Portál AbcLinuxu, 24. listopadu 2025 10:33
klientská stanice nemá IP adresu z povoleného rozsahuNejen proto fail2ban nepoužívám a nejde pouze o povolený rozsah. Jednou jsem se chtěl připojit na svůj server od jednoho klienta, abych mu vyčistil jeho napadenou síť a nedostal jsem se k sobě na server. Potom jsem přijel domů a zjistil jsem, že z jeho adresy někdo zkouší hesla na ssh (používám samozřejmě klíče) a byla tam jeho adresa. V tu chvíli letěl fail2ban z domu. Tohle je fakt kravina. Každá služba si to umí řídit sama, všechno lze dělat přes velké klíče, takže je to k ničemu. A DDOS to stejně nevyřeší, protože to dřív zahltí linku, než procesor.
Ty povolené rozsahy jsou na straně NFS exportu. Pokud nemáš pro svou IP povolený přístup, tak si profil nepřipojíš. Proto ta SSH brána. Kdo chce, ten pak může použít sshfs.
A to že ti nefungoval fail2ban jak měl může mít více příčin. Přesněji řečeno - problém může nastat po aktualizaci, pokud se objeví chyba v konfiguraci, způsobená změnou defaultního nastavení, nebo přejmenováním funkce v některém distribučním filtru, pokud ho používáš. Zmíním se o tom v dalším blogpostu. Teda pokud ho dopíšu.
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?
Fail2ban umožňuje i jiné akce než ban IP adresy či rozsahu. Klidně jsi ho mohl nechat, aby si útočník luštil křížovky, když ho to baví.
A co tedy používáš místo něj na eliminaci otravných agentů?
Já tedy podle tvých měřítek budu asi větší kruťas, protože automaticky banuji vše co smrdí AI. Nevidím totiž sebemenší rozumný důvod pro to, aby si můj obsah přežvykovaly servery (a projekty) týpků jako je Zuckerberg, Bezos, Musk, Gates, Shuttleworth či ten „linuxový fanda” od Apple co už se smaží v pekle, na jehož jméno si teď ani nemohu vzpomenout.
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?Ty snad zjišťuješ majitele každý IP, která ti skončí na blacklistu a ještě jim píšeš?
A co tedy používáš místo něj na eliminaci otravných agentů?Nic. Mám firewall, kde jsou povolené IP nebo rozsahy pro firmy. Každé IP je ve smlouvě, takže se ví, kdo to je. A přístup je většinou přes klíče.
Já tedy podle tvých měřítek budu asi větší kruťas, protože automaticky banuji vše co smrdí AI. Nevidím totiž sebemenší rozumný důvod pro to, aby si můj obsah přežvykovaly servery (a projekty) týpků jako je Zuckerberg, Bezos, Musk, Gates, Shuttleworth či ten „linuxový fanda” od Apple co už se smaží v pekle, na jehož jméno si teď ani nemohu vzpomenout.Dobře, ale tak já píšu články pro celý svět a jestli si to přelouská Google, Bing, nebo nějaká AI je mi celkem jedno. Alespoň se konečně naučí spravovat servery a já budu mít někdy klid
No ale to byl snad problém toho klienta, na který jsi ho měl upozornit, ne?Ty snad zjišťuješ majitele každý IP, která ti skončí na blacklistu a ještě jim píšeš?
Pokud je to můj klient, tak to považuji za samozřejmost. Ty ne?
A co tedy používáš místo něj na eliminaci otravných agentů?Nic. Mám firewall, kde jsou povolené IP nebo rozsahy pro firmy. Každé IP je ve smlouvě, takže se ví, kdo to je. A přístup je většinou přes klíče.
No tak to jsi v diametrálně jiné situaci než já, nemyslíš? Já netuším z jaké řiti světa se ten student zkouší zrovna připojit.
Já píšu články na základě informací vyhrabaných všude možně. Opravdu nestojím o to, aby je přežvykovala nějaká AI a předávala dál v jiném kontextu než jim náleží. Ať si Musk napíše tu svou alternativu Wikipedie sám. Ne, že ji vydojí a převypráví po svém.
Pokud je to můj klient, tak to považuji za samozřejmost. Ty ne?Jenže tohle nebyl klient, který se měl připojovat ke mě domů. Byl to firemní klient, kam jsem přijel řešit jeho napadenou síť. A to, že jej mám na blacklistu jsem zjistil opět až doma a to byla jeho síť už v pořádku.
Já netuším z jaké řiti světa se ten student zkouší zrovna připojit.No to já často také nevím, ale od toho jsou klíče. Pokud má 4096b klíč podepsaný mojí autoritou, tak se dostane i do PostgreSQL, na web apod.
Jenže tohle nebyl klient, který se měl připojovat ke mě domů.
Jo táák. Tak to z příspěvku jasné nebylo. Ke mně domů se nikdo nemá co hlásit, takže mi běží SSH na úplně jiném portu. Ovšem momentálně by se skrze moji domácí SSH gateway nikdo nikam neprotuneloval. V srpnu jsem se totiž konečně plácnul přes kapsu, abych realizoval již velmi dlouho odkládanou aktualizaci HW. Jenže tím jak toho bylo letos hodně ve škole jsem se zdržel a když jsem se konečně dostal k tomu abych to seskládal, vyšlo najevo že je vadný motherboard a tak čekám, už skoro měsíc, až se jim uráčí dořešit reklamaci. Momentálně jim zbývají ještě 4 dny. Prča bude, když se ukáže chyba v procesoru. S takovou se mi ten stroj podaří konečně rozjet nejdřív až po novém roce.
Tak já řeším v zásadě jen čtyři fyzické stroje, včetně mého notebooku. Ty tři co jsou v serverovně jsem viděl naposledy při blackoutu. Stroje v laborkách nepočítám, na těch nic není a turtleboty momentálně buď nikdo nevyužívá, nebo s nima není problém. Disklessová infastruktura se po sjednocení výrazně zjednodušila. Virtualizovaný LDAP už je odeslaný do háje, i když stále běží a je použitelný. Místo dvou DHCP serverů už běží jenom jeden. Jeden virtuální diskless řeší ty uživatelské účty. Na dalším virtuálním disklessu jede v dockeru webová appka pro jeden projekt. Pak je tam ta ssh brána, wiki je nezávislá a to je asi tak všechno.
Můj privátní server kde je wiki je také virtuál. Hostovaný samozřejmě jinde.
Plán je, že mi to bude fungovat podobně jako ve škole. Jelikož disky řachtají, bude hlavní datové úložiště vypnuté. Ta SSH gateway je absolutně tichá a nežere nic. Nejdříve se na ni pošle signál, kterým se nahodí (nebo probudí uspané) datové úložiště a pak už to pojede přes nějakou VPN.
Moje SSH brána u mě v pokoji..
8.10. 06:25
spike (SCHROT) :~# sensors
k10temp-pci-00c3
Adapter: PCI adapter
temp1: +41.0°C (high = +70.0°C)
(crit = +90.0°C, hyst = +88.0°C)
spike (SCHROT) :~# uptime
16:12:51 up 28 days, 18:59, 0 users, load average: 0,04, 0,03, 0,00
Je podlé a odporné, jak ve snaze obrátit emoce vůči protivníkovi, se vytahují děti. Jako by protistrana žádné děti, které zabíjejí pro změnu jejich bomby, neexistovaly a neumíraly.
Teď je v módě se pohoršovat, že rusové útočí drony. Zřejmě už se pozapomnělo, že to byli ukrajinci, kdo je začal využívat nejenom k průzkumu, ale i k útoku. A mnozí tu hýkali veselím, když komentovali videozáznamy z těch útoků.
Stejně tak je to i s útoky na energetická zařízení. Pro rusy platí jenom jedna logika. Pokud ti někdo něco udělá, vrať mu to stonásobně, a podruhé už to neudělá.
A ti co sestřelili civilní letadlo Malaysia Airline byli také pouze fotbaloví fanoušci Šachtaru?Pravdepodobne nejvetsi whataboutisticka demagogie, co jsem tady cetl za dlouhou dobu. Ale pravda, na ruskou propagandu nechodim, stejne tak jako nechodim k Cemperovi nebo Forum24. Ale citim jiste poteseni z toho krouceni se "lepsolidi" od vysledku voleb.
V laborkách jiné nemá, zakulený motýle.
Systemd časovače (timery), jsou lepší. Z mého hlediska tedy rozhodně, protože je pak mnohem jednodušší kombinovat konfigurační vrstvy.
Ten rc.local je na jednu stranu historický relikt, na stranu druhou, tím kdy se spouští umožňuje realizovat věci, které mají závislosti na předchozích unitách, aniž by vyžadovaly unitu vlastní.
Pokud jde o ten Network-manager. Ptačí mozek, jaký má Žako, to nepobere, ale významně zjednodušuje nastavení zavaděče. Ten předá UEFI jen to, odkud si má stáhnout jádro a ramdisk. Žádné další parametry nejsou nutné. Zbytek (parametry podle kterých se tahá konfigurace) přijede přes DHCP. A ta může být taková, že se už netahá nic (pokud má ta mašina keš). Sendvič se nahodí a konektivita už může být zajištěna úplně jiným kanálem. Pokud vůbec. Pokud to chceš řídit píšťalkou, stačí jenom blbý skript, co navěsíš na audio input.
Upozornil někdo pana profesora na to, že si to pak bude muset bez těch lidí vyřizovat sám?Upozornil někdo Aleše, že od toho máme IT? To, že úředníky vůbec k ničemu nepotřebujeme jsem plně pochopil už v roce 2008, kdy jsem nastoupil do QCM. Na stole jsem za 12 let neměl jediný papír, zákon o elektronickém podpisu mám už od velkého třesku, takže stačí poslat podepsaný email (žádnou datovku) a prostě to dle zákona je podepsané a platí to.
na chybu v souboru rc.localDoporučuju místo toho používat jednotlivé unity typu oneshot - lépe se kontroluje, co proběhlo a dá se to restartovat. Pokud selže řádek v rc.local, tak se zbytek buď neprovede a nebo je potřeba si tam vytvořit detekci chyb, ty ručně logovat apod. Systemd je v tomto opravdu lepší a rc.local jsem nepoužíval ani za system V rc.d. Na vše jsem si psal vlastní služby.
IP adresa je statická, ale co když do toho kecá Network-manager?!Všechny adresy by měly být v jenom manageru sítě, já používám systemd-networkd (viz můj článek z roku 2017 (https://www.heronovo.cz/index.php/2017/04/23/nastaveni-site-pomoci-systemd-networkd/). Je hloupost nastavovat další IP adresy jinde. V systemd to lze rozdělit a mít pro každou službu vlastní konfig s nastavením sítě. Já to používám pro bridge a nspawn.
Dík za knížecí radu, ale nepochopil jsi ani to, že ta komunikace je o více stranách. Fail2ban hlídá jenom příchozí komunikaci. Jeho účelem je eliminovat ty, co se pokouší něco obejít. Ty rozsahy se týkají NFS připojení. To má své limity, proto musí být jasně dané kdo si co může a jak připojit. Uživatelské profily se mountují přes NFSv4. Vrstvy přes NFSv3, ale jen read-only. RW přístup na uživatelské účty přes NFSv3 má pouze jeden stroj, který má pouze jednoho lokálního uživatele, který má místo loginu navěšený skript, co na základě parametrů přijatých přes úspěšné SSH připojení založí adresář a nastaví práva - čímž k němu tenhle speciální uživatel ztratí přístup.
Stroj, o kterém je v blogu řeč, funguje jako SSH brána už téměř 10 let. A ten rc.local se používá proto, že k nastavení routování a pravidel pro firewall stačí všeho všudy 4 řádky. Je to full-diskless a ten žádný management sítě nepotřebuje, protože musí mít funkční připojení dříve než najede systém. Ale jak jsem zmínil. Základ je jednotný, proto je tam dnes i network manager, jenže ten v takové situaci dělá bordel, pokud není IP adresa v DHCP zafixovaná na MAC.
A ten rc.local se používá proto, že k nastavení routování a pravidel pro firewall stačí všeho všudy 4 řádky.Jenže to i v systemd-networkd. Pokud je to distro se systemd, tak nemá smysl jej obcházet. Reaguje i na události, takže pokud zapnu nspawn kontejner, tak má automaticky adresu na bridge, kam patří.
Je to full-diskless a ten žádný management sítě nepotřebuje, protože musí mít funkční připojení dříve než najede systém.V tom případě dostane vše z DHCP a konfigurace sítě tam vůbec nemusí být, tohle jsme měli pro některé single use servery.
Základ je jednotný, proto je tam dnes i network manager, jenže ten v takové situaci dělá bordel, pokud není IP adresa v DHCP zafixovaná na MAC.Pokud se používá DHCP, tak veškerá konfigurace sítě musí být tam. Mít kombinace neznámých MAC se statickými adresami dělá jen nepořádek.
administrátora dělám od rok 2003
Já taky tak, ale podmínky a prostředí ve kterém jsem dělal tehdy a ve kterém dělám teď, jsou úplně jiné. Tenkrát jsem měl venku pouze jeden stroj, na který byl zevnitř přístup jen jedním portem přes HTTP proxy. To je dnes na úrovni jedné laborky.
Přijeď se někdy podívat do Phy. Udělám ti exkurzi a pochopíš.
Já taky tak, ale podmínky a prostředí ve kterém jsem dělal tehdy a ve kterém dělám teď, jsou úplně jiné. Tenkrát jsem měl venku pouze jeden stroj, na který byl zevnitř přístup jen jedním portem přes HTTP proxy. To je dnes na úrovni jedné laborky.Proto všude preferuju veřejný adresy, dneska IPv6, takže brána není potřeba.
Přijeď se někdy podívat do Phy. Udělám ti exkurzi a pochopíš.Ok, domluvíme se.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
11.10. 03:14
11.10. 10:18
7.10. 20:45
