.0.1 curl 'http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/cs/../../SHA512SUMS' curl 'http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/cs/firefox-29.0.1.tar.bz2' curl 'http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/cs/../../SHA512SUMS.asc' Create symbolic link '/tmp/opt/firefox-29.0.1' '/tmp/opt/firefox' firefox-29.0.1 installation successful
Jste-li s funkcí skriptu spokojeni můžeme přistoupit ke spouštěním pod uživatelem root, stačí si adresář se skriptem a konfiguračními soubory nakopírovat do /opt, nezapomenout nakopírovat veřejný klíč i uživateli root:
# cp /home/user/.gnupg/pubring.gpg ~/.gnupg
a změnit v *.cfg cílový adresář:
[DEFAULT] pkg_dir = /opt
Skript můžeme automaticky spouštět např. pomocí Cronu každý den v 05:00 ráno:
# crontab -e 0 5 * * * /opt/update_package/update_package.py update_firefox.cfg
Vše potřebné můžeme nastavovat v konfiguračním souboru, který se předává programu jako první argument. Zadává se pouze název konfiguračního souboru bez cesty, protože se *.cfg hledá přímo v adresáři kde se nachází skript.
Pokud chceme zaslat upozornění v případě vyjímky (např. špatně podepsaný soubor s checksumy, neodpovídající checksum atp.) nebo úspěšné instalaci nové verze e-mailem, tak to povolíme v následující sekci *.cfg:
[mail] enable = 1 smtp = smtp.example.org subject = Update firefox from = admin@example.org to = user@example.org
Následující nastavení odpovídá rozbalení do adresáře /opt/firefox-VERSION a vytvoření symbolického linku /opt/firefox na tento adresář:
[DEFAULT] pkg_name = firefox pkg_dir = /opt pattern_dir = ^firefox-(?P<version>.+)$ change_destination_dir = 1 [version] file_cfg =
Číslo verze se v tomto případě zjišťuje z názvu adresáře, na který ukazuje symbolický link.
Pokud chceme, aby se nám archív rozbaloval přímo do adresáře /opt/firefox a předtím tento adresář smazal tak upravíme následující nastavení:
[DEFAULT] change_destination_dir = 0 [version] file_cfg = platform.ini section = Build option = Milestone
Číslo lokální verze se poté bude zjišťovat v /opt/firefox/platform.ini.
Chceme-li instalovat českou verzi místo anglické, tak níže změníme en-US na cs:
pkg_url = http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/en-US checksum_fn_prefix = linux-x86_64/en-US/
Obdobně můžeme měnit i cílovou platformu, případně stahovat i jiné aplikace od Mozilla Foundation.
VALUE = { SIGSUM_KEY_EXPIRED = 32, SIGSUM_KEY_MISSING = 128 }
Klíči 3A06537A vypršela platnost 2015-07-16 a Mozilla ho použila i po jejím vypršení, takže skript končil s chybou 32. S dalším releasem Mozilla vydala nový klíč a skript skončil s chybou 128. Stačí odstranit starý klíč:
# gpg --delete-key 3A06537A pub 4096R/3A06537A 2013-07-16 Mozilla Software Releases <releases@mozilla.org> Delete this key from the keyring? (y/N) y
Stáhnout a importovat nový:
# gpg --import KEY gpg: key D98F0353: public key "Mozilla Software Releases <releases@mozilla.org>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1) # gpg --list-keys pub 4096R/D98F0353 2015-07-17 uid Mozilla Software Releases <releases@mozilla.org> sub 4096R/5E9905DB 2015-07-17 [expires: 2017-07-16]
A aktualizovat fingerprint v konfiguračním souboru:
fingerprint = F2EF4E6E6AE75B95F11F1EB51C69C4E55E9905DB
Od 21.10. 2015 je změněný web mozilla.org, proto je třeba použít novou verzi update_package-1.0.2, která s novým webem počítá.
Od 17.11. 2015 je změněný web mozilla.org, proto je třeba použít novou verzi update_package-1.0.4, která s novým webem počítá.
09.03. 2016 - update_package-1.0.5 - bugfix: počítá s více mezerami v souboru SHA512SUMS.
28.04. 2016 - update_package-1.0.6 - řeší vyjímku "Exception: CHECKSUM not found", která začala nastávat, protože Mozilla změnila formát názvu souboru uvedeného v SHA512SUMS od verze FireFoxu 46.0.
Máte-li náměty na vylepšení či dotazy, případně pokud jsem opomněl něco důležitého zmínit, piště do diskuze.
Tiskni
Sdílej:
29.5.2014 23:16
Max | skóre: 72
| blog: Max_Devaine
29.5.2014 23:53
Fuky | skóre: 52
| blog: 4u
ad 1. Je jedno zda-li stáhnu archív přes http nebo https, pokud mám správný veřejný klíč, tak mám i ověřeno, že archív pochází od majitele klíče privátního. Co by podle tebe přineslo https?
ad 2. Mě osobně napadá hned několik použití. Server, který poskytuje systém přes NFS X bezdiskovým PC (v tomto případě je vlastní repozitář zbytečný, využíval by ho pouze tento server). Binárky pro balíček ve vlastním repozitáři musím také někde stáhnout, což zařídí právě tento skript, pak už není problém automaticky vygenerovat a podepsat balíček. Jak by jsi to udělal bez něj?
30.5.2014 09:45
Fuky | skóre: 52
| blog: 4u
30.5.2014 07:11
Max | skóre: 72
| blog: Max_Devaine
30.5.2014 09:25
Fuky | skóre: 52
| blog: 4u
ad 1. Dle mého názoru je nejvíce kritické místo získání veřejného klíče. Pakliže není tento klíč podvržený a autorům není odcizen klíč privátní, tak nevidím příliš prostoru pro to, aby někdo podvrhu vlastní verzi archívu, případně využil "replay attack".
ad 2. Vycházím z předpokladu, že se na http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest nachází vždy nejnovější verze. Je tedy pravda, že by útočník mohl podvrhnout sice oficiální verzi od Mozilla Foundation, ale mohla by to být verze starší, která obsahuje více známých a snadněji zneužitelných bezpečnostních chyb. Tento problém vyřeším tak, že ještě před instalací budu kontrolovat verzi přímo v archívu firefox/platform.ini a nebudu porovnávat verze jako řetězce, ale jako sekvenci čísel, s tím, že nově instalovaná musí být větší.
cat firefox-update.sh
if [[ $# -eq 0 ]] ; then
echo 'Argument je meno stiahnuteho suboru firefoxu v tvare firefox-29.0.1.tar.bz2'
exit 1
fi
rm /usr/lib/firefox/ -fr
cd /usr/lib/
tar xvjf /home/jj/Downloads/$1
rm /usr/bin/firefox
ln -s /usr/lib/firefox/firefox /usr/bin/firefox
2.6.2014 12:35
Fuky | skóre: 52
| blog: 4u
30.5.2014 17:58
Petr Tomášek | skóre: 39
| blog: Vejšplechty
$ wget http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/KEY $ gpg --import KEY
nasrat
30.5.2014 18:46
Fuky | skóre: 52
| blog: 4u
30.5.2014 19:09
Petr Tomášek | skóre: 39
| blog: Vejšplechty
31.5.2014 01:12
Fuky | skóre: 52
| blog: 4u
Ano, věta "Stáhneme a ověříme veřejný klíč" není jednoznačná, upřesním jí tedy. Milý uživateli Petře, stáhni si veřejný klíč, klidně pomocí "wget http://" a ověř si jeho pravost jak jsi zvyklý, podle svého nejlepšího vědomí a svědomí.
Každý jsme totiž jinak paranoidní. Někdo důvěřuje certifikátu podepsanému od DigiCert Inc, někdo i certifikátu podepsanému od DigiCert Sdn. Bhd. Další zase věří, že se mirroru nemůže nikdo zmocnit. A někdo zase pro změnu kontroluje fingerprint veřejného klíče na více nezávislých místech. Rozebírat to by vydalo na článek.
Bude fajn, když se s námi podělíš o informace jak to řešíš ty, kde vidíš potencionální nebezpečí a co už je podle tebe příliš paranoidní.
2.6.2014 08:38
David Watzke | skóre: 74
| blog: Blog...
| Praha
30.5.2014 19:45
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
1.6.2014 14:04
pavlix | skóre: 54
| blog: pavlix
2.6.2014 13:59
Fuky | skóre: 52
| blog: 4u
Z mé strany je motivace následující:
2.6.2014 16:05
pavlix | skóre: 54
| blog: pavlix
nejčerstvější verze by měla mít bezpěčnostní aktualizace rychleji než verze ESR, ze které čerpá DebianJe vcelku běžné, že distribuce implementují bezpečnostní opravy ve stejnou dobu jako upstream, takže toto zdůvodnění nelze aplikovat bez analýzy bezpečnostních problému konkrétního software v konkrétní distribuci. Často může být tento přístup naopak kontraproduktivní kvůli zanesení bezpečnostních chyb ještě před jejich odhalením. Ostatní body nepovažuju za motivaci, nýbrž obhajobu.
2.6.2014 19:59
Fuky | skóre: 52
| blog: 4u
Pokud mám správné informace, tak momentálně by to mělo fungovat tak, že se udělá nejprve aktualizace nejnovější verze FireFoxu, posléze se udělá backport do verze ESR a ten převezme i tým Debianu. S časem bude aktuální verze FireFoxu vzdálena verzi ESR víc a víc. Takže předpokládám, že nejvíce úsilí se zaměřuje právě na aktuální verzi.
Není to obhajoba, snažil jsem se reagovat na "minimálně jeden pádný důvod, proč to nedělat" a "alternativní přístup", jen jsem se snažil uhádnout co konkrétně jsi měl na mysli.
3.6.2014 06:49
pavlix | skóre: 54
| blog: pavlix
Pokud mám správné informace, tak momentálně by to mělo fungovat tak, že se udělá nejprve aktualizace nejnovější verze FireFoxu, posléze se udělá backport do verze ESR a ten převezme i tým Debianu.Chceš říct, že má Firefox v Debianu výjimku a jeho bezpečnostní problémy se ve stable řeší čekáním na opravu v ESR? Máš pro to nějaký relevantní zdroj?
3.6.2014 08:47
Fuky | skóre: 52
| blog: 4u
Mrkni se na iceweasel - several vulnerabilities. Mmj. je pro mě důležité mít FireFox s opravovanými chybami i v oldstable, ale na to nemá Debian kapacity, skript to opět řeší...
3.6.2014 09:02
pavlix | skóre: 54
| blog: pavlix