Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Novinky z vývoje Asahi Linuxu – únor 2026 / Linux 6.19

dnes 16:22 | Komunita

Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Fedora 43 Asahi Remix s KDE Plasma už funguje na M3. Zatím ale bez GPU akcelerace. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

Ladislav Hagara | Komentářů: 0

Red Hat představil nástroj pro hodnocení připravenosti organizací na digitální suverenitu

dnes 14:00 | IT novinky

Red Hat představil nový nástroj Digital Sovereignty Readiness Assessment (GitHub), který organizacím umožní vyhodnotit jejich aktuální schopnosti v oblasti digitální suverenity a nastavit strategii pro nezávislé a bezpečné řízení IT prostředí.

Ladislav Hagara | Komentářů: 0

BarraCUDA, kompilátor CUDA pro AMD

dnes 12:22 | Zajímavý software

BarraCUDA je neoficiální open-source CUDA kompilátor, ale pro grafické karty AMD (CUDA je proprietární technologie společnosti NVIDIA). BarraCUDA dokáže přeložit zdrojové *.cu soubory (prakticky C/C++) přímo do strojového kódu mikroarchitektury GFX11 a vytvořit tak ELF *.hsaco binární soubory, spustitelné na grafické kartě AMD. Zdrojový kód (převážně C99) je k dispozici na GitHubu, pod licencí Apache-2.0.

NUKE GAZA! 🎆 | Komentářů: 0

Příjmy z podvodných reklam na sociálních sítích v ČR vzrostly na 3,4 miliardy

včera 17:00 | IT novinky

Podvodné reklamy na sociálních internetových platformách, jako je Facebook, Instagram nebo X, vytvořily loni v Česku jejich provozovatelům příjmy 139 milionů eur, tedy zhruba 3,4 miliardy korun. Proti roku 2022 je to nárůst o 51 procent. Vyplývá to z analýzy Juniper Research pro společnost Revolut. Podle výzkumu je v Česku zhruba jedna ze sedmi zobrazených reklam podvodná. Je to o 14,5 procenta více, než je evropský průměr, kde je podvodná každá desátá reklama.

Ladislav Hagara | Komentářů: 2

KDE Plasma 6.6

včera 15:44 | Nová verze

Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.6 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

Ladislav Hagara | Komentářů: 0

Czkawka a Krokiet 11.0

včera 03:22 | Nová verze

Czkawka a Krokiet, grafické aplikace pro hledání duplicitních a zbytečných souborů, byly vydány ve verzi 11.0. Podrobný přehled novinek v příspěvku na Medium. Od verze 7.0 je vedle frontendu Czkawka postaveného nad frameworkem GTK 4 vyvíjen nový frontend Krokiet postavený nad frameworkem Slint. Frontend Czkawka je už pouze v udržovacím módu. Novinky jsou implementovány ve frontendu Krokiet.

Ladislav Hagara | Komentářů: 23

Úvod do MeshCore

včera 02:00 | Zajímavý článek

Jiří Eischmann na svém blogu publikoval článek Úvod do MeshCore: "Doteď mě radioamatérské vysílání úplně míjelo. Když jsem se ale dozvěděl, že existují komunity, které svépomocí budují bezdrátové sítě, které jsou nezávislé na Internetu a do značné míry taky elektrické síti a přes které můžete komunikovat s lidmi i na druhé straně republiky, zaujalo mě to. Když o tom přede mnou pořád básnili kolegové v práci, rozhodl jsem se, že to zkusím taky.

… více »

Ladislav Hagara | Komentářů: 4

Lutris 0.5.20

16.2. 22:55 | Nová verze

Byla vydána verze 0.5.20 open source správce počítačových her na Linuxu Lutris (Wikipedie). Přehled novinek v oznámení na GitHubu. Instalovat lze také z Flathubu.

Ladislav Hagara | Komentářů: 0

Peter Steinberger, autor OpenClaw, nastupuje do OpenAI

16.2. 12:44 | IT novinky

Peter Steinberger, autor open source AI asistenta OpenClaw, nastupuje do OpenAI. OpenClaw bude převeden pod nadaci a zůstane otevřený a nezávislý.

Ladislav Hagara | Komentářů: 0

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků za rok 2025

16.2. 03:11 | Zajímavý článek

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2025. Ke konci roku 2025 vlastnila 349 462 pevných disků. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, byla 1,36 %. V roce 2024 to bylo 1,57 %. V roce 2023 to bylo 1,70 %. V roce 2022 to bylo 1,37 %.

Ladislav Hagara | Komentářů: 15

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / vsftpd + TLS v pasivním režimu

Štítky: bezpečnost, firewally, FTP, Internet, iptables, NAT, sítě, šifrování, TLS, vsftpd

Dotaz: vsftpd + TLS v pasivním režimu

24.7.2006 19:37 Phil | skóre: 4
vsftpd + TLS v pasivním režimu

Přečteno: 223×

Odpovědět | Admin

Dobrý den,

jakým způsobem provozujete VSFTPD + TLS v pasivním režimu (Fedora Core 4)? Prosté otevření portů v iptables mi nepřipadá bezpečné, máte pro to nějaké speciální pravidlo? Velice děkuji za všechny vaše rady a názory.

S přáním pěkného dne,

Filip Novák.

Nástroje: Začni sledovat (0) ?

Odpovědi

25.7.2006 09:34 petr_p
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Neprovozuji, ale z principu to asi nelze, kdyz pasv prikaz je sifrovany.

Budto si vynute sifrovani a i na datovem spojeni (force_*_data_ssl) nebo vypnete pasv_promiscuous a otevrte 20, nebo proste tu 20 otevrte a doufejte, ze vsichni budou hodni.

25.7.2006 09:36 petr_p
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

V tom prvnim pripade take musite otevrit 20, ale bezpecnost trpet nebude.

25.7.2006 18:28 Phil | skóre: 4
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Zapomněl jsem napsat, že aktivní mód na statických IP u klienta funguje bez problémů. Nevím, zda jsem to dobře pochopil, ale zdá se mi, že toto neřeší připojení klientů za NATem. K tomu potřebuji ten pasivní mód (podařilo se mi jej rozchodit pouze otevřením portů na FW, nastavených ve vsftpd.conf - pas_min_port a pas_max_port). Pokud se mýlím, prosím o vysvětlení. Díky.

26.7.2006 08:57 petr_p
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Ja myslel, ze resite bezpecnost. U pasivniho rezimu je problem v tom, ze klient A da prikaz PASV a pak treba RETR. Pak prijde zaskodnik B, ktery se pripoji na datovy port na serveru a vysosne data urcena klientovi A bez jakekoliv autentizace.

Tomuto utoku muzete predejit zpusoby, jak jsem popsal vyse. Nebo, jak jste psal vy, nadefinujete rozsah pro datove porty dost velky na to, aby utocnik nevedel, kam se pripojit.

Mate-li otevreny jen jeden datovy port, pak je take problem, pristupuje-li na FTP server vice klientu se stejnou zdrojovou IP (napr. za NATem). Pak si nevedomky kradou datova spojeni a efektivne jim ten server "nefunguje". (To jsem si puvodne neuvedomil a je to problem.)

A k vasi otazce: Ano, je-li kontrolni spojeni sifrovane, nat_ftp helper v jadre neni schopen precist datovy port a automaticky jej otevrit pro daneho klienta, tudiz je nutne ty porty otevrit rucne na trvalo.

Ja jsem jako zabezpeceni uvedl sifrovani i datovych spojeni. Diky tomu nebude mozne precist cizi data. Pak se ovsem nemusite bat pootvirat datove porty (v zajmu funkcnosti pres NAT jich otevrte vic).

26.7.2006 09:31 Phil | skóre: 4
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Děkuji za Vaši odpověď. Tou bezpečností jsem měl na mysli zejména bezpečnost serveru po otevření rozsahu portů pro pasivní režim. V pravidlu iptables bohužel nemohu uvést (neznám) rozsah zdrojových IP pro otevřené porty. Zajímá mě tedy do jaké míry je toto řešení nebezpečné pro server.

26.7.2006 13:34 petr_p
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Muzete vysvestlit, co si predstavujete pod pojmem "bezpecny pro server"? Obecne za bezpecne se povazeje to, co ma riziko prolomeni ochrany nizsi nez je stanoveny limit.

Pokud chcete slyset seznam vsech utoku, ktere lze vezt na FTP server, tak si ho radeji nekde najdete nebo si nastudujte FTP prokol a zamyslete se. Ja jsem uvedl jeden typicky utok a take zpusob, jak jej resit.

S prominutim, vase otacka je asi na takove urovni, jako jaky vliv na bezpecnost meho domu bude mit otevrene okno, protoze se chci z nej vybavovat s kolemjdoucimi. Ukazte mi konkretni problem, s kterym si nevite rady a ja nebo nekdo jiny vam treba odpovi.

26.7.2006 14:59 Phil | skóre: 4
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Omlouvám se za takto formulovanou otázku, zkusím to lépe. Na FW jsem tímto pravidlem otevřel porty pro pasivní režim:

iptables -A INPUT -p TCP --dport 11000:11100 -j ACCEPT

toto je nast. vsftpd.conf pro TLS a pasivní režim:

force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
pasv_min_port=11000
pasv_max_port=11100

Tato varianta je funkční. Lze to z hlediska bezpečnosti udělat lépe?

26.7.2006 18:00 petr_p
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Takto je tam uz jediny problem: na takto vysoke porty se muze nabindovat jakykoliv proces. Takze pokud mate na serveru zleho uzivatele, tak si na nektery z techto portu muze povesit svoji vlastni sluzbu, a protoze jej mate otevreny na firewallu, tak se tam muze kdokoliv pripojit.

Takze bud tam nemate zadne dalsi uzivatele, nebo ten rozsah portu presunete nekam na privilegovany rozsah (standardne to je pod 1024), nebo presvedcite vsftpd, aby se na ty porty nabindoval ihned po spusteni (coz podle manualu asi neumi)).

Pokud vas to zajima vic, precte si draft-fordh-ftp-ssl-firewall-07.txt. Je tam zminovane nejake reseni midcom, ktere to resi tim, ze FTP server rekne firewallu, ktere porty se maji otevrit. Jinak mne uz nic jineho nenapada. Vzasade kdyz odhledneme od DOS a zombie-scan utoku, ktere se ovsem tykaji jakehokoliv otevreneho TCP portu, tak ve vasem reseni nevidim nic spatneho.

27.7.2006 08:23 Phil | skóre: 4
Rozbalit Rozbalit vše Re: vsftpd + TLS v pasivním režimu

Moc děkuji za Vaše rady a názory.
Hezký den.

Založit nové vlákno • Nahoru

Tiskni Sdílej: