Vládní CERT (GovCERT.CZ) upozorňuje (𝕏) na kritickou zranitelnost v jsPDF, CVE-2025-68428. Tato zranitelnost umožňuje neautentizovaným vzdáleným útočníkům číst libovolné soubory z lokálního souborového systému serveru při použití jsPDF v prostředí Node.js. Problém vzniká kvůli nedostatečné validaci vstupu u cest k souborům předávaných několika metodám jsPDF. Útočník může zneužít tuto chybu k exfiltraci citlivých
… více »V úterý 13. ledna 2025 se v pražské kanceláři SUSE v Karlíně uskuteční 5. Mobile Hackday, komunitní setkání zaměřené na Linux na mobilních zařízeních, kernelový vývoj a související infrastrukturu. Akci pořádá David Heidelberg.
… více »Už je 14 dní zbývá do začátku osmého ročníku komunitního setkání nejen českých a slovenských správců sítí CSNOG 2026. Registrace na akci je stále otevřená, ale termín uzávěrky se blíží. I proto organizátoři doporučují, aby se zájemci přihlásili brzy, nejlépe ještě tento týden.
… více »Rok 2026 sotva začal, ale už v prvním týdnu se nashromáždilo nezvykle mnoho zajímavostí, událostí a zpráv. Jedno je ale jisté - už ve středu se koná Virtuální Bastlírna - online setkání techniků, bastlířů a ajťáků, kam rozhodně doražte, ideálně s mikrofonem a kamerou a zapojte se do diskuze o zajímavých technických tématech.
Dějí se i ne zcela šťastné věci – zdražování a nedostupnost RAM a SSD, nedostatek waferů, 3€ clo na každou položku z Číny … více »Vývojáři GNOME a Firefoxu zvažují ve výchozím nastavení vypnutí funkce vkládání prostředním tlačítkem myši. Zdůvodnění: "U většiny uživatelů tento X11ism způsobuje neočekávané chování".
Nástroj pro obnovu dat GNU ddrescue (Wikipedie) byl vydán v nové verzi 1.30. Vylepšena byla automatická obnova z disků s poškozenou čtecí hlavou.
Protokol IPv6 má již 30 let. První návrh specifikace RFC 1883 je z prosince 1995.
Byli vyhlášeni vítězové ocenění Steam Awards 2025. Hrou roku a současně nejlepší hrou, která vám nejde, je Hollow Knight: Silksong.
Byla vydána nová verze 26.0 linuxové distribuce Manjaro (Wikipedie). Její kódové jméno je Anh-Linh. Ke stažení je v edicích GNOME, KDE PLASMA a XFCE.
Jednotný seznam blokovaných internetových stránek vedený Českým telekomunikační úřadem obsahoval také Český telekomunikační úřad.
Zdar!
Snažím se vytvořit si v domácí síťi transparentní NTP proxy (hlavně kvůli různým zařízením, co „volají domů“). Na routeru mi běží normální NTP daemon. Firewall (příslušná část) vypadá nějak takto:
iptables -t nat -I PREROUTING -i $LAN_IF -p udp --dport 123 -j DNAT --to-destination $NTP_SERVER:123 iptables -t nat -I PREROUTING -i $LAN_IF -p tcp --dport 123 -j DNAT --to-destination $NTP_SERVER:123
Přičemž $NTP_SERVER je stejná mašina jako router (čímž pádem nepotřebuji ještě k tomu SNAT). (Ten řádek s „-p tcp“ asi nebude potřeba ale pro jistotu ho tam mám taky). V /etc/ntp.conf vypadá příslušný záznam pro lokální síť takto:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
Když se to ale snažím otestovat ze stroje v lokální síti, tak to vypadá nějak takto:
test@test:~# /etc/init.d/ntp stop [ ok ] Stopping NTP server: ntpd. test@test:~# ntpdate www.seznam.cz 9 Nov 21:33:42 ntpdate[30314]: adjust time server 77.75.79.53 offset -0.000877 sec test@test:~# ntpdate www.atlas.cz 9 Nov 21:33:59 ntpdate[30316]: no server suitable for synchronization found test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:34:10 ntpdate[30318]: no server suitable for synchronization found test@test:~# ntpdate www.seznam.cz 9 Nov 21:34:19 ntpdate[30319]: adjust time server 77.75.79.53 offset 0.000498 sec test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:34:29 ntpdate[30320]: no server suitable for synchronization found test@test:~# ntpdate www.seznam.cz 9 Nov 21:34:37 ntpdate[30321]: adjust time server 77.75.79.53 offset -0.000223 sec test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:37:35 ntpdate[30349]: no server suitable for synchronization found test@test:~# test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:40:28 ntpdate[30400]: adjust time server 37.46.80.54 offset 0.000597 sec test@test:~# ntpdate www.seznam.cz 9 Nov 21:40:41 ntpdate[30401]: no server suitable for synchronization found test@test:~# ntpdate www.abclinuxu.cz 9 Nov 21:45:09 ntpdate[30487]: adjust time server 37.46.80.54 offset -0.000038 sec
Prostě první stroj funguje, další pak ne; když ale chvíli počkám, pak zase první ze strojů funguje a ostatní nikoliv. Tušíte někdo, v čem může být zakopán pes? Je chyba na straně NTP serveru nebo na straně testovacího stroje?
Napadá mě, že by to mohla být nějaká ochrana proti DDoS útokům, kdy NTP pozná, že je s následujícím packetem něco v nepořádku, tak ho zahodí (to, že jsou packety zahozené, vidím ve wiresharku). První „spojení“ ale v pohodě propustí. JENŽE je mi to divné, proč to tak je, vždyť díky DNATu by se příchozí packety měli NTP jevit úplně stejně (tedy, pokud jsou odeslány ze stejného stroje). Vždyť přece v NTP packetu samotném není cílová adresa nijak zakódována?!
Nemáte někdo tucha, v čem je problém?
Díky!
9.11.2015 21:54
Petr Tomášek | skóre: 39
| blog: Vejšplechty
)
ntpdate -dvBlokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..
12.11.2015 14:11
Petr Tomášek | skóre: 39
| blog: Vejšplechty
Dej tam debug at vime co se deje:ntpdate -dv
ntpdate -dv {server} se bohužel chová jinak než ntpdate {server}. V prvním případě vidím ve wiresharku odpověď (a v tuto chvíli je ta odpověď i korektní, u předchozích pokusů mi to hlásilo leap 11), v případě čistého ntpdate {server} žádná odpověď nepřijde.
Blokace, ze strany ISP je mozna vzhledem k popularnim NTP amplification utokum..
To je ptákovina, ISP s tím nemá co do činění, ntp server sám o sobě funguje dobře (jak již bylo řečeno, je umístěn na routeru), problém je někde mezi lokální sítí a tímto NTP serverem.
restrict limited?
11.11.2015 11:34
Petr Tomášek | skóre: 39
| blog: Vejšplechty
#####################################################################################
# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
#####restrict default ignore
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default ignore
# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1 nomodify notrap
#restrict ::1
# Local Network
restrict 192.168.{něco}.0 mask 255.255.255.0 nomodify
#restrict 192.168.{něco}.0 mask 255.255.255.0 notrap nomodify noquery
ntpd na tom serveru s -d a podívat se jestli ty pakety od klienta k němu vůbec dojdou. Jestli jo, tak zkusit tcpdump na klientovi a podívat se jestli dostává odpovědi a nemají třeba špatně adresy.
12.11.2015 14:03
Petr Tomášek | skóre: 39
| blog: Vejšplechty
iptables tak asi dobré cvičení. Ale pokud základní cíl je mít na zařízeních správný čas, tak mi vůbec není jasné, proč se vůbec pokoušet o nějakou časovou synchronizaci směrem "domů". To co dělám, je synchronizace na správný čas a použiji správné servery. Buď explicitní a prověřené a nebo na xx.cz.pool.ntp.org dostanu použitelný NTP server s dobrou konektivitou a zařízení bude synchonní s přesností na cca 10ms.
12.11.2015 14:01
Petr Tomášek | skóre: 39
| blog: Vejšplechty
12.11.2015 14:19
Petr Tomášek | skóre: 39
| blog: Vejšplechty
20.11.2015 15:21
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
navíc k tomu můžu přihodit jako „bonus” timesyncd, kterej „tak nějak" ignoruje nastavení NTPJak se to projevuje? Právě jsem to vyzkoušel na systemd 227 a nastavení v /etc/systemd/timesyncd.conf se uplatňuje.
Tiskni
Sdílej:
12.11.2015 22:38