Steve Jobs a superpočítač Cray-1 budou vyobrazeny na pamětních jednodolarových mincích vyražených v příštím roce v rámci série Americká inovace. Série má 57 mincí, tj. 57 inovací. Poslední 4 mince budou vyraženy v roce 2032.
Byl zveřejněn průběžně aktualizovaný program konference OpenAlt 2025 o otevřeném softwaru a datech, IT bezpečnosti, DIY a IoT. Konference proběhne o víkendu 1. a 2. listopadu v prostorách FIT VUT v Brně. Vstup je zdarma.
Senát včera opětovně nepřijal návrh ústavního zákona, který měl do Listiny základních práv a svobod zakotvit právo občanů platit v hotovosti nebo být off-line. Návrh předložila skupina senátorů již v roce 2023. Senát dnes návrh neschválil, ale ani nezamítl. Pokud by ho přijal, dostala by ho k projednání Sněmovna a vyjádřila by se k němu vláda.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 13.0 (Mastodon). Forgejo je fork Gitei.
Společnost Eclypsium se na svém blogu rozepsala o bezpečnostním problému počítačů Framework. Jedná se o zranitelnost v UEFI umožňující útočníkům obejít Secure Boot.
Editor kódů Zed (Wikipedie) po macOS a Linuxu s verzí 0.208.4 už běží také ve Windows.
Apple dnes představil 14palcový MacBook Pro, iPad Pro a Apple Vision Pro s novým čipem M5.
Debian pro mobilní zařízení Mobian (Wikipedie) byl vydán ve verzi 13 Trixie. Nová stabilní verze je k dispozici pro PINE64 PinePhone, PinePhone Pro a PineTab, Purism Librem 5, Google Pixel 3a a 3a XL, OnePlus 6 a 6T a Xiaomi Pocophone F1.
Operátor O2 představil tarif Datamanie 1200 GB . Nový tarif přináší 1200 GB dat s neomezenou 5G rychlostí, a také možnost neomezeného volání do všech sítí za 15 Kč na den. Při roční variantě předplatného zákazníci získají po provedení jednorázové platby celou porci dat najednou a mohou je bezstarostně čerpat kdykoli během roku. Do 13. listopadu jej O2 nabízí za zvýhodněných 2 988 Kč. Při průměrné spotřebě tak 100 GB dat vychází na 249 Kč měsíčně.
Byly publikovány informace o útoku na zařízení s Androidem pojmenovaném Pixnapping Attack (CVE-2025-48561). Aplikace může číst citlivá data zobrazovaná jinou aplikací. V demonstračním videu aplikace čte 2FA kódy z Google Authenticatoru.
sshd, démonečku,
otevři nám svou světničku,
jen dva prstíčky tam strčíme,
jen co se ohřejeme,
local exploit hned průbneme.
Taky po vás jdou? Už jste vyzkoušeli všechny zaručené recepty:
Jedná se o PAM modul, jehož autorem je Andy Armstrong a domovskou stránku má na http://hexten.net/sw/pam_abl/index.mhtml. Název je zkratkou z PAM Active Blocking List.
Modul si udržuje seznam chybných pokusů o přihlášení v Berkeley DB, a to zvlášť pro uživatele a zvlášť pro IP adresy (resp. PAM_RHOST). Pokud počet pokusů přesáhne stanovenou mez, je po určitou dobu útočníkovi vždy vrácena chyba autentizace. Útočník tak nezjistí, že byl odhalen a bezúčelně plýtvá svými prostředky.
Do /etc/pam.d/sshd si přidejte do sekce auth modul
pam_abl:
auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so
a do souboru /etc/security/pam_abl.conf zapište vlastní nastavení
pam_abl modulu:
host_db=/var/lib/abl/hosts.db host_purge=2d host_rule=*:10/1h,30/1d user_db=/var/lib/abl/users.db user_purge=2d user_rule=!root:10/1h,30/1d
host_db definuje soubor obsahující databázi chybných pokusů
podle IP (user_db obdobně pro uživatele),
{host|user}_purge je doba, po kterou se uchovávají informace
v databázi (je nutné, aby byla větší nebo rovna maximu ze všech
_rule pravidel).
{host|user}_rule pravidlo specifikuje samotné limity, podle
kterých se určuje, kdy, komu a na jak dlouho bude zablokován přístup. Výše
uvedený příklad znamená, že přístup bude zablokován z IP adresy,
která má na svědomí více jak 10 pokusů v 1 hodině nebo více jak 30 pokusů v 1
dni a to pro všechny účty po dobu 1 hodiny, resp. 1 dne. Nebo bude
zablokován konkrétní účet kromě roota pro libovolnou IP, pokud na něj
bylo provedeno (odkudkoliv) vice jak 10 pokusů v 1 hodině nebo 30 pokusů v 1
dni, a to po dobu 1 hodiny, resp. 1 dne.
Podrobnou gramatiku, včetně sémantiky lze nalézt v dokumentaci.
Účinnost si můžete zkontrolovat stejnojmennou utilitkou pam_abl,
která umožňuje vypsat chybné pokusy včetně aktuálního stavu v agregované
formě:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
Failed users:
abinitioforum (2)
Not blocking
absurdir_deadphp (2)
Not blocking
admin (8)
Not blocking
aecpro (2)
Not blocking
akcesbenefit (2)
…
Failed hosts:
147.251.53.122 (70)
Blocking users [*]
202.125.142.110 (821)
Not blocking
69.229.202.54 (18)
Not blocking
nebo i podrobné:
147.251.53.122 (70)
Mon Jun 6 16:26:01 2005
Mon Jun 6 16:25:58 2005
Mon Jun 6 16:25:53 2005
Mon Jun 6 16:25:50 2005
…
V logu SSH démona, pak přibudou tyto řádky:
Jun 6 11:21:07 (none) sshd[31111]: Invalid user test from 69.229.202.54 Jun 6 11:21:07 (none) sshd[31112]: Invalid user test from 69.229.202.54 Jun 6 11:21:08 (none) sshd[31112]: Failed password for invalid user test from 69.229.202.54 port 41178 ssh2 Jun 6 11:21:08 (none) sshd[31111]: Failed password for invalid user test from 69.229.202.54 port 57800 ssh2 Jun 6 11:21:10 (none) sshd[31115]: Invalid user guest from 69.229.202.54 Jun 6 11:21:10 (none) sshd[31116]: Invalid user guest from 69.229.202.54 Jun 6 11:21:10 (none) sshd[31115]: Failed password for invalid user guest from 69.229.202.54 port 41236 ssh2 Jun 6 11:21:10 (none) sshd[31116]: Failed password for invalid user guest from 69.229.202.54 port 57861 ssh2 Jun 6 11:21:12 (none) sshd[31119]: Invalid user admin from 69.229.202.54 Jun 6 11:21:12 (none) sshd[31120]: Invalid user admin from 69.229.202.54 Jun 6 11:21:12 (none) sshd[31119]: Failed password for invalid user admin from 69.229.202.54 port 41303 ssh2 Jun 6 11:21:12 (none) sshd[31120]: Failed password for invalid user admin from 69.229.202.54 port 57928 ssh2 Jun 6 11:21:14 (none) sshd[31123]: Invalid user admin from 69.229.202.54 Jun 6 11:21:14 (none) pam_abl[31123]: Blocking access from 69.229.202.54 to service sshd, user admin Jun 6 11:21:14 (none) sshd[31123]: Failed password for invalid user admin from 69.229.202.54 port 41345 ssh2 Jun 6 11:21:16 (none) sshd[31124]: Invalid user admin from 69.229.202.54 Jun 6 11:21:16 (none) pam_abl[31124]: Blocking access from 69.229.202.54 to service sshd, user admin Jun 6 11:21:16 (none) sshd[31124]: Failed password for invalid user admin from 69.229.202.54 port 57970 ssh2 Jun 6 11:21:19 (none) sshd[31127]: Invalid user user from 69.229.202.54 Jun 6 11:21:19 (none) pam_abl[31127]: Blocking access from 69.229.202.54 to service sshd, user user Jun 6 11:21:19 (none) sshd[31127]: Failed password for invalid user user from 69.229.202.54 port 58074 ssh2
Utilitka pam_abl je také určena k vyčistění databáze od starých záznamů
podle _purge pravidel (pam modul to nedělá). Spouštět ji můžete
např. každý den z cronu. Zrovna tak umí ruční odblokování dané IP
nebo účtu.
Jedná se o poměrně mladý projekt, takže nějaké ty chybky či chytáky, o kterých se dokumentace nezmiňuje, obsahuje:
_rule pravidla (tj. údaj
za lomítkem).user_db=/var/lib/abl/users.db user_purge=30d user_rule=!*:5/1h
ChallengeResponseAuthentication no v konfiguraci sshd.
sshd_config nastavte
MaxAuthTries 1 nebo na to pamatujte v pam_abl.conf.
config.
Tiskni
Sdílej:
#!/bin/bash iptables -N sshblock 2>/dev/null iptables -F sshblock 2>/dev/null for addr in ` ( cat /var/log/secure gzip -d -c /var/log/secure.1.gz gzip -d -c /var/log/secure.2.gz ) | grep 'Failed password for illegal user' |\ sed 's/.*from \([^ ]*\).*/\1/' |\ sort | uniq -c |\ sort -n -r | grep -v '^[^0-9]*[0-9][^0-9]' |\ sed 's/^[^0-9]*[0-9]*[^0-9]\(.*\)/\1/'` ; do if ! [ "$addr" == "12.34.56.78" ] ; then iptables -A sshblock -s $addr -j MIRROR fi; done;A pak uz staci jen na prihodnem miste zaradit ten chain nekam do firewallu... Radek
uniq -c) za jednotku casu (to uz zavani datumovou aritmetikou). A taky musel vyresit opetovne odblokovani po urcite dobe (v primitvni podobne by stacil jednou dene flush ipt chainu). Dal pokud pouzivate vice IP protokolu, musel byste rozlisovat IPv4 a IPv6 (iptables a ip6tables jsou oddeleny).
A vymyslet kolo nema smysl. Proto existuje PAM modul, ktery muzete nasadil na libovolnou sluzbu.
uniq -c) a vyhazi vsechny, ktere maji pocet chybnych pokusu 0-9. Takze k zablokovani dochazi az po 10 spatnych pokusech.
Co se casoveho meritka tyce, tak to je vyreseno tim, ze se zdrojove logy rotuji, takze casem (typicky po 7 dnech) IP adresa ze seznamu odstrani (pri kazdem zavolani na zacatku ten chain Flushnu a znova cely vytvorim). Pripadne by se to dalo vyresit tim, ze bych tam dal nejaky tail -n 2000 a bral treba jen poslednich 2000 radku z logu (pak bych asi jeste musel upravit jejich poradi). Uznavam, ze jsou to fuj-fuj berlicky, ale lepsi nez dratem do oka, ne?
Ipv6 zatim nepouzivam a pokud vubec nekdy budu, tak toho budu muset resit vyrazne vic :)
Samozrejme, ze bych radsi pouzil uz udelany kolo, ale kdyz mi nejde nasadit na moje auto. A nez do nej busit kladivem, aby sedlo a pak mi nekde upadlo.... :)
Nicméně tenkrát sem se prostě spokojil s tím že nic takového pro linux není a dál po tom nepátral.
Takže ještě jednou moc děkuji! Tohle je skvělá věc...
Doporucujem nechat otvorenu aspon jednu sesnu. :D
...Vypadalo to tak jednoducho, :) bohuzial neviem cim to je ale nefunguje...
No nic aspom mam dovod sa poprechadzat na opacnu stranu Prahy. :D
PS: Bezpecnost ssh zabespecena. :D
7.6.2005 05:01