Multimediální server a user space API PipeWire (Wikipedie) poskytující PulseAudio, JACK, ALSA a GStreamer rozhraní byl vydán ve verzi 1.6.0 (Bluesky). Přehled novinek na GitLabu.
UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.2 a 20.04 OTA-12.
Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.0 otevřeného operačního systému pro chytré hodinky AsteroidOS (Wikipedie). Přehled novinek v oznámení o vydání a na YouTube.
WoWee je open-source klient pro MMORPG hru World of Warcraft, kompatibilní se základní verzí a rozšířeními The Burning Crusade a Wrath of the Lich King. Klient je napsaný v C++ a využívá vlastní OpenGL renderer, pro provoz vyžaduje modely, grafiku, hudbu, zvuky a další assety z originální kopie hry od Blizzardu. Zdrojový kód je na GitHubu, dostupný pod licencí MIT.
Byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce
… více »Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.
Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).
Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně
… více »Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.
Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Fedora 43 Asahi Remix s KDE Plasma už funguje na M3. Zatím ale bez GPU akcelerace. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Ahoj, mam HW server pripojeny pres mikrotika na verejnou IP. Mam na nem nejake sdileni, SAMBU a takove nesmysly. Bezi mi tam i virtualka s ubuntu a LAMP. No a tady to prichazi. Mam takove nutkani, nechat na nem bezet jeden takovy nepodstatny projekt, ktery ale zabira dost mista na disku a proto by se hodilo, mit to takhle hezky fyzicky u sebe.
Melo by tam bezet i phpbb. A tady to prichazi. Bojim se, ze mi pres to phpbb nekdo hackne cely ten server.
A proto se ptam zkusenejsich, na co si dat pozor a kde jsou slaba mista? Pokud pobezi vsechno pod uzivatelem www-data a ten nebude mit pristup mimo svuj pracovni adresar, muze se utocnik pres chyby ve skriptech / php dostat dale na server, nedej boze do vnitrni site?
A co s tou verejnou ip? nemuze mi ji pak nekdo kvuli tomu phpbb napadnout? Je tam mikrotik a jsou otevrene porty jen pro 80.443 a VPNku. Nemam z venci pristup na zadne SSH, apod. Presto mam strach, aby nekdo nevlezl dovnitr treba chybou FW toho mikrotika... je to mozne? Ma smysl updatovat vzdycky na nejnovejsi verzi?
Jak byste to udelali vy? Nechali na tom serveru jen svoje veci a tyhle verejne projekty hostovali na nejakem hostingu, nebo se toho nemusim bat?
Diky za tipy,
P.
10.7.2014 17:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
muze se utocnik pres chyby ve skriptech / php dostat dale na serverAno. Sice by neměl, ale občas se objeví lokální nějaký root exploit.
nedej boze do vnitrni sitePokud www-data nebude mít zakázanou síťovou komunikaci, tak samozřejmě může. Pokud bude, tak viz výše. To s tím Mikrotikem nechápu (jako co třeba znamená „napadnout IP adresu“).
Jak byste to udelali vy?Vybodl bych se na to nebo mu udělal virtuál.
vybodl by ses na co ? To hostovat sam, nebo na ty obavy?
S tou IP jsem se spatne vyjadril. myslel jsem to tak, ze tim, ze tam pobezi takova sluzba, ze se mi nekdo obuje do IP adresy. Proste ze to phpbb, ktere najde nejaky bot bude lakadlo a potom dojde k prolomeni nejakeho zabezpeceni toho mikrotika a utocnik si treba otevre nejaky dalsi port, nebo co ja vim 
Virtualka - resi to neco? Cele to bezi na proxmoxu, takze si tam muzu virtualky sekat jak chci, ale to bych pak musel definovat presne pravidla, kam ta virtualka v siti muze, apod, pripadne ji nastavit IP z jineho rozsahu, atd. ze? Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.
10.7.2014 19:26
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Virtualka - resi to neco?Ano, může se celá zafirewallovat.
Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.
Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.Root exploit v hypervizoru, exploit v hypervizoru, znovu root exploit v hostiteli a jsi tam, kde jsi byl. Na druhou stranu bych řekl, že už tohle je nad rámec toho, o co se kdo bude snažit - většině "hackerů" stačí prohákovat se k tomu PHP, aby se nechal spustit spamovací skript, na to roota nepotřebujou.
Ted nad tim trochu premyslim. Hostingy asi maji pro mysql extra masinu, pro php extra masinu, atd. Takze kdyz nekdo ziska roota pres diru v php a bude mit v mysql vice projektu a spravne nastavene prava pro pristup do tabulek, tak se treba pres toho roota nedostane do mysql, ale jen k souborum hostovanym na tom serveru (kde jsou v config souborech hesla do mysql, takze se defakto stejne dostane vsude, navic i kdyz ta mysql bezi na virtuale, tak k ni musi ten PHP/apache server mit pristup a kdyz na nem nekdo ma roota... takze zase zadna ochrana... ))) )
10.7.2014 20:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
10.7.2014 20:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
11.7.2014 11:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
11.7.2014 13:07
Max | skóre: 72
| blog: Max_Devaine
Ja ten laml ve virtuale mam. Je to jedna masina, na ktere je KVMko a mam tam celkem 4 virtualy, z ktere jedna je ten lamp. Mam tam ale i webdav uloziste, atd. Kdybych to chtel rozdelit, musim udelat extra virtualku jen pro ten lamp na hrani a potom na tom hlavnm lampu spustit nejakou reverzni proxy, protoze potrebuju mit z venci pristupny i ten prvni LAMP. (kdyz chci nekomu neco poslat, nahraju to na nej a poslu mu odkaz, pouzivam tam owncloud - ale neni to verejne nejak propagovane, musi znat spravnou adresu)
Ceho se bojim? Toho, ze pokud prolomi ten LAMP a ovladne tu virtualu, dostane se do vnitrni site. No a vnitrni sit nemam tak dobre zabezpecenou - mam povolene skoro vsude SSH, pouzivam hesla, bezi tam samba s firemnimi vecmi, atd.
Zvenku se tam nikdo nedostane, protoze je to za firewallem, ktery dela ten mikrotik, ale kdyby se dostal dovnitr, je to prusvih. Proto se ptam na Vas nazor, jestli to ma smysl riskovat, nebo jestli tim vlastne nic moc neriskuju, nebo jestli se to da nejak SNADNO zabezpecit.
No, tohle prave resim... Konecne mne nekdo presne pochopil Pokud by byl LAMP neprustrelny, riziko by to nebylo, ale pokud se nekdo pres to forum dostane na server, je to v pytli a vidim to jako riziko.
Mikrotik ma docela chytry switch, takze by asi opravdu stacily do serveru dve sitovky a pripojit ten LAMP virtual extra a nedovolit mu pristup do vnitrni site, to je ale presne to reseni, ktere je uz tak komplikovane, ze to radeji dam na hosting.
Diky tedy za diskuzi a potvrzeni mych obav, ze se nejedna o dobry napad.
P.S. jen ze zvedavosti - ty virtualy se daji hodit na jiny subne i v tom proxmoxu, takze kdyz pominu riziko, ze by nekdo odposlouchaval na fyzickem rozhrani a ovladl ten proxmox, tak bych defakto mohl zabranit aby se ty site navzajem videly i takto jednoduse. ALE - dostanu se potom na ten server kvuli spravy? Jak se to nastavuje? Pro tu moji konkretni IP - spravcovskou, treba muj notebook si nastavim routu do obou subnetu?
P.
Ted si to ctu znova ten tvu prispevek a uz mi svita - zakazan pristup z toho rozsahu. Cili naopak. Ta chranena sit - firemni server by mel zakazany pristup ze site toho LAMPU (treba dropem na firewallu), ale muj notebook, ze ktereho to vsechno spravuju by mohl do obou siti. Takhle by se to asi dalo udelat, ze ?
No a ta fyzicka sitovka navic tam je proto, aby nekdo neodposlouchaval v promiskuitnim modu... je otazkou, jak je reseny ten ethernet na tom proxmoxu, ale mam za to, ze ty virtualky to strka vsechny do bridge na to jedno LAN rozhrani. No ale pokud uz jsem ve vnitrni siti, muzu zacit busit do routeru a oteviraji se dalsi zpusoby, jak ho oje*at, aby mne pustil i do te druhe site, je to tak? Proto je lepsi to mit fyzicky rozdelene na dve ETH rozhrani a budto dva switche, nebo administrovatelny switch, ktery ty pakety proste na "druhy kabel" nepusti.
P.
10.7.2014 20:42
Max | skóre: 72
| blog: Max_Devaine
No a neni tohle vsechno uplne zbytecne, kdyz utocnik ziska roota? Vyjma snad bodu 567... ?
Prave proto jsem pokladal tenhle dotaz, protoze jak pises, podle tutorialu vsechno rozchodit neni problem, ale zacatecnik snadno neco prehledne, nebo podceni. Slo mi tedy prave o to zjistit, jake jsou potencialni rizika a jestli jsou vysoka (proste mira zneuzitelnosti, protoze zneuzit a prolomit se da vse, otazkou je, jak casto se takovy problem vyskytne a zda vubec nekomu muj server stoji za to, aby to stihl do doby, nez ubuntu vyda zaplatu).
Cili asi bude lepsi provozovat ten server soukromne, nepristupny z netu, nebo jen pro hrstku znamych a tyhle exponovane veci dat na placeny hosting, kde tohle vsechno resi zkuseny admin.
P.S. dokazal by mi nekdo poradit, jak jednoduse otestovat nastaveni firewallu? Muzu k te siti pristupovat z venku z jineho pripojeni...
11.7.2014 16:40
MMMMMMMMM | skóre: 44
| blog: unstable
| Valašsko :-)
12.7.2014 01:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ono to bylo asi mysleno tak, ze i kdyz se potom dostane do vnitrni site, tak nenapacha takovou skodu, jako kdyz treba zjisti heslo a bude zkouset zadavat na ruzne sluzby.
Je fakt, ze instalovat selinux a takove kejkle se mi fakt nechce, to radeji ten system necham zvenci uzavreny. Proto se mi prave moc nelibi ta myslenka, to otevirat ven, i kdyz by mi to asi dost pomohlo.
Myslim, ze je zbytecne zabihat do uplnych obskurnich detailu, nemam na tom serveru data z nasa, ale slo mi spis o nasmerovani, treba i na nejaky clanek, kde bych se docetl, jake jsou potencialni rizika a slo mi asi i o to, jestli mi to nejaky zkuseny admin proste nerozmluvi, s tim, ze "nechej si to zavrene, pro sebe, hrej si a uc se na tom s linuxem, ale nepoustej tam lidi z venci". A proste po tom, co par opensource projektu na PHP provozuju (na komercnim hostingu) - vim, ze jakmile se nekde spusti neco v PHP, je to bezpecnostni problem a neustala starost o sledovani novinek a zalepovani der. Nevim, jak je na tom konkretne PHPBB, ale treba s Joomlou jsem si uzil svoje a to je pak cloveku dost neprijemne od zaludku, kdyz vidi, jak se mu kdekdo prohani po webu a upravuje scripty. Proto bych nechtel, aby se diky nejakemu nepodarenemu scriptu prohanel po firemnim serveru.Nevadi mi, kdyz kompromituje to phpbb, smaze ho, apod. Ale nesmi se dostat dale do site, potazmo na ten linuxovy server.
Proto bych jako reseni uvital ne nejaky selinux a jine silenosti na tydenni studium (placeny hosting me vyjde max. na blbe 4 stovky rocne), ale spise zpusob, jak te aplikaci zabranit, i kdyz ji nekdo prolomi, aby se dostal mimo ten jeji pisecek. Chtelo by to neco, jako jsou virtualky pro operacni systemy. Urcite mi nekdo namitne, ze to jde udelat. Jasne, ale strasne se mi tim vsechno zkomplikuje. A me se prave na virtualizaci libi to, jak je to ucinne, ale pritom jednoduche
12.7.2014 18:03
xkucf03 | skóre: 50
| blog: xkucf03
Buď tu (ne úplně bezpečnou) aplikaci spusť v LXC1 nebo aspoň použij PHP-FPM a spouštěj ji pod uživatelem vyhrazeným jen pro ni.
Pro úspěšný útok by se ti pak musely sejít dvě chyby: 1) v té aplikaci 2) v systému – lokální eskalace práv nebo dokonce možnost vyskočení z LXC.
Plus k tomu přidej obvyklé zabezpečení na úrovni php.ini (zákaz některých funkcí, omezení open_basedir atd.). A omezení firewallem – když víš, pod jakým UID ta aplikace běží, tak jí v iptables můžeš zakázat navazovat spojení ven.
[1] lehká virtualizace (resp. kontejner) uvnitř toho současného virtuálu
12.7.2014 18:06
xkucf03 | skóre: 50
| blog: xkucf03
P.S. a pokud to není nějaká aplikace pro frikulínskou veřejnost, ale spíš něco jako intranet, tak tam dej HTTP(S) basic autentizaci → bez hesla nebude útočník ani vědět, že tam nějaké phpbb běží, protože ho Apache vůbec nepustí dál.
LXC negarantuje izolaciu, takze vyskocenie z LXC nemusi byt chyba. Root v LXC = root v hostujucom systeme.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
Tak nějak to bylo myšlené.