Kit je nový maskot webového prohlížeče Firefox.
Mastodon (Wikipedie) - sociální síť, která není na prodej - byl vydán ve verzi 4.5. Přehled novinek s náhledy v oznámení na blogu.
Německo zvažuje, že zaplatí místním telekomunikačním operátorům včetně Deutsche Telekom, aby nahradili zařízení od čínské firmy Huawei. Náklady na výměnu by mohly přesáhnout dvě miliardy eur (bezmála 49 miliard Kč). Jeden scénář počítá s tím, že vláda na tento záměr použije prostředky určené na obranu či infrastrukturu.
Po dvaceti letech skončil leader japonské SUMO (SUpport.MOzilla.org) komunity Marsf. Důvodem bylo nasazení sumobota, který nedodržuje nastavené postupy a hrubě zasahuje do překladů i archivů. Marsf zároveň zakázal použití svých příspěvků a dat k učení sumobota a AI a požádal o vyřazení svých dat ze všech učebních dat.
Úřad pro ochranu hospodářské soutěže zahajuje sektorové šetření v oblasti mobilních telekomunikačních služeb poskytovaných domácnostem v České republice. Z poznatků získaných na základě prvotní analýzy provedené ve spolupráci s Českým telekomunikačním úřadem (ČTÚ) ÚOHS zjistil, že vzájemné vztahy mezi operátory je zapotřebí detailněji prověřit kvůli možné nefunkčnosti některých aspektů konkurence na trzích, na nichž roste tržní podíl klíčových hráčů a naopak klesá význam nezávislých virtuálních operátorů.
Různé audity bezpečnostních systémů pařížského muzea Louvre odhalily závažné problémy v oblasti kybernetické bezpečnosti a tyto problémy přetrvávaly déle než deset let. Jeden z těchto auditů, který v roce 2014 provedla francouzská národní agentura pro kybernetickou bezpečnost, například ukázal, že heslo do kamerového systému muzea bylo „Louvre“. 😀
Z upstreamu GNOME Mutter byl zcela odstraněn backend X11. GNOME 50 tedy poběží už pouze nad Waylandem. Aplikace pro X11 budou využívat XWayland.
Byl publikován plán na odstranění XSLT z webových prohlížečů Chrome a Chromium. S odstraněním XSLT souhlasí také vývojáři Firefoxu a WebKit. Důvodem jsou bezpečnostní rizika a klesající využití v moderním webovém vývoji.
Desktopové prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklé sloučením projektů Razor-qt a LXDE bylo vydáno ve verzi 2.3.0. Přehled novinek v poznámkách k vydání.
Organizace Open Container Initiative (OCI) (Wikipedie), projekt nadace Linux Foundation, vydala Runtime Specification 1.3 (pdf), tj. novou verzi specifikace kontejnerového běhového prostředí. Hlavní novinkou je podpora FreeBSD.
22.8.2007 22:03
pavlix | skóre: 54
| blog: pavlix
)
22.8.2007 22:08
pavlix | skóre: 54
| blog: pavlix
22.8.2007 22:58
pavlix | skóre: 54
| blog: pavlix
pokial by pouzival heslo, tak nemoze!Nahraď slovo "heslo" slovem "passphrase" a máš vyřešeno. Navíc můžeš bezpečně používat stejnou passphrase pro klíč, kterým se přihlašuješ k mnoha počítačům.
- ssh -w - .ssh/config - HashKnownHosts - .ssh/config - LocalCommand, SendEnv - /etc/ssh/sshd_config - ForceCommand, Match # s tim se daji delat kouzla ;)ad
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
.bash_login & ssh-agent, no... neni to kvapek mateni ctenare? uz vidim jak si kazdy pepa dela .bash_login, kdyz treba ma .profile :) jednodussi by bylo napsat do konfiguracnich souboru vaseho shellu - man bash/ksh...
celkove ta sekce s ssh-agentem je takove rychlokvasena. ocekaval bych vice o spojeni s X11 nebo pry i gnome ma neco na gtk.
22.8.2007 22:10
pavlix | skóre: 54
| blog: pavlix
22.8.2007 23:10
pavlix | skóre: 54
| blog: pavlix
ssh -w
Díky za tip, desktop jedu na Ubuntu 6.06 LTS a to tohle ještě nemá :-o.
Pro běžné použití snad jen jako osobní VPN na vlastní server, je zapotřebí mít roota na obou stranách (konfigurace rozhraní tun) a defaultně je to na serveru zakázáno (což je dobře). Na rychlé/nouzové/dočasné zprovoznění tunelu ovšem ideální (možnost zprovoznění i přes http proxy via ProxyCommand, viz ssh_config). Pro trvalejší účely je IMHO lepší OpenVPN.
Ale i docela možný scénář pro Road Warriors:
- pam-ssh s nahráním klíče do ssh-agenta - na serveru klíč klienta u roota v authorized_keys s restrikcemi: tunnel="1",command="/usr/local/sbin/tuncfg.sh tun1; read",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty * /usr/local/sbin/tuncfg.sh se stará o konfiguraci tun1 - server poslouchá na portu 443 - na klientu mít nějaký skript vpnviassh.sh co provede: * zaklepání, pokud se používá * nahození tunelu via ssh (ssh -C -f -w 0:1 -p 443 root@server) * konfigurace rozhraní tun0 přes "sudo /usr/local/sbin/tuncfg.sh tun0" - do /etc/sudoers dát /usr/local/sbin/tuncfg.sh bez hesla, třeba takto * Cmnd_Alias TUNCONFIG = /usr/local/sbin/tuncfg.sh * %vpnusers ALL=NOPASSWD: TUNCONFIG
A Je tu poměrně jednoduchá VPN co projde i z restriktivních sítí s transparent proxy. Oproti stejnému postupu s OpenVPN je tu jen jedno heslo po přihlášení na klienta a na disku nikde neleží nešifrovaný klíč či heslo. Nevýhodou je asi maximální počet klientů dle počtu tun rozhraní na serveru (sdílení tunX point-to-point ? Či použití Level2 tunelu ?). Dále by bylo dobré vědět, jak se to chová v případě výpadku spojení (tcp timeout a pak to shodí tun0 ?) a jak je to s výkonností
* Add support for tunneling arbitrary network packets over a connection between an OpenSSH client and server via tun(4) virtual network interfaces. This allows the use of OpenSSH (4.3+) to create a true VPN between the client and server providing real network connectivity at layer 2 or 3. This feature is experimental and is currently supported on OpenBSD, Linux, NetBSD (IPv4 only) and FreeBSD. Other operating systems with tun/tap interface capability may be added in future portable OpenSSH releases. Please refer to the README.tun file in the source distribution for further details and usage examples.tu tvoji strategii jsem nepochopil... jednodussi by bylo pouzit
Match a AcceptEnv, ForceCommand a obalit to do skriptu, ktery se provede pri prihlaseni :)
do .ssh/config si date SendEnv a poslete nejaky string, ssh server to ochekuje a pripadne nastavi tunneling... dale LocalCommand :)
na kazdy si chce instalovat openvpn. samozrejme, ze skutecna VPN postavena na IPSec je lepsi reseni, ale toto je takovy rychly tip a taky takovy truc na openvpn :)
Příště se odpoutáme od bezpečnosti a podíváme se, co nám může SSH nabídnout kromě očekávaného bezpečného připojení ke vzdálenému shellu. Dotazy a připomínky jsou vítány.Mne by třeba jako námět do nějakého dalšího dílu zajímalo, zda existuje nějaká náhrada za vestavěný
sftp_server pro subprotokol sftp, který v OpenSSH zamrzl na verzi protokolu sftp 3. Ta má tu "drobnou" nevýhodu, že neřeší kódování názvů souborů, což je v síťovém prostředí poněkud hloupé (pak z toho vzniká "já mám systém v UTF-8, tak se přizpůsobte"). Já naštěstí systém mám v UTF-8 a WinSCP je možné vnutit UTF-8 i pro sftp předverzí 4, takže jsem to vyřešil. Ale je to ostuda, že tentokrát je to program pro Windows, který je pružnější v nastavení a podporuje novější protokol.
22.8.2007 22:16
pavlix | skóre: 54
| blog: pavlix
A tady bohužel opens source OpenSSH selhává, protože se musí okolní svět přizpůsobovat jemu, místo aby si OpenSSH poradilo s čímkoli – jak je jinak ve světě OSS zvykem.
22.8.2007 23:17
pavlix | skóre: 54
| blog: pavlix
Pokud má na serveru 'opravdové' účty třeba 30 lidí kvůli poště, tak se můžete vsadit, že 1/3 z nich má jako heslo jména svých dětí
Pro takové účely máme cracklib.
Pokud má na serveru 'opravdové' účty třeba 30 lidí kvůli poště, tak se můžete vsadit, že 1/3 z nich má jako heslo jména svých dětí...Ti, co si alespoň jednou prolítli
sshd_config(5) a zařídili se podle něj takové uživatele vůbec neřeší. :-P
Čím více hesel musí člověk používat, tím ta hesla budou slabší a spíš budou někde napsaná na monitoru.
22.8.2007 22:40
pavlix | skóre: 54
| blog: pavlix
22.8.2007 22:20
pavlix | skóre: 54
| blog: pavlix
chroot, ale jestli neco umi omezit uzivatele aby nemohl prochazet jine slozky nez tu svoji...
chroot je nesystemove a slozite reseni. reseni existuje, nejaky Mandatory Access Control :P
22.8.2007 22:24
pavlix | skóre: 54
| blog: pavlix
Tiskni
Sdílej:
