Copilot automaticky vkládal do pull requestů 'propagační tipy', reklamní text se na GitHubu objevil ve více než jedenácti tisících pull requestech. Po vlně kritiky byla tato funkce zablokována a produktový manažer Tim Rogers připustil, že umožnit Copilotovi upravovat cizí pull requesty bez vědomí autorů byla chyba.
Je 31. března a tedy Světový den zálohování (World Backup Day). Co by se stalo, kdyby Vám právě teď odešel počítač, tablet nebo telefon, který používáte?
Digitální a informační agentura (DIA) přistupuje ke změně formátu důvěryhodného seznamu České republiky z verze TLv5 na verzi TLv6, která nastane 29. dubna 2026 v 00:00 (CET). Ke změně formátu důvěryhodných seznamů členských států (tzv. Trusted Lists) dochází na základě změn příslušné unijní legislativy. Důvěryhodné seznamy se používají v rámci informačních systémů a aplikací zejména pro účely ověřování platnosti elektronických
… více »Rspamd (Wikipedie), tj. open source systému pro filtrování nevyžádané pošty, byl vydán v nové major verzi 4.0.0. Přehled novinek v Changelogu.
SolveSpace (Wikipedie), tj. multiplatformní open source parametrický 2D/3D CAD, byl vydán v nové verzi 3.2. Přehled novinek v Changelogu na GitHubu. Vyzkoušet lze novou oficiální webovou verzi.
Organizátoři Dne IPv6, tradiční akce věnované tématům spojeným s tímto protokolem, vyhlásili Call for Abstracts. Na webu konference mohou zájemci přihlašovat příspěvky o délce 20 nebo 40 minut či 10minutové lighting talky a to až do 30. dubna. Tvůrci programu uvítají návrhy přednášek z akademického i komerčního sektoru, které mohou být technického i netechnického zaměření. Den IPv6 se letos uskuteční 4. června a místem konání bude i
… více »Euro-Office (Wikipedie) je evropský fork open source kancelářského balíku OnlyOffice. Za forkem stojí koalice firem IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian a BTactic. Cílem je zajistit digitální suverenitu Evropy a snížit závislost na neevropských platformách. Projekt vznikl mimo jiné v reakci na nedávné uzavření cloudové služby OnlyOffice. OnlyOffice obviňuje Euro-Office z porušení licenčních podmínek. Na možné problémy upozorňuje i Collabora Online. Jednostranná změna licence není v pořádku.
Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.
Během akce Arduino Days 2026 byl publikován Arduino Open Source Report 2025 (pdf) a oznámeno 7 nových produktů kompatibilních s deskou UNO Q (Arduino USB-C Power Supply, USB-C Cable, USB-C Hub, UNO Media Carrier, UNO Breakout Carrier, Bug Hopper, Modulino LED Matrix).
Google v pátek spustil v Česku Vyhledávání Live. Tato novinka umožňuje lidem vést plynulou konverzaci s vyhledávačem v češtině. A to prostřednictvím hlasu, nebo prostřednictvím toho, na co ukážou svým fotoaparátem či kamerou v mobilu. Rozšíření této multimodální funkce je možné díky nasazení Gemini 3.1 Flash Live, nového hlasového a audio modelu, který je od základu vícejazyčný, takže umožňuje lidem po celém světě mluvit na vyhledávač přirozeně a v jazyce, který je jim nejbližší.
8.10.2025 06:25
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
klientská stanice nemá IP adresu z povoleného rozsahuNejen proto fail2ban nepoužívám a nejde pouze o povolený rozsah. Jednou jsem se chtěl připojit na svůj server od jednoho klienta, abych mu vyčistil jeho napadenou síť a nedostal jsem se k sobě na server. Potom jsem přijel domů a zjistil jsem, že z jeho adresy někdo zkouší hesla na ssh (používám samozřejmě klíče) a byla tam jeho adresa. V tu chvíli letěl fail2ban z domu. Tohle je fakt kravina. Každá služba si to umí řídit sama, všechno lze dělat přes velké klíče, takže je to k ničemu. A DDOS to stejně nevyřeší, protože to dřív zahltí linku, než procesor.
Ty povolené rozsahy jsou na straně NFS exportu. Pokud nemáš pro svou IP povolený přístup, tak si profil nepřipojíš. Proto ta SSH brána. Kdo chce, ten pak může použít sshfs.
A to že ti nefungoval fail2ban jak měl může mít více příčin. Přesněji řečeno - problém může nastat po aktualizaci, pokud se objeví chyba v konfiguraci, způsobená změnou defaultního nastavení, nebo přejmenováním funkce v některém distribučním filtru, pokud ho používáš. Zmíním se o tom v dalším blogpostu. Teda pokud ho dopíšu.
8.10.2025 09:49
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?
Fail2ban umožňuje i jiné akce než ban IP adresy či rozsahu. Klidně jsi ho mohl nechat, aby si útočník luštil křížovky, když ho to baví.
A co tedy používáš místo něj na eliminaci otravných agentů?
Já tedy podle tvých měřítek budu asi větší kruťas, protože automaticky banuji vše co smrdí AI. Nevidím totiž sebemenší rozumný důvod pro to, aby si můj obsah přežvykovaly servery (a projekty) týpků jako je Zuckerberg, Bezos, Musk, Gates, Shuttleworth či ten „linuxový fanda” od Apple co už se smaží v pekle, na jehož jméno si teď ani nemohu vzpomenout.
8.10.2025 11:20
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?Ty snad zjišťuješ majitele každý IP, která ti skončí na blacklistu a ještě jim píšeš?
A co tedy používáš místo něj na eliminaci otravných agentů?Nic. Mám firewall, kde jsou povolené IP nebo rozsahy pro firmy. Každé IP je ve smlouvě, takže se ví, kdo to je. A přístup je většinou přes klíče.
Já tedy podle tvých měřítek budu asi větší kruťas, protože automaticky banuji vše co smrdí AI. Nevidím totiž sebemenší rozumný důvod pro to, aby si můj obsah přežvykovaly servery (a projekty) týpků jako je Zuckerberg, Bezos, Musk, Gates, Shuttleworth či ten „linuxový fanda” od Apple co už se smaží v pekle, na jehož jméno si teď ani nemohu vzpomenout.Dobře, ale tak já píšu články pro celý svět a jestli si to přelouská Google, Bing, nebo nějaká AI je mi celkem jedno. Alespoň se konečně naučí spravovat servery a já budu mít někdy klid
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?Ty snad zjišťuješ majitele každý IP, která ti skončí na blacklistu a ještě jim píšeš?
Pokud je to můj klient, tak to považuji za samozřejmost. Ty ne?
A co tedy používáš místo něj na eliminaci otravných agentů?Nic. Mám firewall, kde jsou povolené IP nebo rozsahy pro firmy. Každé IP je ve smlouvě, takže se ví, kdo to je. A přístup je většinou přes klíče.
No tak to jsi v diametrálně jiné situaci než já, nemyslíš? Já netuším z jaké řiti světa se ten student zkouší zrovna připojit.
Já píšu články na základě informací vyhrabaných všude možně. Opravdu nestojím o to, aby je přežvykovala nějaká AI a předávala dál v jiném kontextu než jim náleží. Ať si Musk napíše tu svou alternativu Wikipedie sám. Ne, že ji vydojí a převypráví po svém.
8.10.2025 15:14
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Pokud je to můj klient, tak to považuji za samozřejmost. Ty ne?Jenže tohle nebyl klient, který se měl připojovat ke mě domů. Byl to firemní klient, kam jsem přijel řešit jeho napadenou síť. A to, že jej mám na blacklistu jsem zjistil opět až doma a to byla jeho síť už v pořádku.
Já netuším z jaké řiti světa se ten student zkouší zrovna připojit.No to já často také nevím, ale od toho jsou klíče. Pokud má 4096b klíč podepsaný mojí autoritou, tak se dostane i do PostgreSQL, na web apod.
Jenže tohle nebyl klient, který se měl připojovat ke mě domů.
Jo táák. Tak to z příspěvku jasné nebylo. Ke mně domů se nikdo nemá co hlásit, takže mi běží SSH na úplně jiném portu. Ovšem momentálně by se skrze moji domácí SSH gateway nikdo nikam neprotuneloval. V srpnu jsem se totiž konečně plácnul přes kapsu, abych realizoval již velmi dlouho odkládanou aktualizaci HW. Jenže tím jak toho bylo letos hodně ve škole jsem se zdržel a když jsem se konečně dostal k tomu abych to seskládal, vyšlo najevo že je vadný motherboard a tak čekám, už skoro měsíc, až se jim uráčí dořešit reklamaci. Momentálně jim zbývají ještě 4 dny. Prča bude, když se ukáže chyba v procesoru. S takovou se mi ten stroj podaří konečně rozjet nejdřív až po novém roce.
8.10.2025 16:11
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Tak já řeším v zásadě jen čtyři fyzické stroje, včetně mého notebooku. Ty tři co jsou v serverovně jsem viděl naposledy při blackoutu. Stroje v laborkách nepočítám, na těch nic není a turtleboty momentálně buď nikdo nevyužívá, nebo s nima není problém. Disklessová infastruktura se po sjednocení výrazně zjednodušila. Virtualizovaný LDAP už je odeslaný do háje, i když stále běží a je použitelný. Místo dvou DHCP serverů už běží jenom jeden. Jeden virtuální diskless řeší ty uživatelské účty. Na dalším virtuálním disklessu jede v dockeru webová appka pro jeden projekt. Pak je tam ta ssh brána, wiki je nezávislá a to je asi tak všechno.
Můj privátní server kde je wiki je také virtuál. Hostovaný samozřejmě jinde.
8.10.2025 18:30
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
8.10.2025 23:04
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
8.10.2025 23:05
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Plán je, že mi to bude fungovat podobně jako ve škole. Jelikož disky řachtají, bude hlavní datové úložiště vypnuté. Ta SSH gateway je absolutně tichá a nežere nic. Nejdříve se na ni pošle signál, kterým se nahodí (nebo probudí uspané) datové úložiště a pak už to pojede přes nějakou VPN.
Moje SSH brána u mě v pokoji..
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.czspike (SCHROT) :~# sensors
k10temp-pci-00c3
Adapter: PCI adapter
temp1: +41.0°C (high = +70.0°C)
(crit = +90.0°C, hyst = +88.0°C)
spike (SCHROT) :~# uptime
16:12:51 up 28 days, 18:59, 0 users, load average: 0,04, 0,03, 0,00
Je podlé a odporné, jak ve snaze obrátit emoce vůči protivníkovi, se vytahují děti. Jako by protistrana žádné děti, které zabíjejí pro změnu jejich bomby, neexistovaly a neumíraly.
Teď je v módě se pohoršovat, že rusové útočí drony. Zřejmě už se pozapomnělo, že to byli ukrajinci, kdo je začal využívat nejenom k průzkumu, ale i k útoku. A mnozí tu hýkali veselím, když komentovali videozáznamy z těch útoků.
Stejně tak je to i s útoky na energetická zařízení. Pro rusy platí jenom jedna logika. Pokud ti někdo něco udělá, vrať mu to stonásobně, a podruhé už to neudělá.
10.10.2025 17:45
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
A ti co sestřelili civilní letadlo Malaysia Airline byli také pouze fotbaloví fanoušci Šachtaru?Pravdepodobne nejvetsi whataboutisticka demagogie, co jsem tady cetl za dlouhou dobu. Ale pravda, na ruskou propagandu nechodim, stejne tak jako nechodim k Cemperovi nebo Forum24. Ale citim jiste poteseni z toho krouceni se "lepsolidi" od vysledku voleb.
V laborkách jiné nemá, zakulený motýle.
Systemd časovače (timery), jsou lepší. Z mého hlediska tedy rozhodně, protože je pak mnohem jednodušší kombinovat konfigurační vrstvy.
Ten rc.local je na jednu stranu historický relikt, na stranu druhou, tím kdy se spouští umožňuje realizovat věci, které mají závislosti na předchozích unitách, aniž by vyžadovaly unitu vlastní.
Pokud jde o ten Network-manager. Ptačí mozek, jaký má Žako, to nepobere, ale významně zjednodušuje nastavení zavaděče. Ten předá UEFI jen to, odkud si má stáhnout jádro a ramdisk. Žádné další parametry nejsou nutné. Zbytek (parametry podle kterých se tahá konfigurace) přijede přes DHCP. A ta může být taková, že se už netahá nic (pokud má ta mašina keš). Sendvič se nahodí a konektivita už může být zajištěna úplně jiným kanálem. Pokud vůbec. Pokud to chceš řídit píšťalkou, stačí jenom blbý skript, co navěsíš na audio input.
8.10.2025 06:13
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Upozornil někdo pana profesora na to, že si to pak bude muset bez těch lidí vyřizovat sám?Upozornil někdo Aleše, že od toho máme IT? To, že úředníky vůbec k ničemu nepotřebujeme jsem plně pochopil už v roce 2008, kdy jsem nastoupil do QCM. Na stole jsem za 12 let neměl jediný papír, zákon o elektronickém podpisu mám už od velkého třesku, takže stačí poslat podepsaný email (žádnou datovku) a prostě to dle zákona je podepsané a platí to.
8.10.2025 06:20
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
na chybu v souboru rc.localDoporučuju místo toho používat jednotlivé unity typu oneshot - lépe se kontroluje, co proběhlo a dá se to restartovat. Pokud selže řádek v rc.local, tak se zbytek buď neprovede a nebo je potřeba si tam vytvořit detekci chyb, ty ručně logovat apod. Systemd je v tomto opravdu lepší a rc.local jsem nepoužíval ani za system V rc.d. Na vše jsem si psal vlastní služby.
IP adresa je statická, ale co když do toho kecá Network-manager?!Všechny adresy by měly být v jenom manageru sítě, já používám systemd-networkd (viz můj článek z roku 2017 (https://www.heronovo.cz/index.php/2017/04/23/nastaveni-site-pomoci-systemd-networkd/). Je hloupost nastavovat další IP adresy jinde. V systemd to lze rozdělit a mít pro každou službu vlastní konfig s nastavením sítě. Já to používám pro bridge a nspawn.
Dík za knížecí radu, ale nepochopil jsi ani to, že ta komunikace je o více stranách. Fail2ban hlídá jenom příchozí komunikaci. Jeho účelem je eliminovat ty, co se pokouší něco obejít. Ty rozsahy se týkají NFS připojení. To má své limity, proto musí být jasně dané kdo si co může a jak připojit. Uživatelské profily se mountují přes NFSv4. Vrstvy přes NFSv3, ale jen read-only. RW přístup na uživatelské účty přes NFSv3 má pouze jeden stroj, který má pouze jednoho lokálního uživatele, který má místo loginu navěšený skript, co na základě parametrů přijatých přes úspěšné SSH připojení založí adresář a nastaví práva - čímž k němu tenhle speciální uživatel ztratí přístup.
Stroj, o kterém je v blogu řeč, funguje jako SSH brána už téměř 10 let. A ten rc.local se používá proto, že k nastavení routování a pravidel pro firewall stačí všeho všudy 4 řádky. Je to full-diskless a ten žádný management sítě nepotřebuje, protože musí mít funkční připojení dříve než najede systém. Ale jak jsem zmínil. Základ je jednotný, proto je tam dnes i network manager, jenže ten v takové situaci dělá bordel, pokud není IP adresa v DHCP zafixovaná na MAC.
8.10.2025 07:40
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
A ten rc.local se používá proto, že k nastavení routování a pravidel pro firewall stačí všeho všudy 4 řádky.Jenže to i v systemd-networkd. Pokud je to distro se systemd, tak nemá smysl jej obcházet. Reaguje i na události, takže pokud zapnu nspawn kontejner, tak má automaticky adresu na bridge, kam patří.
Je to full-diskless a ten žádný management sítě nepotřebuje, protože musí mít funkční připojení dříve než najede systém.V tom případě dostane vše z DHCP a konfigurace sítě tam vůbec nemusí být, tohle jsme měli pro některé single use servery.
Základ je jednotný, proto je tam dnes i network manager, jenže ten v takové situaci dělá bordel, pokud není IP adresa v DHCP zafixovaná na MAC.Pokud se používá DHCP, tak veškerá konfigurace sítě musí být tam. Mít kombinace neznámých MAC se statickými adresami dělá jen nepořádek.
administrátora dělám od rok 2003
Já taky tak, ale podmínky a prostředí ve kterém jsem dělal tehdy a ve kterém dělám teď, jsou úplně jiné. Tenkrát jsem měl venku pouze jeden stroj, na který byl zevnitř přístup jen jedním portem přes HTTP proxy. To je dnes na úrovni jedné laborky.
Přijeď se někdy podívat do Phy. Udělám ti exkurzi a pochopíš.
8.10.2025 09:50
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Já taky tak, ale podmínky a prostředí ve kterém jsem dělal tehdy a ve kterém dělám teď, jsou úplně jiné. Tenkrát jsem měl venku pouze jeden stroj, na který byl zevnitř přístup jen jedním portem přes HTTP proxy. To je dnes na úrovni jedné laborky.Proto všude preferuju veřejný adresy, dneska IPv6, takže brána není potřeba.
Přijeď se někdy podívat do Phy. Udělám ti exkurzi a pochopíš.Ok, domluvíme se.
Tiskni
Sdílej:
11.10.2025 03:14
11.10.2025 10:18
7.10.2025 20:45
