Chybí vám někdo, s kým byste si popovídali o bastlení, technice, počítačích a vědě? Nechcete riskovat debatu o sportu u piva v hospodě? Pak doražte na virtuální pokec u virtuálního piva v rámci Virtuální Bastlírny organizované strahovským MacGyverem již tento čtvrtek. Možná se ptáte, co se tak může probírat? Dají se probrat slavná výročí - kromě 55 let obvodu 555 (což je mimochodem prý andělské číslo) a vzpomínky na firmu Signetics -
… více »GTK2-NG je komunitní fork GTK 2.24 (aktuální verze je 4.22). Oznámení a diskuse v diskusním fóru Devuanu, forku Debianu bez systemd. Není to jediný fork GTK 2. Ardour je například postaven na vlastním forku GTK 2 s názvem YTK.
V neděli 17. května 2026 proběhne v Českých Budějovicích první MobileLinux Hackday zaměřený na Linux v mobilech, embedded platformy a open source hardware. Po sedmi úspěšných měsíčních setkáních v Praze se akce přesouvá také do jižních Čech, aby se komunita mobilního Linuxu mohla potkat i mimo hlavní město. Akce se uskuteční v konferenčním sále Vajgar v Clarion Congress Hotelu (Pražská tř. 2306/14) se zahájením mezi 14:00 až 15:00 a … více »
Vývojáři Debianu zhruba v polovině vývojového cyklu Debianu 14 s kódovým názvem Forky rozhodli, že Debian musí dodávat reprodukovatelné balíčky, tj. kdokoli si může nezávisle ověřit, že daný binární balíček vznikl překladem a sestavením z konkrétních zdrojových kódů. Aktuálně je reprodukovatelných 98,29 % balíčků.
Německý e-shop Škoda Auto byl hacknut. Útočníci získali přístup k uživatelským údajům (jméno, adresa, e-mail, heslo, telefon, …).
Na webu konference Den IPv6 2026, která se uskuteční 4. června v Národní technické knihovně v pražských Dejvicích, je nyní k dispozici kompletní program této tradiční akce věnované tématům spojeným s protokolem IPv6. Na celodenní pásmo přednášek je třeba se přihlásit a zaplatit účastnický poplatek 242 korun. Registrační formulář najdou zájemci opět na webu akce. Konferenci Den IPv6 2026 organizují i letos společně sdružení CESNET, CZ.NIC a NIX.CZ.
Byl představen emulátor terminálu Ratty (GitHub) s podporu 3D grafiky přímo v terminálu. Inspirací byl operační systém TempleOS od Terryho Davise. Ratty je napsán v jazyce Rust. Využívá knihovnu Ratatui pro tvorbu rozhraní a herní engine Bevy pro 3D vykreslování.
Evropské instituce i některé americké státy dál zpřísňují pravidla pro ověřování věku na internetu. Cílem je zabránit dětem v přístupu k obsahu pro dospělé. Úřady ale narážejí na zásadní problém – stále více lidí používá VPN, tedy služby umožňující skrýt identitu i skutečnou polohu na internetu. Právě VPN nyní Evropská parlamentní výzkumná služba (EPRS) označila za „mezeru v legislativě, kterou je potřeba uzavřít“ [Novinky.cz].
Multiplatformní open source aplikace pro psaní poznámek Joplin (Wikipedie) byla vydána v nové verzi 3.6. Nově lze mít v poznámkách embedovaný externí obsah, např. YouTube videa.
Open Hardware Summit 2026 organizovaný OSHWA (Open Source Hardware Association) proběhne o víkendu 23. a 24. května v Berlíně na Technické univerzitě Berlín.
Ucel tohoto clanku neni prednaset nejake rozumy..na to nemam znalosti:)....spis bych byl rad, kdyby se pod nim rozjela diskuze na tema zabezpeceni serveru..a ja, popr dalsi zacinajici admini..by si z ni mohli odnest maximum...a tak prijit k dalsim znalostem..vedle tech co si nastuduji sami. Takze strucne popisi co jsem si na serveru nastavil ja...a budu to prokladat dotazy, o kterych bych se rad pobavil.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
#!/bin/bash
# based on iptables found somewhere in the internet ;))
modprobe ip_conntrack_ftp
IPTABLES="/sbin/iptables"
INTERFACE=$1
if [[ "$INTERFACE" == "" ]]
then
echo "INTERFACE variable unset! Aborting"
exit 1
fi
echo -n "Attempting to bring up firewall on $INTERFACE: "
#Flush old rules:
$IPTABLES -F
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
iptables -N icmp-chain
$IPTABLES -A icmp-chain -i $INTERFACE -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A icmp-chain -i $INTERFACE -p icmp --icmp-type echo-request -m limit --limit 5/s -m state --state NEW -j ACCEPT
$IPTABLES -A icmp-chain -i $INTERFACE -p icmp --icmp-type destination-unreachable -m state --state NEW -j ACCEPT
$IPTABLES -A icmp-chain -i $INTERFACE -p icmp --icmp-type time-exceeded -m state --state NEW -j ACCEPT
$IPTABLES -A icmp-chain -i $INTERFACE -p icmp --icmp-type timestamp-reply -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A icmp-chain -j DROP
$IPTABLES -N services
$IPTABLES -A services -p tcp -i $INTERFACE --dport 22 -m state --state NEW -m recent --set
$IPTABLES -A services -p tcp --dport 22 -i $INTERFACE -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
$IPTABLES -A services -p tcp -i $INTERFACE --dport 22 -m state --state NEW -j ACCEPT
$IPTABLES -A services -p tcp -i $INTERFACE --dport 80 --sport 1024:65535 -m state --state NEW -j ACCEPT
$IPTABLES -A services -p tcp -i $INTERFACE --dport 443 --sport 1024:65535 -m state --state NEW -j ACCEPT
a dalsi sluzby...
$IPTABLES -A services -j DROP
$IPTABLES -A INPUT -i $INTERFACE -p ip -f -j DROP
$IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A OUTPUT -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp -j icmp-chain
#ports allowed cos of port sentry
TCP_PORT_SENTRY="1 11 15 79 111 119 540 635 1080 12346 20034 27665"
UDP_PORT_SENTRY="1 7 9 69 161 513 635 640 641 31335 32770 32771 32772"
for watch in $TCP_PORT_SENTRY; do
$IPTABLES -A INPUT -i $INTERFACE -p tcp --dport $watch -j ACCEPT
done
for watch in $UDP_PORT_SENTRY; do
$IPTABLES -A INPUT -i $INTERFACE -p tcp --dport $watch -j ACCEPT
done
$IPTABLES -A INPUT -i $INTERFACE -m state --state NEW -j services
echo "done."
Tiskni
Sdílej:
for watch in $UDP_PORT_SENTRY; do $IPTABLES -A INPUT -i $INTERFACE -p tcp --dport $watch -j ACCEPT done
17.12.2007 10:04
michich | skóre: 51
| blog: ohrivane_parky
17.12.2007 11:18
OndraZX | skóre: 27
| blog: OndraZX
| Frydek-Mistek
PS: ano, ja vim ze toto neni 100% reseni, ale ja opravdu radeji jednoduchy system ktery dela to co ma bez zbytecnych "blbinek" navic.
17.12.2007 12:19
Johny z Podoli | skóre: 26
| blog: rocfdebian
17.12.2007 13:46
OndraZX | skóre: 27
| blog: OndraZX
| Frydek-Mistek
17.12.2007 19:35
Shadow | skóre: 25
| blog: Brainstorm
.
U SSH doporučuji kromě standardních opatření použít direktivu AllowUsers (popř. AllowGroup) na povolení přístupu k SSH ze strany pouze některých uživatelů. Pro každý případ.
Monitoring. Vlastní skripty parsující logy, logcheck, logwatch. Občasné použití chrootkitu a rkhuntera nezaškodí. Aktivní IDS nepoužívám, můj server by to nezvládal, a i kdyby ano, vzhledem k topologii sítě by nebyl efektivní.
Kernel. Líbí se mi grsecurity, ale bez oficiálního zdroje pro Debian s binárkou určenou pro mou architekturu budu raději používat distribuční kernel.
Díry. Ano, audit pomocí Nessusu či dalších nástrojů pomáhá, jinak hlavní je (kromě správné konfigurace) častá aktualizace (v mém případě jednou denně).
Modul recent používám pro ochranu SSH, ale v mém případě moc využívaný není. Démon mi totiž nevisí na portu 22, kam směřuje většina automatizovaných útoků. Na portu 22 mám tarpitJakym zpusobem vytvarite tuto past? Ja pouzivam tinyhoneypot ale hledam neco lepsiho, vite o necem?
18.12.2007 13:33
Shadow | skóre: 25
| blog: Brainstorm
18.12.2007 16:37
Shadow | skóre: 25
| blog: Brainstorm
Nicmene je to skutecne tak zhave?Já myslím, že vůbec ne. Dokonce bych řekl, že pokud nepoužíváte vyloženě slabá hesla a máte vypnutý PermitRootLogin, můžete mít SSH klidně na portu 22, firewallem k němu přístup nijak neomezovat, a přesto být v relativním bezpečí. Mít SSH na jiném portu se hodí (pouze) k odražení automatizovaných útoků, protože ty v drtivé většině případů portscan neprovádí a předpokládají, že SSH bude na portu 22. Když ho u vás nenajdou, půjdou "o dům dál". Zkušený útočník bez problémů najde SSH na kterémkoliv portu. Pokud použije sniffer, odhalí třeba i port knocking. Nicméně, podle mého soudu, i zkušený útočník bude dávat přednost strojům se slabším zabezpečením, protože mu průnik do nich zabere mnohem méně času a úsilí. Pokud tedy nebude mít nějaký explicitní důvod, proč se probourat zrovna na váš server.
mam za to, ze kdyz mam zakazane prihlasovani pres heslo...a svuj klic mam chraneny passphrase...tak clovek, ktery by se byl schopen lognout by musel byt takoveho kalibru, ze nejake pasti v podobe toho cos rikal ho asi neprekvapiPřesně tak. Tohle zabezpečení je více než dostatečné. Ono v pohodě stačí i silnější heslo a přihlašování bez klíče. Samozřejmě je třeba dbát zejména na to, odkud se hlásíte (keylogger, apod.).
nebo je to snazsi nez sem si myslel? prolomit ssh??Neřekl bych. Zejména pak, pokud pravidelně aktualizujete.
17.12.2007 17:48
18.12.2007 10:58