Fedora se stala oficiální distribucí WSL (Windows Subsystem for Linux).
Společnost IBM představila server IBM LinuxONE Emperor 5 poháněný procesorem IBM Telum II.
Byla vydána verze 4.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.
Podpora Windows 10 končí 14. října 2025. Připravovaná kampaň Konec desítek (End of 10) může uživatelům pomoci s přechodem na Linux.
Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou
… více »Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.
Kevin Lin zkouší využívat chytré brýle Mentra při hraní na piano. Vytváří aplikaci AugmentedChords, pomocí které si do brýlí posílá notový zápis (YouTube). Uvnitř brýlí běží AugmentOS (GitHub), tj. open source operační systém pro chytré brýle.
Jarní konference EurOpen.cz 2025 proběhne 26. až 28. května v Brandýse nad Labem. Věnována je programovacím jazykům, vývoji softwaru a programovacím technikám.
Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.
28.1.2013 22:51
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
29.1.2013 10:44
pavlix | skóre: 54
| blog: pavlix
Ano může, ale jaksi tomu chybí už ona jednoduchost.Ani jsem si nestačil za ty roky všimnout.
29.1.2013 18:45
stativ | skóre: 54
| blog: SlaNé roury
29.1.2013 18:47
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.1.2013 11:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.1.2013 18:46
stativ | skóre: 54
| blog: SlaNé roury
29.1.2013 18:47
Jendа | skóre: 78
| blog: Jenda
| JO70FB
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz'dpkg-reconfigure grub-legacy' vám vygeneruje soubor /boot/grub/grub.conf, zatímco z 'dpkg-reconfigure grup-pc' vyleze soubor /boot/grub/grub.cfg. V obou případech můžete výsledný soubor editovat podle chuti...
30.1.2013 02:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
V obou případech můžete výsledný soubor editovat podle chuti...Do příští aktualizace balíku s grubem, která ten soubor přepíše podle těch konfiguráků...
V pripade grubu1 v 99% pripadu stacilo lehce postelovat jeden textovej soubor, ze ... a nemusel k tomu clovek ani ten grub mit.který lze ve skutečnosti naprosto stejně aplikovat na obě verze. Rozdíl je jen v syntaxi daného souboru (já mám radši tu původní, přijde mi jednodušší a přehlednější, ale to už je na jinou diskusi).
Debian se tak chová se starým i s novým GRUBemTo není pravda. Konfigurace pro starý grub obsahovala jasně vymezenou pozici, kam smí automatismy sahat.
2.2.2013 12:12
pavlix | skóre: 54
| blog: pavlix
Nicméně stále platí to, co tu s pavlixem opakujeme pořád kolem dokola: tohle není záležitost GRUBu, nýbrž konfigurace Debianu. A výsledkem je stále jeden textový konfigurák lišící se pouze syntaxí.+1 Navíc například v Gentoo se mi nic nepřepsalo, dokud jsem to neudělal ručně, takže skutečně existují distribuce, které tu automatiku nespouštění v rámci práce s balíčky. Ohledně Gentoo to navíc platí i o mnoha dalších balících.
31.1.2013 11:12
pavlix | skóre: 54
| blog: pavlix
Do příští aktualizace balíku s grubem, která ten soubor přepíše podle těch konfiguráků...Jak už se výše psalo, svádíš problémy distribuce na GRUB, který za to nemůže.
29.1.2013 23:13
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
30.1.2013 02:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Zacina me linux(obecne) cim dal vic srat tim, ze se ze vseho delaj binarni sracky ala widle ... v XP jeste slo editovat boot menu upravou textaku, ve Vistach uz ne ... grub1 vs grub2 ... initd vs systemd ... takze to co si clovek moh opravit pokud umel cist a psat ted bude resit s nejakym kompilatoremAž na drobnost, že je to právě initd/sysvinit, kde se konfigurace musí řešit poměrně záludným kompilátorem - shellem. V systemd je naopak všechna konfigurace v triviálním ini-like textovém formátu, anebo triviálním
proměnná=hodnota. V porovnání s DSL různých unixových věcí je textové rozhraní systemd až neskutečně triviální.
Pokud ovšem znáte kus systemd, který se konfiguruje binárně, sem s ním, jinak viz číslo 17.
29.1.2013 10:46
pavlix | skóre: 54
| blog: pavlix
tak si na to stejne musim napsat ten script, ze ...Pak ale nechápu v čem je problém.
29.1.2013 19:05
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Kterej debil vymyslel, ze v udev-197 nepujde eth pojmenovat eth ... ten by zaslouzil za koule povesit (a to bych na nej byl hodnej) ... fakt miluju kdyz se rozbiji neco, co proste funguje jen proto, aby to bylo politicky spravne ... http://bugs.gentoo.org/453494 http://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNamesMohl byste si o tom promluvit s K.S.*, ale zkuste si prichystat lepsi argumenty nez jste predvedl zde. * a hint - ne byvaly kandidat na prezidenta
30.1.2013 11:48
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Kay na něj pošle LennartaAz tak? Posle vetsiho bratricka.
No pořád lepší, než GregaKay na něj pošle LennartaAz tak? Posle vetsiho bratricka.
. Ale jinak bych si měl objednat větší smajlíky.
29.1.2013 11:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.1.2013 14:28
Jakub Lucký | skóre: 40
| Praha
pf, ipfw alebo ipf a je dokonca možné používať ich súčasne.
29.1.2013 11:20
pavlix | skóre: 54
| blog: pavlix
29.1.2013 12:01
pavlix | skóre: 54
| blog: pavlix
Nějak se vytratila zásadní otázka: V čem iptables nevyhovují1) dynamická konfigurace (zásahy do existujících pravidel) je opruz, který může dělat jen člověk, nebo právě jeden program 2) programy, které potřebují úpravy firewallu, nemohou obsahovat kusy konfigurace firewallu, které by stačilo jen někam zkopírovat a nechat firewall, aby si je přebral 3) výkon v případě dlouhých chainů s mnoha nesouvisejícími pravidly (minimálně donedávna) Všechno způsobeno použitím chainů všude (přestože se hodí jen málo). nftables by tohle mohly změnit.
30.1.2013 00:48
pavlix | skóre: 54
| blog: pavlix
Naopak o to, aby mi programy samy zasahovaly do konfigurace firewallu, vůbec nestojímPokud máš v pravidlech někde na začátku
--state RELATED -j ACCEPT, dělají to iptables samy o sobě (hezčí příklad než ftp je podle mě dlna server + upnp/ssdp server).
Další hezký jůs kejs navazuje na dlna: to chceš mít typicky přístupné doma, ale venku jen tehdy, pokud ho explicitně zapneš, tedy můžeš chtít, aby se v jinak manuální konfiguraci děla automatická změna.
Nicméně mě nešlo hlavně o úplně automatickou konfiguraci, ale mít možnost složitější nastavení někde přibalit tak, aby se dalo upravit jen např. čísla portů a přidat do /etc a nechat firewall vyrobit správnou konfiguraci sám.
Pokud mam nekde na zacatku related ... tak sem to tam dal proto, ze se takovejma paketama dal nehodlam zabejvat, ...... takže budeš používat dynamickou konfiguraci, kterou ovšem nemůžeš _téměř vůbec_ kontrolovat nebo nastavovat.
Kdyz neco zrovna zapnu ... hmm ... tak si odkomentuju radek v konfiguraku a pustim neco na tema iptables-restore ... ???To dost závisí na implementaci. Ale i tak se dá, třeba NM dělá něco podobnýho (sleduje změny v konfigurácích a když zapíšeš novou konfiguraci, hned ji změní)
"vyrobit spravnou konfiguraci sam" ... lol ... nocni mura kazdyho admina ... (stejne jako vsmozny scripty "zjednodusujici" konfiguraci)Jo, právě proto, že vyrobit z requirement-based pravidel ekvivalentní (a efektivní) pravidla do iptables je noční můra pro každýho programátora.
30.1.2013 18:01
pavlix | skóre: 54
| blog: pavlix
To dost závisí na implementaci. Ale i tak se dá, třeba NM dělá něco podobnýho (sleduje změny v konfigurácích a když zapíšeš novou konfiguraci, hned ji změní)A já upřímně doufám, že tohle chování nejpozději do 1.0 zrušíme.
Jo, právě proto, že vyrobit z requirement-based pravidel ekvivalentní (a efektivní) pravidla do iptables je noční můra pro každýho programátora.Ale může to dělat ten jeden démon.
A já upřímně doufám, že tohle chování nejpozději do 1.0 zrušíme.tak reload příkazem by stačil. Ta automatika je nepřirozená i pro mě, ale když holt
nmcli nic jako nmcli reload nemá, tak co s váma.
Ale může to dělat ten jeden démon.Kterýmu nesmí pod ruce nic sahat, nebo který nesmíš pustit nad vlastní křehká pravidla. Na věci typu vypínání/zapínání pravidel podle lokace fajn, ale to by se schopnějším kernelím firewallem mohl dělat NM rovnou sám. Když to tak píšu, vybavuje se mi linuxový hal, který lepil nedostatky výše (Xorg) i níž (kernel, udev), jakmile se ty nedostatky zalepily, milý hal šel rychle do kytek.
31.1.2013 11:17
pavlix | skóre: 54
| blog: pavlix
Kterýmu nesmí pod ruce nic sahat, nebo který nesmíš pustit nad vlastní křehká pravidla.Tak to je.
ale to by se schopnějším kernelím firewallem mohl dělat NM rovnou sám.Apage satanas. Další, kdo nám chce nasrat firewall rovnou do NetworkManageru. Neříkám, že tam nebude, jen že je to podle mě špatný nápad. A ještě horší nápad mi přijde integrovat přímo do stejného démona i monitoring síťového trafficu.
Další, kdo nám chce nasrat firewall rovnou do NetworkManageru.Ne firewall, jen přepínání profilů. Skutečnou práci už může udělat něco jinýho, ale nejlepší povědomí o poloze v síti má právě tvůj projekt.
31.1.2013 12:52
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Neříkám, že tam nebude, jen že je to podle mě špatný nápad.Ano, je to spatny napad. Spravne reseni: uz pracujes na systemd-network-manager a nebo te jeste LP do teto pozice zatim nedostal?
31.1.2013 13:05
pavlix | skóre: 54
| blog: pavlix
Další, kdo nám chce nasrat firewall rovnou do NetworkManageru. … A ještě horší nápad mi přijde integrovat přímo do stejného démona i monitoring síťového trafficu.
Vidím to v jasných barvách: systemd, networkd, storaged, … :-(
31.1.2013 14:23
pavlix | skóre: 54
| blog: pavlix
30.1.2013 11:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Naopak o to, aby mi programy samy zasahovaly do konfigurace firewallu, vůbec nestojím, byť připouštím, že o to někdo stát může.Jenze nebude muset prave ten user-spacovy daemonek nakonec zasahovat sam do konfigurace firewallu? V podstate mi prijde ze popisujete soucasny Fedori firewalld.
30.1.2013 18:02
pavlix | skóre: 54
| blog: pavlix
V podstate mi prijde ze popisujete soucasny Fedori firewalld.To souhlasím. Až na to, že firewalld je relativní novinka a řeší se s ním jen velmi malá podmnožina toho, na co se firewall na linuxu používá.
nat něco jako: -A POSTROUTING -i virbr0 -j MASQUERADE, tedy natovat provoz jdoucí z virtuálek bez ohledu na to, kterým rozhraním odchází.
POSTROUTINGem).
31.1.2013 22:21
pavlix | skóre: 54
| blog: pavlix
muzete si pravidla radit tak, jak je to nejoptimalnejsi pro vasi konkretni zatez.
s/muzete/musíte/
tohle vidím jako eufemismus pro "iptables neumí nic efektivnějšího, než procházet pravidla jedno po druhém" - což se pro hodně vzájemně se neovlivňujících pravidel efektivně udělat nedá (nebo dá, ale než třeba binární hledání pro dosažení O(log n) naimplementujete, tak minimálně zešedivíte, takže se radši spokojíte s jedním chainem a O(n)).
Jako příklad si vemte třeba virtualizující stroj s tisícovkou virtuálek a požadavkem na to, aby virtuálka nemohla spoofovat svou zdrojovou IP. (Tento příklad mimochodem ukazuje i to, k čemu je dobrá dynamická konfigurace fw na serveru.)
Jako příklad si vemte třeba virtualizující stroj s tisícovkou virtuálek a požadavkem na to, aby virtuálka nemohla spoofovat svou zdrojovou IP. (Tento příklad mimochodem ukazuje i to, k čemu je dobrá dynamická konfigurace fw na serveru.)Todle mi prijde jako naprosto vzorovej priklad na pouziti ipsetu, takze by se cela kontrola zredukovala na jedno pravidlo pro iptables.
Todle mi prijde jako naprosto vzorovej priklad na pouziti ipsetupro bridgované sítě stejně musíš použít ebtables (kde nic podobného není), pro routované sítě to stejně musíš vydefinovat dvakrát (vynutit mac/iface a následně ip/mac, přičemž můj
ipset (8) se tváří, že umí jen to druhé, to první se stejně musí dělat chainem).
Po letmem pohledu do man ebtables bych rekl, ze tomu odpovida volba among.: among Match a MAC address or MAC/IP address pair versus a list of MAC addresses and MAC/IP address pairs. A list entry has the following format: xx:xx:xx:xx:xx:xx[=ip.ip.ip.ip][,]. Multiple list entries are separated by a comma, specifying an IP address corresponding to the MAC address is optional. Multiple MAC/IP address pairs with the same MAC address but different IP address (and vice versa) can be specified. If the MAC address doesn't match any entry from the list, the frame doesn't match the rule (unless "!" was used).Todle mi prijde jako naprosto vzorovej priklad na pouziti ipsetupro bridgované sítě stejně musíš použít ebtables (kde nic podobného není)
pro routované sítě to stejně musíš vydefinovat dvakrát (vynutit mac/iface)To mi prijde zbytecne, pro virtualni stroje mate k dispozici 70368744177664 MAC adres, takze brutalforce utok by trval velmi dlouho a je velmi snadne ho detekovat.
Po letmem pohledu do man ebtables bych rekl, ze tomu odpovida volba amongKdyž se na to dívám ještě jednou, tak to among je až zbytečný, pokud vypustím ochranu proti arp cache poisoning a podobným. Pak by mi stačil ebtables chain s pravidly
-i tunXYZ --src-ip ! adresa_z_dhcp -j DROP, nicméně i ty bych prakticky musel mít jak v INPUT, tak ve FORWARD chainu. Pokud bych chtěl ochranu i na L2, už by to bylo pro každou virtuálku po dvou pravidlech v dotyčných chainech.
Takže jsme opět na začátku, na plnou ochranu máme místo 10-11 průchodů optimálním stromem v průměru průchod 1000 ze 2000 pravidel.
To mi prijde zbytecne, pro virtualni stroje mate k dispozici 70368744177664 MAC adresTudíž správce virtuálky si může vybrat spoofovanou MAC z 70368744177663 možností. Proto whitelist.
A co vam brani tu virtualku sestrelit pri prvni nezname kombinaci MAC/IP. Pak je pravdepodobnost uspesneho utoku na stroj s 1000 virtualkami naprosto zanedbatelna.To mi prijde zbytecne, pro virtualni stroje mate k dispozici 70368744177664 MAC adresTudíž správce virtuálky si může vybrat spoofovanou MAC z 70368744177663 možností. Proto whitelist.
A co vam brani tu virtualku sestrelit pri prvni nezname kombinaci MAC/IP.Třeba to, že nemusí být moje?
Proc to v tom pripade nedate do PREROUTINGu?Protože ho u ebtables nevidím tabulku mangle, v tabulce filter není a k tabulce nat se píše:
A small note on the naming of chains PREROUTING and POSTROUTING: it would be more accurate to call them PREFORWARDING and POSTFORWARDING, but for all those who come from the iptables world to ebtables it is easier to have the same names.
nicméně i ty bych prakticky musel mít jak v INPUT, tak ve FORWARD chainu.Proc to v tom pripade nedate do PREROUTINGu?
1.2.2013 13:29
pavlix | skóre: 54
| blog: pavlix
pro bridgované sítě stejně musíš použít ebtablesNení důvod.
iptables -A FORWARD -i tapX --src ! adresa_z_dhcp -j REJECT nebude mít žádný efekt a virtuálka připojená do tapX si bude moct posílat pakety s jakoukoliv zdrojovou IP.
1.2.2013 14:42
pavlix | skóre: 54
| blog: pavlix
Měl jsem za to, že iptables bridgovaný traffic nevidíChyba.
tedy pravidlo typu iptables -A FORWARD -i tapX --src ! adresa_z_dhcp -j REJECT nebude mít žádný efektBude mít efekt, jen je v praxi potřeba doplnit ještě o ebtables/arptables pravidla, abys vyřešil non-IP traffic a ip6tables, abys vyřešil IPv6 traffic. V tomhle je právě škoda, že to není pořešeno jednotněji. Výsledek by měl mnohem lepší bezpečnostní výsledky s ohledem na administrátorské chyby a znalost/neznalost protokolů.
1.2.2013 15:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
2.2.2013 12:19
pavlix | skóre: 54
| blog: pavlix
Kdyz vas tady tak ve threadu sleduji, premyslim nad tim a koukam na souvisejici dokumentaci, uvedomuji si cim dale vice, ze Mares mel nahore pravdu, i kdyz tyhle veci z principu nemohou byt jednoduche.Jo to souhlasím.
3.2.2013 22:44
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
4.2.2013 00:38
pavlix | skóre: 54
| blog: pavlix
Chyba.Která ale stejně nic nemění na prvním a druhém odstavci #83, nebo se pletu?
V tomhle je právě škoda, že to není pořešeno jednotněji. Výsledek by měl mnohem lepší bezpečnostní výsledky s ohledem na administrátorské chyby a znalost/neznalost protokolů.To už mi přijde jako třešnička na dortu.
2.2.2013 12:19
pavlix | skóre: 54
| blog: pavlix
Která ale stejně nic nemění na prvním a druhém odstavci #83, nebo se pletu?To záleží na tom, jestli se skutečně chceš vzdát filtrování non-IP paketů.
30.1.2013 11:49
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
30.1.2013 15:22
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
ac398bfeca8213caeb2ba23231 ac38bfa82cae2a2231fea235ce ac3bfec83cab2ba23186ffeaecIdealne srozumitelne, trivilani ... neniliz pravda?
30.1.2013 20:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.1.2013 20:22
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
30.1.2013 20:21
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Tiskni
Sdílej:
