Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Ardour 9.5

dnes 04:22 | Nová verze

Byla vydána nová verze 9.5 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0

Google I/O 2026

včera 21:00 | IT novinky

Dnes a zítra probíhá vývojářská konference Google I/O 2026. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

Ladislav Hagara | Komentářů: 0

Ubuntu Core 26

včera 19:00 | Nová verze

Canonical vydal Ubuntu Core 26. Vychází z Ubuntu 26.04 LTS a podporováno bude 15 let. Ubuntu Core je minimální neměnný operační systém určený pro vestavěné systémy.

Ladislav Hagara | Komentářů: 0

OpenBSD 7.9

včera 16:22 | Nová verze

Bylo vydáno OpenBSD 7.9. Po dlouhé době opět se songem: Diamond in the Rough.

Ladislav Hagara | Komentářů: 0

Firefox 151.0

včera 16:00 | Nová verze

Byl vydán Mozilla Firefox 151.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 151 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Musk prohrál soudní spor s firmou OpenAI

včera 12:22 | IT novinky

Elon Musk prohrál soudní spor se společností OpenAI, která se podle jeho žaloby odchýlila od původně uváděného cíle vyvíjet umělou inteligenci (AI) ku prospěchu lidstva. Porota včera po necelých dvou hodinách dospěla k jednomyslnému závěru, že Musk žalobu podal příliš pozdě. Musk byl jedním ze spoluzakladatelů společnosti OpenAI, která vznikla v roce 2015 a vyvinula populární chatovací systém ChatGPT. V roce 2018 na svůj post ve vedení

… více »

Ladislav Hagara | Komentářů: 0

DietPi 10.4

včera 10:22 | Nová verze

Byla vydána nová verze 10.4 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Opraveny jsou zranitelnosti Copy Fail a Dirty Frag. Přibyl nový obraz pro Orange Pi 5B.

Ladislav Hagara | Komentářů: 0

ModuleJail zakáže automatické načítání nepoužívaných jaderných modulů

včera 07:44 | Zajímavý software

Pokud je zranitelnost Linuxu v nepoužívaném jaderném modulu, lze ji jednoduše vyřešit zakázáním automatického načítání tohoto konkrétního zranitelného modulu. Projekt ModuleJail si klade za cíl zvýšit bezpečnost Linuxu zakázáním automatického načítání všech nepoužívaných jaderných modulů. Jedná se o skript, který dá všechny nepoužívané jaderné moduly na blacklist (/etc/modprobe.d/modulejail-blacklist.conf).

Ladislav Hagara | Komentářů: 1

Ukládání informací na lepicí pásku? Vědci z PennState říkají ano!

18.5. 16:11 | Zajímavý článek

Odborníci z Penn State University zkoumají způsob ukládání informací na lepicí pásku. Principiálně by podle nich bylo možné kombinací odlepení a zpětného přilepení dosáhnout uložení informace, kterou opětovným odlepením dokážou přečíst. Výhodou je, že způsob uložení i přečtení je čistě mechanický. Zde o tom referují ve volně dostupném článku. Zajímavé bude sledovat zda se jim v rámci výzkumu podaří prokázat použitelnost i v jiné než

… více »

karkar | Komentářů: 9

Adobe Lightroom CC na Linuxu a Wine

18.5. 13:00 | Zajímavý projekt

Na GitHubu byl publikován reprodukovatelný návod, jak rozchodit Adobe Lightroom CC na Linuxu a Wine. Návod byl vytvořený pomocí AI Claude Code.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak byste technicky realizovali přístup k firemním datům z intenetu

Štítky: heslo, nastavení, NAT, problém, sdílení, server, SFTP, sítě, smb, SSH, VPN, Windows

Dotaz: Jak byste technicky realizovali přístup k firemním datům z intenetu

16.11.2011 19:27 sonda
Jak byste technicky realizovali přístup k firemním datům z intenetu

Přečteno: 521×

Odpovědět | Admin

Ahoj. Situace je následující: datový windows server, potřeba přístupu k datům z domova, nikam jinam do sítě nepotřebují. Řešení už mám prakticky realizované přes připojení se na ssh server resp. uživatel se připojí klíčem k serveru, přes příkaz (napíše jméno skriptu a zadá heslo - to je automatizované přes nastavení v klientu) si připojí sdílení a pomocí sftp klienta může přenášet data: výhodou je úplné odstavení koncového uživatele od přímého přístupu k windows serveru (nemožnost útoků). Nevýhodou je prakticky jen nutnost připojit si sdílení (1 krok navíc). Chtěl bych tady vysondovat jak to řešíte vy? Jak moc se dá důvěřovat microsoftu, že zabezpečil SMB - kdyby měl uživatel z domova přes VPNko přímý přístup k serveru (u VPN by tedy mohl nastat problém kolize dvou privátních adres, nebo by se musel použít NAT nebo druhá IP adresa serveru)?

Nástroje: Začni sledovat (0) ?

Odpovědi

16.11.2011 20:17 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Nevidim bezpecnotsni problem zridit vpn a povolit tunelem pouze pristup na ip adresu serveru a pouze na port 445 a na zdilene adresare zabezpecene heslem. Pripadne jeste omezit pocet spojeni za sebou jako ochranu pred brute force na ten share.

16.11.2011 21:57 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Pokud to není bezpečnostní riziko, tak nad tím popřemýšlím, až budu mít k dispozici nějaké další veřejné ip adresy, teď má windows server privátní ip adresu a je za NATem. A už vidím ten bordel až by se někdo připojil a byl doma ve stejné podsíti jako je ten windows server - pak bych musel dát serveru další ip adresu z jiného rozsahu a říct uživateli ať zadává správnou ip adresu. Jenže to už je věc, kterou nezvládne většina uživatelů a to myslím naprosto bez nadsázky. Už připojení se přes ssh jich nezvládne půlka (i když mají k dispozici všecho "zautomatizované" .bat soubory. Dokonce teď uvažuji o možnosti povolit jim přihlašování přes ssh pomocí hesel (ty alespoň nemohou ztratit) s tím, že bych vynutil použití sftp. Je to velká blbost? Podle mě má přihlašování klíčem jen výhodu, že se nepřenáší heslo během autentizace s ssh serverem. Nicméně to případnému útoku MITM nezabrání, stejně si každý musí kontrolovat serverové fingerprinty.

17.11.2011 09:43 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Pokud si sitovou cast VPN zaridis sam, prideleni IP adresy a zpristupneni site je pro klienta automaticke, pouze zadava heslo do vpn, adresar staci nazdilet jenou, potom bude maximalne offline. Vpn server nemusi bezet na serveru a klientska sit muze byt oddelena od site serveru. Ty pouze sit zpristupnis v ramci vpn a oddelis firewallem,takto:

server --- vpn --- kleint

Staci ti jedna verejna pro vsechny a vymysleny privatni rozsah pro klienty, zbytek vyresis sitove.

17.11.2011 13:16 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Jak zbytek vyřeším síťově? Pokud má klient i server stejnou privátní ip adresu, pak to nebude fungovat a vůbec nezáleži na tom, že od VPN serveru dostane klient novou privátní IP adresu. Úplně stačí, pokud bude klient doma a server ve firmě ve stejné podsíti, pak bych musel klientovi ukrást alespoň 1 IP adresu toho serveru (dát to jako první routu). Jak tohle nějak normálně řešit v rámci privátních IP adres? Přidávat IP adresy a doufat, že jedna z nich nebude kolidovat, NAT, ...?

např.

klient
eth0: 192.168.1.50/24
tap0: 10.1.0.2/24

vpn server:
eth0: 192.168.1.3/24
tap0: 10.1.0.1/24

windows server:
192.168.1.50/24

17.11.2011 14:05 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Chapu,ale tim natem by to mozna zamaskovat, nemam to otestovane, nejak takto:

win server 192.168.1.50 (lan)
vpn server 88.44.22.11 (wan)
           10.1.0.1 (vnitrek tunelu)
           10.1.0.2 ( <-> NAT 192.168.1.50)
klient     10.1.0.3 (vpn)
           192.168.1.50(lan)
           88.44.33.11(wan)

Na VPN server by jsi naroutoval lan windows serveru a do VPN tunelu ji premaskovaval pro klienta, takze klientu by se zadna sit nemusela routovat.

To, ze muze nahodou kolidovat IP-cko tunelu s privatni siti klienta s tim musis pocitat. Nicmene privatni adresni porostor je dost siroky.

Nicmene se to musi otestovat.

17.11.2011 19:03 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

OK, teď trošku z jiného soudku: než budu mít čas a prostředky tohle nějak rozumně realizovat, mám takový šílený nápad to řešit stále pomocí SFTP, jen to zjednodušit pro uživatele tím, že bych povolil přihlašování heslem. Uživatelům bych rozdistribuoval nějakého portable sftp klienta, který by měl už v sobě uložený fingerprint serveru. Velký bezpečnostní risk?

17.11.2011 20:55 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Jo, ale sftp s fingerprintem jsem rozchodil jenom s winscp, protoze putty neumi "hostkey", pokud premyslis, jak to automatizovat.

Ale stejne se priklanim k reseni openvpn + smb mount, uzivatel si spusti VPN GUI, zada heslo ke klici a zbytek je automat. Nazdileny adresar, bude automaticky pristupny, jinak offline.

Založit nové vlákno • Nahoru

Tiskni Sdílej: