abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:11 | Zajímavý článek

    Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

    Ladislav Hagara | Komentářů: 1
    dnes 12:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:33 | Nová verze

    Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Nasazení Linuxu

    Spolek vpsFree.cz vydal statistiky týkající se distribucí nasazených na serverech členů. V dlouhodobém pohledu je zřejmé, že většina uživatelů z původního CentOS přechází na Rocky Linux. Pozoruhodný je také nárůst obliby distribuce NixOS, která dnes zaujímá třetí místo po Debianu a Ubuntu.

    Petr Krčmář | Komentářů: 0
    dnes 04:11 | IT novinky

    Google minulý týden představil Material 3 Expressive, tj. novou verzi svého designového jazyka Material Design pro Android 16 a Wear OS 6.

    Ladislav Hagara | Komentářů: 5
    včera 03:55 | Nová verze

    Byl vydán Debian 12.11, tj. jedenáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    17.5. 14:55 | Zajímavý software

    Makepad dospěl do verze 1.0 (𝕏). Jedná se o multiplatformní open source UI framework pro Rust napsaný v Rustu.

    Ladislav Hagara | Komentářů: 12
    16.5. 17:11 | Komunita

    Konference OpenAlt 2025 hledá přednášející. Proběhne o víkendu 1. a 2. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

    Ladislav Hagara | Komentářů: 0
    16.5. 15:33 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 153 (pdf)

    Ladislav Hagara | Komentářů: 0
    16.5. 12:22 | Komunita

    Byl publikován květnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (65%)
     (17%)
     (4%)
     (0%)
     (0%)
     (0%)
     (13%)
    Celkem 23 hlasů
     Komentářů: 3, poslední dnes 20:04
    Rozcestník

    Dotaz: Overenie počítača pre prístup do siete

    3.1.2014 09:53 Peter
    Overenie počítača pre prístup do siete
    Přečteno: 371×
    Dobrý deň vám prajem.

    V práci mám CentOS server ktorý okrem iného robí DHCP server a firewall. Vnútornú sieť máme oddelenú pre firemné PC a pre hosťov. Internet je pripojený na eth0, firemná sieť na eth1 a AP pre hosťov na eth2. Na eth1 je dhcp s "deny unknown client" a mám skript pre iptables ktorý zakazuje všetky spojenia z eth1 siete okrem tých ktorí sú uvedený v dhcpd.conf. Ale pre také indivídum ktoré chce škodiť je toto riešenie absolútne nedostatočné. Nieje predsa nič jednoduchšie ako sniffnúť si nejakú "povolenú" mac adresu a zmeniť si tú svoju.

    Preto hľadám nejaké riešenie na jednoznačné overenie PC. Čiže nie overovanie používateľov ale samotného počítača. Ideálne niečo čo by išlo úplne mimo používateľa, teda žiadne prihlasovacie portály a podobné zhovadilosti.

    Dúfam, že ste ma pochopili.

    Vopred vám veľmi pekne ďakujem.

    Odpovědi

    3.1.2014 10:14 NN
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    3.1.2014 10:49 Peter
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    No na to som myslel ako na prvé, ale problém je v tom, že nemám switch ktorý by to podporoval. Ja som skôr myslel niečo na úrovni servera.
    3.1.2014 10:58 hermelin | skóre: 21
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    pokud skutecne chces overovat pristup poctace do site - tzn. zajisteni ihned na bodu pripojeni pocitace - tzn. poridit switch s podporou 802.1x - dneska uz to neni zadna velka investice. Pak by jeste slo najmout osobou ktera by zasuvku pocitace v danej okamzik vyskubla z patch panelu :-)

    Bohuzel jine reseni nez 802.1x asi neni. Server to nema overovat jak - ten muze pouze overovat pristup na sebe ale ne jestli si muze dany pocitac povidat s jinym pocitacem (kdyz o tom datovym toku diky switchy nic nevi)
    3.1.2014 11:15 Peter
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    Objednavka na takýto switch u nákupčího už je, ale kedy bude vybavená to je vo hviezdach. A mne osobne išlo práve o tu komunikáciu so serverom, je mi jasné, že bez 802.1x sieť ako takú neporiešim, ale snažim sa aspoň "ochrániť" server.
    3.1.2014 11:18 Peter
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    Ináč povedané - teraz iptables blokuje na základe mac adresy, čo je ale veľmi jednoducho prekonatelné. Ja potrebujem v iptables blokovať, respektíve povoľovať podľa niečoho čo nie je tak jednoducho prekonatelné ako mac.
    3.1.2014 11:32 hermelin | skóre: 21
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    Tak zkus DHCP server + iptables filtr podle mac+IP. Proste kazda MAC bude mit pevnou IP a to si budes hlidat firewallem.
    3.1.2014 11:50 Peter
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    No ale veď o to hovorím, že toto nasadené mám, ale je to jednoducho prekonateľné.
    rADOn avatar 3.1.2014 12:01 rADOn | skóre: 44 | blog: bloK | Praha
    Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete
    IPsec je standartní způsob autentizace ipv4, ale počítej že to není žádná sranda rozběhnout. Jestli nechceš šifrovat veškerou komunikaci se serverem, tak ti stačí zařídit certifikáty a nastavit AH.
    "2^24 comments ought to be enough for anyone" -- CmdrTaco
    cynic_asshole avatar 3.1.2014 19:26 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Síťová autentizace pro chudé
    Než ti koupí ten switch s podporou 802.x, co takhle dát šanci PPPoE?

    Idea je taková, že na síti eth1 nebude žádný DHCP server, a firemní počítače si „vytočí“ spojení na PPPoE server, který ověří uživatelské jméno a heslo a na základě těchto údajů přidělí počítači IP adresu, DNS servery etc. Přes iptables potom pořešíš pravidla tak, jak jsi zvyklý.

    Jedinou vadou na kráse tohoto řešení je fakt, že bude potřeba i uživatelská interakce, čemuž jsi se chtěl vyhnout.

    V případě zájmu ti můžu pomoci s nastavením, stačí kontakt přes PM.
    Neznáš nějakou linuxovou distribuci pro Windows?
    BigWrigley avatar 3.1.2014 20:15 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé
    Zajimavy napad. Mozna bude mit ale pan problem napr. s pripadnymi externimi pracovniky, kteri se budou obcas chtit pripojit do site, protoze tenhle setup neni zrovna standardni.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    cynic_asshole avatar 3.1.2014 20:21 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé
    Mohl by jsi prosím více rozvést myšlenku s externími spolupracovníky a případnými problémy? V případě přístupu zvenčí použijí VPN, zevnitř použijí jméno a heslo (pppoe klient je součástí windows od dob XP), eventuálně mohou použít síť pro hosty a navázat si VPN :-)
    Neznáš nějakou linuxovou distribuci pro Windows?
    BigWrigley avatar 3.1.2014 20:37 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé
    Pokud pujdou pres VPN, pak je to ok. Myslel jsem to tak, ze v momente, kdy se bude chtit nekdo pripojit zevnitr, nekdo mu bude muset a) vytvorit ucet, b) nekdo bude muset externistu instruovat, jak nakonfigurovat PPPoE. Samozrejme zalezi na situaci, velikosti firmy, firemni politice, schopnostech externistu...
    Linux is like a wigwam - no windows, no gates and Apache inside.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.