Uroš Popović v krátkém článku vysvětluje, co jsou emulátor terminálu, TTY a shell a jaké jsou mezi nimi rozdíly. Jde o první díl seriálu na jeho novém webu Linux Field Guide věnovaném nízkoúrovňové práci s linuxovými systémy.
Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.
Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].
Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.
Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.
Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.
Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.
Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.
Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.
11.1.2011 15:07
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Pak je ještě možnost omezit ssh na spojení přes VPN.To bych se bál, že umře VPN a co pak s tím. SSH démon se mi zdá přecijen robustnější než SSH + VPN.
SSH přes OpenVPN má smysl jen tehdy, když je onen stroj, ke kterému se přistupuje, za NATem, nad kterým není kontrola (tj. není možné přesměrovaty port) a/nebo onen stroj dostává adresu dynamicky přes DHCP.To už radši SSH tunel nebo Teredo tunel, v případě měnící se adresy pak skript v cronu, který bude po každé změně adresu někam práskat (buď někam na HTTP nebo nejlépe dyndns).
Kromě robotů to většinou znamená i konečnou pro scriptkiddies
Sice mi není moc jasné, jaký je podle vás rozdíl mezi "roboty" a "script kiddies" (podle mne je robot ten skript a kiddie ten, kdo ho spustil, takže ve výsledku prašť jak uhoď), ale spíš by mne zajímalo, o jakou "konečnou" se podle vás jedná. To, aby se vám nedostali na počítač - a to je IMHO to podstatné - pomocí obskurního portu nezajistíte a naopak, použijete-li správné prostředky, abyste to zajistil, mají "konečnou" i na defaultním portu.
Vzpomínám si, jak mi takhle během pár dní narostl log na 3GB
Máte-li problém se zbytečnými zápisy do logu, pak řešte ten problém, tj. zbytečné zápisy do logu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
11.1.2011 12:12
11.1.2011 15:11
11.1.2011 16:07
sshd na obskurní port).
Ono se těch hlášek nezbavíš, protože jsou stejné jako ty od skutečných útoků.Bavíme se o hlášce oznamující odmítnutí přihlášení kvůli špatnému heslu?
12.1.2011 21:31
PermitRootLogin WithoutPassword (ano, ten název je děsivý :))
a-zA-Z0-9, nebo ještě lépe zakázání přihlašování heslem a používání 4Kib RSA klíčů.
eliminuješ tím přihlášení na jediný 100% jistý účet na tom daném stroji.Není to z hlediska bezpečnosti ekvivalentní připlácnutí mého běžného loginu do rootovského hesla a ponechání možnosti přihlásit roota zvenčí? Zákaz přihlášení heslem mi přijde daleko užitečnější.
11.1.2011 15:50
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
11.1.2011 17:19
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Kdyz uz, tak pristup pres sudo s vlastnim heslem. A pristup pres klic bych klidne dovolil - oba dva pristupy pak lze jednoduse spravovat pro ruzne uzivatele.
A root heslo nedavat nikomu uz jenom z toho duvodu, ze nekdo pak napise takovou prasarnu jako 
16.1.2011 23:06
12.1.2011 19:00
echo rotovoheslo | ssh $shost sudo -S -v. Vlastni heslo nepisu NIKAM, Windows heslo mam v /etc/auth/domain.ad pro autofs na windows shares a je jenom pro cteni rootovi. SSH klic a GPG klic mam s heslem na disku.
No jinak OK, akorat casem se to treba naucis zpameti a pak uz tohle potrebovat nebudes:)
sshx0 154nebo ne ? Nebo si mountnout vzdálený filesystém
sshf 154A samozřejmě - při použití ssh-agenta.
, ktere budou fungovat jen "u vas" nebo radeji memorovat oblibene kombinace std. prikazu, ktere pak muzete v klidu pouzivat vsude.
ssh root@server 'command'je lepší udělat
ssh vyhrazeny_uzivatel@server 'sudo command'a nastavit sudo tak, aby se neptalo na heslo a povolilo jen ten jeden konkretni command. Pak ani zveřejnění toho scriptu i s klíčem neznamená předání roota (ale záleží na tom, co ten command dělá). Jako další vylepšení by mohlo být nastavení toho celého command i se sudem jako login shell, aby ten vyhrazeny_uzivatel nemohl spustit nic jiného (ono vůbec je vlastní script místo loginshellu supr věc).
… je lepší udělatssh vyhrazeny_uzivatel@server 'sudo command'a nastavit sudo tak, aby se neptalo na heslo a povolilo jen ten jeden konkretni command.
V čem je to lepší než když rovnou pro ten klíč povolím jen příslušný příkaz? Mně to připadá jen komplikovanější.
Spíš než ssh root@server 'command' je lepší udělat ssh vyhrazeny_uzivatel@server 'sudo command'Nebo využít prostředky SSH a udělat to samé bez sudo.
Pěkné. Jen bych se opravdu vyhnul tomu psaní root hesla do nějakého souboru.Doporučuju klíč :).
Podle všech bezpečnostních pouček to vede k tomu, že účet daného uživatele je pak ekvivaletní s rootem.Což nemusí být za všech okolností špatně.
Pak je možnost udělat místo sudo něco jako ssh root@127.0.0.1 'command '.Nenapadá mě nic, v čem by to mělo být lepší než sudo.
Jediná věc, co tomu bránila k dosažení dokonalosti (alespoň tak cca rok zpátky, co jsem to zjišťoval) byla, že OpenSSH neumělo omezit nějaký rootovský klíč na použití z localhostu.Zajímavé, já to zjišťoval myslím v podobné době a OpenSSH to umělo. Podle nějakého namátkou vybraného howto to umělo nejspíš už v roce 2006 nebo dříve.
Tiskni
Sdílej:
