Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:
Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »Google Chrome 140 byl prohlášen za stabilní. Nejnovější stabilní verze 140.0.7339.80 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 6 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
LeoCAD (Wikipedie) je svobodná multiplatformní aplikace umožňující také na Linuxu vytvářet virtuální 3D modely z kostek lega. Vydána byla verze 25.09. Zdrojové kódy a AppImage jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.
RubyMine, tj. IDE pro Ruby a Rails od společnosti JetBrains, je nově zdarma pro nekomerční použití.
Český LibreOffice tým vydává překlad příručky LibreOffice Calc 25.2. Calc je tabulkový procesor kancelářského balíku LibreOffice. Příručka je ke stažení na stránce dokumentace.
Byla vydána (Mastodon, 𝕏) vývojová verze 3.1.4 příští stabilní verze 3.2 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání.
Zakladatel ChimeraOS představil další linuxovou distribuci zaměřenou na hráče počítačových her. Kazeta je linuxová distribuce inspirována herními konzolemi z 90. let. Pro hraní hry je potřeba vložit paměťové médium s danou hrou. Doporučeny jsou SD karty.
Komunita kolem Linuxu From Scratch (LFS) vydala Linux From Scratch 12.4 a Linux From Scratch 12.4 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází s Glibc 2.42, Binutils 2.45 a Linuxem 6.15.1. Současně bylo oznámeno vydání verze 12.4 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.
Organizátoři konference LinuxDays ukončili veřejné přihlašování přednášek. Teď je na vás, abyste vybrali nejlepší témata, která na letošní konferenci zaznějí. Hlasovat můžete do neděle 7. září. Poté podle výsledků hlasování organizátoři sestaví program pro letošní ročník. Konference proběhne 4. a 5. října v Praze.
Byla vydána verze 11.0.0 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek na GitHubu.
Občas není od věci vyslovit něco, za co se upaluje nebo ukamenovává. Nic není totiž tak jednoduché, aby byla pravda vždy jediná a na první pohled zřejmá.
Už jsem zase slyšel o zbytečnosti používání ICMP, včetně doporučení všechen ICMP provoz na firewallu zablokovat. Kdy už "odborníci" začnou přemýšlet...
Někdy, když slyším nebo čtu doporučení týkající se počítačové bezpečnosti, nevím, jestli se mám smát, brečet, anebo autorovi rad jemně prakticky naznačit, co mu nebozí uživatelé provedou. Spousta "bezpečnostních" doporučení totiž nadělá víc škody než užitku.
Jedním z typických příkladů tohoto druhu je poměrně často slýchaná rada, že by se měl zablokovat veškerý ICMP provoz. To je samozřejmě hovadina z nejhorších. Kdyby si autor takové rady aspoň přečetl třeba RFC 792 (a pokud možno ho i pochopil), snad by mluvil jinak. ICMP má pro provoz sítě dost závažný význam.
Je zajímavé, že kdekdo ví, že klasický ping využívá právě ICMP. Z toho také pramení zdůvodnění: "Nějakej blbej ping nebudeš potřebovat. A navíc nikdo nebude pingovat tebe, to je strašně důležitý." Ale to, že ICMP slouží především k signalizaci různých síťových problémů, asi ani netuší. A tak když se bude prohlížeč nekonečně dlouho a bez jakékoli odezvy zkoušet připojit na server, který je zrovna odstavený, bude proklínáno všechno (prohlížeč, OS, síť atd.), jen ne pravý viník.
Typické je také to, že ti, kdo dávají takové rady na "superzabezpečení počítače", mají na tom svém rootovské/adminovské heslo nastavené na "root" nebo "admin", dávno známé bezpečnostní díry nechávají nezazáplatované a v počítači jim nezřídka řádí několik červů či trojanů.
Tiskni
Sdílej:
root
na toor
(případně avatar
) a nezměnil jeho UID na 0x29A? už Vás letím hacknout grep -r 'whoami.*root' ${PATH//:/ }
), takže následky by asi byly. Navíc by asi bylo potřeba buď patchnout su, nebo si napsat vlastní nss modul, který by zjistil, jak se tento týden root vlastně jmenuje (když už chci něco utajit, tak to nenechám ve world-readable /etc/passwd).
b) Proti uhodnutelnému heslu roota nepomůže ani svěcená voda...
c) Když mám díru třeba v sshd, tak je jedno, jestli běží pod uživatelem 'root' nebo 'tidpolwic<' -- zlým hochům stačí, že běží s uid 0. To samé platí o chybách v jádře (viz třeba dnešní zprávičky).
#povoli jen potrebne ICMP zpravy iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPTV nasi siti jsem zavedl pravidlo ze je zakazano v osobnich firewallech blokovat ping a traceroute. To potom kdyz si jeden kluk pingal kam chtel, ale ja jsem si na nej neping a on mi 2 hodiny tvrdil ze firewall ma vypnutej... Pekne jsem byl nas... Ty co blokujou icmp uplne bych nejprve uskrtil, pak rozrezal, uvaril a povesil na namesti ostatnim pro vystrahu. Zdenek
No co ja vim tak standard je propoustet jen potrebny ICMP a zbytek pryc.aha, a číslo toho standardu? a jak se jako určuje, co je potřebné? podle nálady admina nebo podle předpovědi počasí? :-/
Ty co blokujou icmp uplne bych nejprve uskrtil, pak rozrezal, uvaril a povesil na namesti ostatnim pro vystrahu.Ty, co selektivně blokujou cokoliv jen na základě toho, že oni zrovna nic jiného nepotřebujou, bych nejprve uškrtil …
Když víte, že tomu nerozumíte, tak raději nic neříkejte… Místo toho se raději podívejte, jak je to s povolenými službami a nastavením firewallu při defaultní instalaci SuSE 9.3, které jste před chvílí tak strhal…
Z toho vseho vypliva
Plynout, ne plivat…
SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem.hm, před prvním loginem? - nebylo by to účelnější před inicializací síťového rozhraní? - nebo všechny ty virečky a červíci snad čekají, než se uživatel zaloguje? (možná jen blbě kecám, wokna jsem už dlouho neviděl instalovat, možná to "před prvním loginem" je opravdu před inicializací sítě? - ale moc tomu nevěřím, vím, že podobný problém, jako se líčí v blogu, má spousta lidí, a to že aby mohli stáhnout SP, musí se připojit k síti, a když se připojí k síti, tak bez SP jdou wokna do kytek asi tak za desetinu času, než se jim všechny záplaty stihnou stáhnout ...)
A jinak, jsem nesmeroval na to co je vice bezpecne nebo mene, ale na to, ze se to prosto musi nastavit. Nekde je to tak a nekde jinak.a není lepší, když je defaultní nastavení v souladu se standardy a použitelné beze změn (je-li to možné)?
Princip odepření přístupu - implicitní reakce služby musí být vždy odepření (zákaz). Teprve pak se povolují jednotlivá použití.ano, to je obzvlášť vypečený bod :-/
Dobrý den.
Dovolte, abych se představil. Jmenuji se Ivo a jsem provozovatelem serveru seznam.cz Nedávno jsem si v logu všimnul, že se na port 80 mojeho serveru pokoušel připojit počítač z IP adresy, která by dle našeho detektivního oddělení měla patřit Vaší firmě. To mě vede k důvodnému předpokladu, že byste rád využíval služeb našeho serveru. Pokud tomu tak skutečně je, prosím odešlete na adresu naší firmy notářsky ověřený certifikát o vlastnictví inkriminované IP adresy spolu s žádostí o povolení přístupu na standardizovaném formuláři ISVT-befelemepesseveze. Připomínám, že chcete-li využívat i jiných služeb, než http, jmenovitě https, smtp a pop3, je potřeba pro každou vyplnit samostatný formulář; naopak osvědčení o IP adrese stačí poslat jednou.
Na spolupráci se těší ...
p.s. veškerá podobnost se skutečností je čistě nezáměrná a náhodná, autor tohoto textu se zříká jakékoliv zodpovědnosti, (c) kavol 2005 - all your penízky are belong to U.S.
... a bez jakykoliv site.pochopitelně je míněna i ta elektrická napájecí, že