Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT iptables -A INPUT -i lo -j ACCEPTpokud tohle spustím na noteboku(10.0.0.140), a pinguju jeho adresu z netbooku(10.0.0.141) třeba:
ping -c 20 10.0.0.140propustí mi to uplně všechny icmp pakety... To se mi tak trochu nezdá. Když zakomentuju ten řádek se "--state ESTABLISHED,RELATED atd.", tak to těch icmp paketů propustí opravdu jen 5. Mohl by mi prosím někdo osvětlit, co tedy tenhle řádek přesně dělá. Děkuji.
Řešení dotazu:
-A ALLOW_ICMP -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT -A ALLOW_ICMP -p icmp -j DROP
Doplnim: jde o to, co autor vlastně chce. Pokud od sebe povolit vše, tak platí, že v OUTPUTu to povolí a pak už to omezit nejde, protože už to je established. Tedy u pingu z venku by to mělo limitovat odpovědi, při jeho uvedeném zadání praviděl.
Pro bližší orientaci doporučuji shlédnout (např. toto) iptables packet flow.
iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPTPrvně jsem to totiž pochopil tak, že ten řádek
"iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT"
povolí těch 5 paketů a zbytek nastaví na DROP, právě proto, že je výchozí politika DROP. Právě proto že co není povoleno, to by mělo být zakázano... nj. Každopadně dík.
man iptables
(hledejte slovo braindead). Pokud nastavíte limit jak je uveden v příkladu tak mi bude stačit vás odněkud pingat a už žádnou ICMP neobdržíte. Spojení se budou rozpadat a timeoutovat. Vyhodí vás za to z práce. Opustí vás pes. Budete smutný a začnete žrát hodně čokolády. Zkazí se vám zuby. Takže neomezujte ICMP pokud nechcete trpět u zubaře.
V originále byla tuším 1/s.Jako by na tom záleželo.
To omezení dělali kvůli "Ping off Death"...A co to je?
A co to je?s iptables i o TCP/IP se to teprv učím, to se mě moc ptáš
A co to je?zde najdes to co hledas
Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené.
Pokud to postaví na kondenzátor dozadu, tak se mu to ohřeje . Takže bude mít ohřívací lampu vlastně.
--icmp-type 0, 3, 8, 11
apod. Mírné omezení počtu pingů neuškodí, lepší než řešit následky icmp floodu. Samozřejmě v ideálním světě bych je taky neomezoval :)
Prostě omezovat pouze typ od kterého může hrozit nebezpečí.Jaké nebezpečí?
10.10.2004
Nejsem si jist, od kdy funguje connection tracking pro ICMP, každopádně ten článek je 6 let starý. Nebudeme na sebe vytahovat žákovskou a mlátit se po hlavě za chyby v první třídě, že ne?
následky icmp flooduJaké následky?
--limit
nezahazuje pakety, a díky pěknému limitu 1/minutu to i na vlastní oči viděl, pak to je dobře a může se mu to časem v praxi hodit.
Na lidi jako jako pht, kteří na informaci od začátečníka že něco četl o "Ping of Death" ragují "a co to je?" nemíním plýtvat víc, než jen tou zkratkou, protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat, protože poslední známá zranitelnost je z loňska a je nepravděpodobné, že by postihla zrovna vás.", a pokud je to zároveň člověk sečtělý a není líný hledat, uvede in nějaké odkazy na zdroje, které jeho tvrzení podpoří.
Zatím to ovšem spíš vypadá, že se tu všichni vyspali špatně, takže pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má, a uvede zdroje místo hraní si na nechápavého a dělání, že o zranitelnosti přes icmp v životě neslyšel a je to asi něco z říše pohádek.
Jeden link ke kovářovi přímo na konkrétní téma. Navíc v tamní KB toho lze najít dost
Ať se tu nemele prázdná sláma.
protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovatJelikož jsem napsal toto v naší diskusi již 2x, tak jsem zřejmě inteligentní a dobře vyspaný. Uf, to jsem si oddechl. Vážně. Pokud bych si nemyslel že ICMP není třeba omezovat, tak bych nenapsal "ICMP není třeba omezovat". Pokud mi někdo na to napíše "ale je, kvůli útoku X" tak se přirozeně zajímám "co je to útok X a proč bych měl kvůli tomu omezovat ICMP". A pokud mi někdo odpoví "najdi si to na netu" tak si pomyslím že ten člověk neví. Takže to vypadá že všichni ví že "ping of death je něco hroznýho - omg! musíme s tím něco dělat, co třeba omezit ICMP" ale nikdo neví co to ve skutečnosti je. Co se třeba zeptat?
pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit máJo aha takže jste se přece jen "zeptal". Tak např. proto, že PoD má co dělat s velikostí paketu ale nic s frekvencí. A obecně např. proto, že nemá smysl chránit děravý IP stack firewallem postaveným na tomtéž IP stacku. A u ping flood vám nepomůže omezovat něco co k vám stejně přes úzkou linku už dorazilo. A protože vás můžu zahltit zrovna tak TCP paketama. A dále protože všechny tyhle kraviny jsou zabezpečeny defaultně, takže se nemusí nově koupený počítač dodatečně zabezpečovat dvaceti nastaveníma sehnanýma kdovíkde na internetu.
Tiskni
Sdílej: