abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 14:22 | Nová verze

    HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.

    Ladislav Hagara | Komentářů: 0
    dnes 13:44 | Komunita

    Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Komunita

    Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.

    Ladislav Hagara | Komentářů: 1
    dnes 13:00 | IT novinky

    Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.

    Ladislav Hagara | Komentářů: 0
    dnes 02:55 | Bezpečnostní upozornění

    Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.

    Ladislav Hagara | Komentářů: 3
    včera 16:55 | Zajímavý software

    pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.

    Ladislav Hagara | Komentářů: 0
    včera 16:00 | IT novinky

    Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 04:55 | Komunita

    Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)

    Ladislav Hagara | Komentářů: 6
    včera 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 1
    16.7. 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (30%)
     (4%)
     (6%)
     (2%)
     (15%)
     (25%)
    Celkem 2162 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: ssh - vyrazne zpomaleni pri authentikaci

    Pavel Čejka avatar 5.5.2003 08:56 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    ssh - vyrazne zpomaleni pri authentikaci
    Přečteno: 193×

    Mám síť s několika počítači a jedním routerem, na všem běží SuSE Linux 8.1, kromě routeru, tam je Devil-Linux 0.5 (distribuce CD + FDD bez HDD). Nakonfiguroval jsem takové ty běžné věci jako iptables, dns, dhcp server a podobně - vše na routeru s Devil-Linuxem. Vše funguje tak jak má. Připojení k internetu jsem dosud simuloval počítačem s věřejnou ip adresou a přístup skrze router-firewall je z vnitřní sítě (192.168.x.x) normální dle představ, resolvování jmen i IP adres funguje, IP adresy jsou korektně přidělovány atd...

    Mám ale problém s ssh, po jedné z úprav, a bohužel nevím které, protože jich v ten okamžik bylo víc, začal mít neuvěřitelně dlouhé odezvy. Místo přihlášení (authentikuju se rsa klíčem) během tak dvou - tří sekund (i dříve, počítače jsou Pentia 4 na 1,7GHz) se najednou authentikace protáhla až na desítky sekund, v některých případech jsem naměřil i více než minutu a takovou odezvu nezaznamenávám ani při připojování přes telefonní linku na mnohonásobně pomalejší počítač.

    Znovu jsem prověřil všechno možné, síť - myšleno hardware, pravidla iptables, dns a prostě vše co by mohlo dělat problémy a co mne napadlo. Nakonec jsem zjistil, že ssh se zasekne vždy na dvou bodech a to:
    1/ debug1: SSH2_MSG_KEXINIT sent
    2/ debug1: SSH2_MSG_KEXINIT sent

    Obojí trvá zhruba stejně dlouho, ačkoliv jinde proběhne okamžitě. Nepovedlo se mi vygooglovat nic použitelného. Tušíte čím by to mohlo být?

    Odpovědi

    6.5.2003 11:45 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci
    hm, to vypadá podivně, takže to mrzne
    debug1: SSH2_MSG_KEXINIT sent
    --- tady? ---
    debug1: SSH2_MSG_KEXINIT received
    
    (tvoje 1/ a 2/ je stejné ;) vzhledem k tomu, že to trvá tak dlouho, neměl by být problém podívat se, co ten počítač během toho dělá. ať už lokálně, nebo s čím během toho komunikuje (tcpdump, ethereal, ...), podle délky odezvy mi to připadá, jako kdyby se snažil někam connectnout (ale to je divné, protože mi není jasné kam, reverse mapping by měl snad failnout rychle, když už)
    6.5.2003 12:20 kokot
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci
    obavam se, ze tcpdump to neresi, spis to vypada na nejaky timeout... neni treba neco v nastaveni parametru toho ssh daemona?
    6.5.2003 12:30 Beda
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci
    1. moznost povol na firewallech ident demona a nakonfiguruj ho 2. moznost misto povoleni vracej jen icmp port unreachable, nebo tcp-reset 3. kazdopadne jesli se provadi DROP paketu co jdou k tvymu nebo od tvyho ident demona, tak ti kazdy cizi i tvuj server, ktery provadi ident, komu patri spojeni chvili timeoutne, dokud nerozhodne, ze identifikace vlastnika spojeni neprobehne... pokud tam das ty rejecty, tak mu to aspon dojde driv.
    Pavel Čejka avatar 8.5.2003 11:48 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci

    David Nečas & ostatní: Ad body 1 a 2, ten druhý bod mělo být toto:
    debug1: next auth method to try is gssapi

    Pavel Čejka avatar 8.5.2003 12:04 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci

    kokot: - Nastavení ssh deamona i klienta je defaultní.

    Beda: - Nakonec se ukázalo, že pravděpodobně vytimeoutuje DNS, takže zakazování na firewallu by moc nepomohlo, resp. asi ano, ale nebylo by to použitelné v reálném provozu. Krom toho, firewall na běžných portech vrací unreachable místo aby packet jen zahodil.

    Všem díky za snahu.

    Pavel Čejka avatar 8.5.2003 11:58 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci, řešení

    Všichni: - Problém se mi nakonec vyřešit povedlo. Tcpdumpem jsem zjistil, že se přihlašující se počítač snaží spojit s jedním z mých servisních počítačů, kterých se to vůbec týkat nemělo. Konkrétně s počítačem pojmenovaným kerberos, který představoval v tu chvíli internet, tj. měl veřejnou IP adresu a byl připojen na vnější straně firewallu.

    Tenhle počítač kerberos, ale měl v DNS a DHCP záznam. Tj. měl podle MAC adresy správně dostat pevnou IP podle záznamu v DNS a ta měla být privátní, shodou okolností ve stejném segmentu, jako se nachází počítač, kterému to tak dlouho trvalo.

    Závada zmizela poté, co jsem odstranil záznam z konfigurace DHCP serveru a z DNS. Poté se přihlašující se počítač přestal odkazovat na kerberose úplně. Takže teď vše funguje tak jak má.

    Přiznávám, že ale nechápu, proč vůbec byl odesílán jakýkoliv požadavek na třetí počítač.

    8.5.2003 12:04 Tom K | skóre: 22
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci, řešení
    nebude to prave tim pojmenovanim kerberos ? nemas to ssh nastavenou autentizaci pomoci kerberosu ?
    echo -n "u48" | sha1sum | head -c3; echo
    Pavel Čejka avatar 8.5.2003 12:05 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci, řešení

    Tomáš Konir: - Authentikuju se RSA klíčem, ale fakt je, že už mne taky napadlo jestli hostname kerberos nedělá problémy. Nevím.

    8.5.2003 12:10 kokot
    Rozbalit Rozbalit vše ssh - vyrazne zpomaleni pri authentikaci, řešení
    nevyzpytatelne jsou cesty bozi...
    8.8.2005 15:44 Tomáš Hála | skóre: 39 | blog: blog
    Rozbalit Rozbalit vše Re: ssh - vyrazne zpomaleni pri authentikaci
    IMHO je jednoduchým řešením volba "UseDNS no" do /etc/ssh/sshd_config. Nicméně se tím zruší kontrola reverzního záznamu klienta, který se pokouší o připojení.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.