Přihlášení | Registrace

napište » Zprávičky

včera 15:11 | IT novinky

Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia online tabulky Proton Sheets v Proton Drive.

Ladislav Hagara | Komentářů: 0

EmacsConf 2025

6.12. 15:55 | Komunita

O víkendu (15:00 až 23:00) probíha EmacsConf 2025, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji lze na stránkách konference. Záznamy budou k dispozici přímo z programu.

Ladislav Hagara | Komentářů: 0

Wikipedia jedná s technologickými giganty o zpoplatnění dat pro AI

6.12. 15:44 | Komunita

Provozovatel internetové encyklopedie Wikipedia jedná s velkými technologickými firmami o uzavření dohod podobných té, kterou má s Googlem. Snaží se tak zpeněžit rostoucí závislost firem zabývajících se umělou inteligencí (AI) na svém obsahu. Firmy využívají volně dostupná data z Wikipedie k trénování jazykových modelů, což zvyšuje náklady, které musí nezisková organizace provozující Wikipedii sama nést. Automatické programy

… více »

Ladislav Hagara | Komentářů: 24

Unijní pokuta pro síť X je útok na americký lid, řekl ministr zahraničí

6.12. 15:22 | IT novinky

Evropská komise obvinila síť 𝕏 z porušení unijních pravidel, konkrétně nařízení Evropské unie o digitálních službách (DSA). Vyměřila jí za to pokutu 120 milionů eur (2,9 miliardy Kč). Pokuta je podle názoru amerického ministra zahraničí útokem zahraničních vlád na americký lid. K pokutě se vyjádřil i americký viceprezident: „EU by měla podporovat svobodu projevu, a ne útočit na americké společnosti kvůli nesmyslům“.

Ladislav Hagara | Komentářů: 18

Jolla Phone

5.12. 17:11 | IT novinky

Společnost Jolla spustila kampaň na podporu svého nového telefonu Jolla Phone se Sailfish OS. Dodání je plánováno na první polovinu příštího roku. Pokud bude alespoň 2 000 zájemců. Záloha na telefon je 99 €. Cena telefonu v rámci kampaně je 499 €.

Ladislav Hagara | Komentářů: 30

Netflix kupuje Warner Bros. včetně HBO Max a HBO

5.12. 15:11 | IT novinky

Netflix kupuje Warner Bros. včetně jejích filmových a televizních studií HBO Max a HBO. Za 72 miliard dolarů (asi 1,5 bilionu korun).

Ladislav Hagara | Komentářů: 2

AWS re:Invent 2025

5.12. 14:11 | IT novinky

V Las Vegas dnes končí pětidenní konference AWS re:Invent 2025. Společnost Amazon Web Services (AWS) na ní představila celou řadu novinek. Vypíchnout lze 192jádrový CPU Graviton5 nebo AI chip Trainium3.

Ladislav Hagara | Komentářů: 0

Proxmox Datacenter Manager 1.0

5.12. 00:33 | Nová verze

Firma Proxmox vydala novou serverovou distribuci Datacenter Manager ve verzi 1.0 (poznámky k vydání). Podobně jako Virtual Environment, Mail Gateway či Backup Server je založená na Debianu, k němuž přidává integraci ZFS, webové administrační rozhraní a další. Datacenter Manager je určený ke správě instalací právě ostatních distribucí Proxmox.

|🇵🇸 | Komentářů: 12

Apache HTTP Server (httpd) 2.4.66 řeší 5 bezpečnostních chyb

4.12. 23:44 | Nová verze

Byla vydána nová verze 2.4.66 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 5 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

JavaScript slaví 30 let

4.12. 14:00 | IT novinky

Programovací jazyk JavaScript (Wikipedie) dnes slaví 30 let od svého oficiálního představení 4. prosince 1995.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (34%)

Gitlab (48%)

Atlassian (19%)

Bitbucket (17%)

Gitea (22%)

Mercurial (15%)

jen git (24%)

jen svn (16%)

Jiné (uvedu v diskusi) (18%)

Celkem 439 hlasů

Komentářů: 18, poslední 2.12. 18:34

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak byste technicky realizovali přístup k firemním datům z intenetu

Štítky: heslo, nastavení, NAT, problém, sdílení, server, SFTP, sítě, smb, SSH, VPN, Windows

Dotaz: Jak byste technicky realizovali přístup k firemním datům z intenetu

16.11.2011 19:27 sonda
Jak byste technicky realizovali přístup k firemním datům z intenetu

Přečteno: 514×

Odpovědět | Admin

Ahoj. Situace je následující: datový windows server, potřeba přístupu k datům z domova, nikam jinam do sítě nepotřebují. Řešení už mám prakticky realizované přes připojení se na ssh server resp. uživatel se připojí klíčem k serveru, přes příkaz (napíše jméno skriptu a zadá heslo - to je automatizované přes nastavení v klientu) si připojí sdílení a pomocí sftp klienta může přenášet data: výhodou je úplné odstavení koncového uživatele od přímého přístupu k windows serveru (nemožnost útoků). Nevýhodou je prakticky jen nutnost připojit si sdílení (1 krok navíc). Chtěl bych tady vysondovat jak to řešíte vy? Jak moc se dá důvěřovat microsoftu, že zabezpečil SMB - kdyby měl uživatel z domova přes VPNko přímý přístup k serveru (u VPN by tedy mohl nastat problém kolize dvou privátních adres, nebo by se musel použít NAT nebo druhá IP adresa serveru)?

Nástroje: Začni sledovat (0) ?

Odpovědi

16.11.2011 20:17 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Nevidim bezpecnotsni problem zridit vpn a povolit tunelem pouze pristup na ip adresu serveru a pouze na port 445 a na zdilene adresare zabezpecene heslem. Pripadne jeste omezit pocet spojeni za sebou jako ochranu pred brute force na ten share.

16.11.2011 21:57 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Pokud to není bezpečnostní riziko, tak nad tím popřemýšlím, až budu mít k dispozici nějaké další veřejné ip adresy, teď má windows server privátní ip adresu a je za NATem. A už vidím ten bordel až by se někdo připojil a byl doma ve stejné podsíti jako je ten windows server - pak bych musel dát serveru další ip adresu z jiného rozsahu a říct uživateli ať zadává správnou ip adresu. Jenže to už je věc, kterou nezvládne většina uživatelů a to myslím naprosto bez nadsázky. Už připojení se přes ssh jich nezvládne půlka (i když mají k dispozici všecho "zautomatizované" .bat soubory. Dokonce teď uvažuji o možnosti povolit jim přihlašování přes ssh pomocí hesel (ty alespoň nemohou ztratit) s tím, že bych vynutil použití sftp. Je to velká blbost? Podle mě má přihlašování klíčem jen výhodu, že se nepřenáší heslo během autentizace s ssh serverem. Nicméně to případnému útoku MITM nezabrání, stejně si každý musí kontrolovat serverové fingerprinty.

17.11.2011 09:43 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Pokud si sitovou cast VPN zaridis sam, prideleni IP adresy a zpristupneni site je pro klienta automaticke, pouze zadava heslo do vpn, adresar staci nazdilet jenou, potom bude maximalne offline. Vpn server nemusi bezet na serveru a klientska sit muze byt oddelena od site serveru. Ty pouze sit zpristupnis v ramci vpn a oddelis firewallem,takto:

server --- vpn --- kleint

Staci ti jedna verejna pro vsechny a vymysleny privatni rozsah pro klienty, zbytek vyresis sitove.

17.11.2011 13:16 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Jak zbytek vyřeším síťově? Pokud má klient i server stejnou privátní ip adresu, pak to nebude fungovat a vůbec nezáleži na tom, že od VPN serveru dostane klient novou privátní IP adresu. Úplně stačí, pokud bude klient doma a server ve firmě ve stejné podsíti, pak bych musel klientovi ukrást alespoň 1 IP adresu toho serveru (dát to jako první routu). Jak tohle nějak normálně řešit v rámci privátních IP adres? Přidávat IP adresy a doufat, že jedna z nich nebude kolidovat, NAT, ...?

např.

klient
eth0: 192.168.1.50/24
tap0: 10.1.0.2/24

vpn server:
eth0: 192.168.1.3/24
tap0: 10.1.0.1/24

windows server:
192.168.1.50/24

17.11.2011 14:05 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Chapu,ale tim natem by to mozna zamaskovat, nemam to otestovane, nejak takto:

win server 192.168.1.50 (lan)
vpn server 88.44.22.11 (wan)
           10.1.0.1 (vnitrek tunelu)
           10.1.0.2 ( <-> NAT 192.168.1.50)
klient     10.1.0.3 (vpn)
           192.168.1.50(lan)
           88.44.33.11(wan)

Na VPN server by jsi naroutoval lan windows serveru a do VPN tunelu ji premaskovaval pro klienta, takze klientu by se zadna sit nemusela routovat.

To, ze muze nahodou kolidovat IP-cko tunelu s privatni siti klienta s tim musis pocitat. Nicmene privatni adresni porostor je dost siroky.

Nicmene se to musi otestovat.

17.11.2011 19:03 sonda
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

OK, teď trošku z jiného soudku: než budu mít čas a prostředky tohle nějak rozumně realizovat, mám takový šílený nápad to řešit stále pomocí SFTP, jen to zjednodušit pro uživatele tím, že bych povolil přihlašování heslem. Uživatelům bych rozdistribuoval nějakého portable sftp klienta, který by měl už v sobě uložený fingerprint serveru. Velký bezpečnostní risk?

17.11.2011 20:55 NN
Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu

Jo, ale sftp s fingerprintem jsem rozchodil jenom s winscp, protoze putty neumi "hostkey", pokud premyslis, jak to automatizovat.

Ale stejne se priklanim k reseni openvpn + smb mount, uzivatel si spusti VPN GUI, zada heslo ke klici a zbytek je automat. Nazdileny adresar, bude automaticky pristupny, jinak offline.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje