Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
$ORIGIN . $TTL 36000 omp.omp.hansenet.de IN SOA omp.omp.hansenet.de. dnsadmin.home.net. ( 2011102404 ; serial 10000 ; refresh (2 hours 46 minutes 40 seconds) 3600 ; retry (1 hour) 3600000 ; expire (5 weeks 6 days 16 hours) 36000 ; minimum (10 hours 0 minutes 0 seconds) ) $ORIGIN omp.omp.hansenet.de. NS ns.home.net. A 192.168.10.2 * A 192.168.10.2Ale vůbec nevím, co s tím. Výsledkem by mělo být, že když dám do prohlížeče omp.omp.hansenet.de tak by to mělo hodit na můj webový server z image Linuxu. HTTP server - ten bude mít pravděpodobně ??? přidělenou celou složku /www a do ní potom překopíruji, co potřebuji, základem je nějaký soubor index.html aby se alespoň něco zobrazilo NFS server - ten by měl mít připojen obsah /www složky Jako poslední by měl naběhnout Midnight Commander. Tuší alespoň někdo, jak na to?
Již na začátku jsem psal, že přesměrování DNS je jediná možnost, jak tento problém vyřešit.Nejlepší je, když laik odborné soudy vůbec nevynáší, a to zvlášť v případě, že se v poradně uchází o radu.
Nainstaluj si na virtualboxu debian (pouze základní systém), do něj pak
apt-get update
apt-get install apache2 bind9 nfs-kernel-server tftpd-hpa mc
apt-ghet clean
mc
tam vlez do /etc/dhcp a edituj dhcpd.conf
dej tam něco jako :
ddns-update-style none;
option domain-name "doma.local";
preferred-lifetime 604800;
option time-offset -18000;
authoritative;
log-facility local7;
allow booting;
allow bootp;
option domain-name-servers 8.8.8.8,193.29.206.206;
option dhcp6.name-servers 2001:1488:800:400::130,2001:678:1::206;
option dhcp6.info-refresh-time 21600;
option dhcp-renewal-time 3600;
option dhcp-rebinding-time 7200;
authoritative;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.5 192.168.10.50;
filename "pxelinux.0";
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.10.2;
option routers 192.168.10.2;
filename "/pxe/pxelinux.0";
next-server 192.168.10.2;
potom v /etc/network uprav interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.2
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255
dns-nameservers 127.0.0.1
dns-search doma
potom uprav /vytvoř) v /etc exports
/var/www 192.168.10.0/255.255.255.0(rw,no_root_squash,subtree_check)
a zadej
ln -s /var/www /pxe
echo nameserver 127.0.0.1 > /etc/resolv.conf
to s tim BINDem asi nacpat do /etc/bind/db.local
$ORIGIN . $TTL 36000 omp.omp.hansenet.de IN SOA omp.omp.hansenet.de. dnsadmin.home.net. ( 2011102404 ; serial 10000 ; refresh (2 hours 46 minutes 40 seconds) 3600 ; retry (1 hour) 3600000 ; expire (5 weeks 6 days 16 hours) 36000 ; minimum (10 hours 0 minutes 0 seconds) ) $ORIGIN omp.omp.hansenet.de. NS ns.home.net. A 192.168.10.2 * A 192.168.10.2
ale cucam to z prstu.
omp.omp.hansenet.de
?" Kořenový server odpoví: "Nevím, ale zeptej se serveru dnsadmin.home.net
, ten bude vědět víc". Prohlížeč se znova zeptá, tentokrát serveru dnsadmin.home.net
: "Nevíš něco o adrese omp.omp.hansenet.de
?" Server buď odpoví, jaká je IP adresa tohoto doménového jména, nebo prohlížeč odkáže na další server.
Takže abyste mohl mít na svém serveru tu doménu omp.omp.hansenet.de
, musel by na vás majitel hansenet.de
odkazovat. Což je předpokládám přesně to, čemu se chcete vyhnout.
Nejjednodušší je použít soubor /etc/hosts
na místním počítači. Do něj se počítač podívá dřív, než začne adresu překládat přes DNS systém. Pokud tam adresu najde, použije ji a žádné DNS neřeší. Takže byste si do /etc/hosts
zadal, že adresa omp.omp.hansenet.de
je namapována na IP adresu vašeho virtuálního stroje. Pozor ale na to, že tohle funguje jen na počítači, kde jste ten /etc/hosts
upravil. Takže když soubor upravíte na svém počítači, použije ho váš webový prohlížeč, ale nějaké jiné zařízení v síti o něm nic neví a použije ten způsob přes DNS popsaný v prvním odstavci.
Pokud byste to potřeboval zprovoznit pro nějaké zařízení, jehož /etc/hosts
nemůžete editovat, musel byste si zprovoznit vlastní DNS resolver. Ve skutečnosti totiž to, co jsem popsal v prvním odstavci, nedělá prohlížeč sám, ale dělá to pro něj jiný DNS server, který má dotyčný nakonfigurovaný v konfiguraci sítě (případně jej získal přes DNS). DNS resolver pak můžete upravit tak, aby pro některé adresy nepoužíval ten standardní postup, ale aby podvrhl nějakou jinou odpověď. Pokud tedy klient nepoužívá DNSSEC validaci, pak by nepomohlo ani to podvržení odpovědi. Na tohle už je ale potřeba o tom něco vědět - raději si to nechte od někoho nastavit. Zvlášť, pokud byste chtěl použít i DHCP (které adresu toho DNS resolveru oznámí novému počítači automaticky). Protože kdybyste DHCP zprovoznil v nějaké menší síti, kde není ochrana proti podvrženému DHCP serveru, můžete tu síť úplně rozložit. A až by správce sítě přišel na to, kdo mu tam škodí, vynesl by vás v zubech.
Proto jsem se obrátil na abclinuxu a doufal, že někdo najde čas a vytvoří přednastavený image, který má to všechno složité již nastavené.Tak to ti asi nikdo zadarmo neudělá, ale třeba se pletu. Jinak si budeš muset vystačit s konfigurákama, který jsem vytáhl z jednoho DNS serveru, kde se tohle provozuje.
root@brmko:/etc/bind# cat named.conf.local ... zone "nat.brmlab.cz" { type master; file "/etc/bind/db.override.nat.brmlab.cz"; }; ... root@brmko:/etc/bind# cat /etc/bind/db.override.nat.brmlab.cz $TTL 3600 $ORIGIN nat.brmlab.cz. nat.brmlab.cz. IN SOA localhost. rada.brmlab.cz. ( 6 ; sn = serial number 172800 ; ref = refresh = 2d 900 ; ret = update retry = 15m 1209600 ; ex = expiry = 2w 3600 ; min = minimum = 1h ) ; we need one nameserver IN NS brmko.brm. ; and we're overriding the public ip address with ; this address. IN A 192.168.77.24 IN AAAA 2001:67c:2190:c0de::3 ns IN A 192.168.77.24 brmko IN AAAA 2001:67c:2190:c0de::2
dhcpd
a bind
u, by byla konfigurace dnsmasq
. To je konfigurace na dva řádky. Větší problém je spíš konfigurace toho virtuální stroje.
Reagoval jsem na Větší problém je spíš konfigurace toho virtuální stroje.
A říct jsem chtěl jen to, že nastavení jedné VM mašiny all-in-one (DHCP,DNS,apache,NFS) mi přijde to nejednoduší.
/etc/hosts
v tom virtuálním počítači si nastavíte pro doménu omp.omp.hansenet.de
IP adresu toho virtuálního počítače (tu, která je vidět ze sítě, ne 127.0.0.1). dnsmasq
používá /etc/hosts
jako zdroj dat pro DNS resolver. To by mělo stačit. Pak už jen musíte nahrát požadovaný soubor na správné místo na webový server.
nejsem si jist, zda jde image virtuálního počítače nakonfigurovat tak, aby měl stále stejnou IP adresuV tomto ohledu není žádný rozdíl mezi virtuální a fyzickou mašinou.
omp.hansenet.de
(falešnou doménu) s strojem omp
a DNS směřovali na něj. Ten by dotazy na jiné adresy řešil, jako každý rekurzivní server od kořenových serverů a pro ten váš systém odpověděl "falešným" autoritativním záznamem.
Proto má běžný síťař problém s realizací, protože něco takového se běžně vůbec neřeší.Co je to běžný síťař?
Nevím jestli je to tak dobře, čtu tam, že „to zařízení“ se resetuje do defaultu, kde je nastaveno získat ip (atd.) přes DHCP.
Tedy tento okamžik, pokud mám v síti DHCP server, tak mu (tomu zařízení) přidělí adresu a další informace, včetně adresy DNS serveru. A na tom DNS serveru si nastavím zónu, kterou si můžu nasměrovat kam chci (na svůj web). Tedy vše se odehraje v mé síti, takže přesně tak DNS funguje.
Ano šel by vyplnit /etc/hosts
, ale to by se muselo právě na tom zařízení.
Z DNSSEC bych se netrápil, ven ho nemusím vůbec pustit (a doménu si můžu podepsat).
Ano server DHCP musí být jediný na dané síti, nevyplynulo mi z dotazu, že by tam už nějaký byl.
Ověření podpisu nechme být, to byla jen taková špička....
Přiznám se , že mně ani nenapadlo, že by to u BlackBox bylo jinak v defaultu, než plná konfigurace přes DHCP.
Prohlížeč se zeptá některého z kořenových serverů: "Nevíš něco o adrese omp.omp.hansenet.de?"To určitě.
Tiskni
Sdílej: