Přihlášení | Registrace

napište » Zprávičky

Ubuntu 25.10 má nově balíčky sestavené také pro úroveň mikroarchitektury x86-64-v3 (amd64v3)

dnes 13:22 | Komunita

Ubuntu 25.10 má nově balíčky sestavené také pro úroveň mikroarchitektury x86-64-v3 (amd64v3).

Rust 1.91.0

dnes 01:22 | Nová verze

Byla vydána verze 1.91.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

MPO: 800 milionů korun na projekty výzkumu a vývoje umělé inteligence v podnikání

dnes 00:11 | IT novinky

Ministerstvo průmyslu a obchodu vyhlásilo druhou veřejnou soutěž v programu TWIST, který podporuje výzkum, vývoj a využití umělé inteligence v podnikání. Firmy mohou získat až 30 milionů korun na jeden projekt zaměřený na nové produkty či inovaci podnikových procesů. Návrhy projektů lze podávat od 31. října do 17. prosince 2025. Celková alokace výzvy činí 800 milionů korun.

Ladislav Hagara | Komentářů: 3

Keep Android Open

včera 23:44 | Komunita

Google v srpnu oznámil, že na „certifikovaných“ zařízeních s Androidem omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Iniciativa Keep Android Open se to snaží zvrátit. Podepsat lze otevřený dopis adresovaný Googlu nebo petici na Change.org.

Ladislav Hagara | Komentářů: 0

Qt Creator 18

včera 15:22 | Nová verze

Byla vydána nová verze 18 integrovaného vývojového prostředí (IDE) Qt Creator. S podporou Development Containers. Podrobný přehled novinek v changelogu.

Ladislav Hagara | Komentářů: 1

Cursor 2.0

včera 12:55 | Nová verze

Cursor (Wikipedie) od společnosti Anysphere byl vydán ve verzi 2.0. Jedná se o multiplatformní proprietární editor kódů s podporou AI (vibe coding).

Ladislav Hagara | Komentářů: 1

Google Chrome 142

včera 02:55 | Nová verze

Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

Java edice Minecraftu bude bez obfuskace

včera 01:22 | IT novinky

Pro moddery Minecraftu: Java edice Minecraftu bude bez obfuskace.

Ladislav Hagara | Komentářů: 0

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné

29.10. 17:00 | Upozornění

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

Ladislav Hagara | Komentářů: 11

Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů

29.10. 16:44 | IT novinky

Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

Ladislav Hagara | Komentářů: 6

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (48%)

Atlassian (19%)

Bitbucket (19%)

Gitea (22%)

Mercurial (17%)

jen git (21%)

jen svn (17%)

Jiné (uvedu v diskusi) (18%)

Celkem 290 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Bezpečná centrální správa asi 150ti PC

Štítky: Cron, data, PC, pod, práva, server, síť, správa, Windows, zabezpečení

Dotaz: Bezpečná centrální správa asi 150ti PC

20.7.2024 15:19 chinook | skóre: 28
Bezpečná centrální správa asi 150ti PC

Přečteno: 2032×

Odpovědět | Admin

Zdravím, mám cca 150PC různě po republice, většina není ani viditelná z internetu.

Občas potřebuju od tama stahovat nějaká data. Něco tam nahrát. A něco změnit v konfiguraci. Ted to řeším tak, že na každém PC je cron. Ten se spustí pod rootem a rsyncem to postahuje z centrálního serveru a případně restartuje službu.

Jsem si vědom bezp. rizika, že ta sít PC lze celkem jednodušše zhodit pokud se někdo dostane na ten centrální server.

Po včerejších problémech s windows isssue, bych to rád nějak líp zabezpečil. Jen mě nic kromě lepšího zabezpečení serveru nenapadá. Protože občas tam jsou potřeba i práva roota.

Poradí někdo jak to řešit?

Asi určitě, každé PC co stahuje konfiguraci ze serveru, by mělo tam mít jen práva čtení, aby v případě kompromitace jednoho PC nešla zhodit celá sít. Ale víc jsem nevymyslel.

Řešení dotazu:

Komentář #34 (Josef Kufner, 1 hlasů)
Komentář #28 (Josef Kufner, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

20.7.2024 17:34 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak to vem obracene. Jak by jsi tu sit konkretne shodil?

21.7.2024 09:30 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak problém je to PC z kterého se stahují ty scripty, které následně pouští root. Takže asi hledat řešení tam.

21.7.2024 09:49 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Neodpovedel jsi na otazku.

22.7.2024 14:49 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jakto, že ne?

Slabé místo je, ten server odkud se to synchronzuje. Protože se od tama stáhne script, který se na klientech spouští pod právy roota.

Přihlašování mezi klientama pomocí klíčů, jsem zrušil, resp. tam dal heslo. Tzn. jediné slabé místo je ted ten server.

22.7.2024 16:36 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ja se neptam co je slabe misto, ja se ptam jak by jsi tu sit shodil?

22.7.2024 21:41 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Dám do toho scriptu co je na serveru a spouští jej všichni klienti něco jako:

rm -rf /

23.7.2024 00:18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud je to tvůj záměr, tak je to pořádku. Ale zřejmě nějak nechápu, o co ti jde.

Ty se bojíš, že ti na serveru někdo změní ty skripty, které se mají spouštět na klientech? Tak omez všechno, co se ti přihlašuje na server, na minimum.

Když si uděláš nějaké VPNky z klientů na server a všechna vzdálená přihlášení se budou odehrávat pouze ve směru server klient, tak prostě ten server bude ohrožen míň. Kromě toho, když se dá ke klientu vzdáleně přihlásit, je to určitě lepší, než když se musí spoléhat na to, že kýženou změnovou akci na klientovi provede zaručeně správně napsaný skript stažený rsyncem ze serveru.

23.7.2024 08:08 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Utocnik se na server dostane jak?

24.7.2024 21:07 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Doufám, že nijak. Ale je to nejslabší místo. Děkuji všem za odpovědi. Spíše jsem čekal, že bude nějaké lepší řešení, než toto co používám asi 10let.

Server jsem tedy jen pro jistotu přeinstaloval. A vše nahrál zpátky.

Server není dostupný z internetu a ani žádné klientské PC.

Všichni klienti jsou za routerama, které jsou přes VPN připojen k serveru. Tzn. Všechna komunikace se serverem probíhá přes VPN.

Na server se dá přihlásit jen přes klíče a chodím na něj z lokální sítě. Sice z windows 11, ale nejsou tam práva Admina a běží tam jen pár aplikací na kanc. činnost a antivir.

Scripty na serveru jsou vytvářeny pod rootem a pod jiným uživatelem si je klienti stahují. Tedy nemůžou měnit obsah.

Klienti se mezi sebou nevidí, tzn. Jeden druhého by také neměl ovlivnit.

Server budu tedy dál pravidelně aktualizovat. Skoro nic tam neběží a věřit, že to vydrží min. Dalších 10 let.

25.7.2024 12:28 Tom K | skóre: 22
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ještě by šlo skripty podepisovat a na klientech kontrolovat podpis.
Pak by ani nabourání serveru útočníkovi nepomohlo.

echo -n "u48" | sha1sum | head -c3; echo

20.7.2024 17:44 …
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

vcerejsi problemy byly o tom, ze to neotestovanej zabezpecovaci software shodil, cili z toho asi nevyvozujes relevantni zavery, rekl bych… tady je ta lekce imho o necem jinym, a sice o nejakych procesech, testovani vs. velkem tresku na jeden prikaz, co uz nejde vratit :D takovy ponauceni bych si z toho bral ja, tj. bude o nejakym postupu deploymentu, ne o ochrane proti kompromitaci…

20.7.2024 20:00 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

jeste to muzes pojmout tak, ze od sebe na tom serveru ty veci oddelis tak, aby bylo potreba nekolik bezpecnostnich chyb najednou, aby se z jednoho izolovaneho prostredi dalo vlamat do druheho - tj. pres pouziti nejake kontejnerizace, napr. - tak, aby 1 PC nevidel na zadna dalsi data, nez ma urcene

20.7.2024 20:03 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

(samotna data jde urcite poresit jen pres ugo/rwx na FS primo, s kontejnerizaci jde jit kousek dal, nesdilenim zadneho rsync, ssh, atd. kodu, ale asi by principialne stacilo i jenom to oddeleni dat, pro lepsi pocit... zalezi, kdo k tomu 1 serveru ma pristup, jak moc jsou to bordelari, atd.)

22.7.2024 14:57 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Uplně jsem to nepochopil, ale zdá se, že asi nic universálního nebude. Tzn. budu se soustředit jen na ten server. Kam mám přístup jen já, tzn. zabezpečit by to mělo jít v pohodě.

20.7.2024 20:12 kulchs
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

co tam maáš za OS že se ptáš na root a rsync

21.7.2024 09:28 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

PC UBUNTU a SERVER DEBIAN

21.7.2024 09:32 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nebol na podobné veci Ansimble?

Len sa pýtam, akosi nie je ozrejmené čo sa má na tých strojoch vzdialene riešiť.

22.7.2024 08:39 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to nejsou servery, tak ansible je na nic (stroje jsou nedostupne). Chce to spis neco typu puppet atd.

22.7.2024 08:42 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to jsou servery, tak ansible je ok. Pokud jsou to stanice, co jsou casto vypnute, tak potrebuje neco typu puppet.

22.7.2024 14:53 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jsou to stanice a k půlce nich se ani nejde vzdáleně připojit. Resp. jde ale ne uplně jednodušše. Není to potřeba.

22.7.2024 15:43
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Když se stanice mohou připojit vzdáleně na centrální server, tak je možné připojit se z centrálního serveru na stanice. Stačí si tam vybudovat nějaký tunel. Takže potom to můžeš obrátit a místo abys konfiguroval nějaké stahování stanicí ze serveru, můžeš ze serveru provádět změny na stanicích.

22.7.2024 16:44 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tunel, VPN alebo iné pripojenie. Určite tam bude nejaký typ internetu ktorý by vedel tie stanice pripojiť do firemného intranetu kde sedí server.

22.7.2024 21:43 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

TO ano to by se dalo vyřešit, ale zatím nevím jestli to potřebuju.

Jestli nebude stačit zabezpečit ten server z kterého se to stahuje.

23.7.2024 00:21
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

twl, ty ten server nemáš zabezpečený už teďka? Staráš se o 150 PC po celé republice a server nemáš zabezpečený?

18.8.2024 21:38 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nač stahovat kalhoty, když brod je ještě daleko. ;-)

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

22.7.2024 21:44 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ale tím se toho moc nevyřeší nebo ano?

Furt slabé místo bude ten server a půjde to vše zhodit tím serverem.

A s anisble má jakou hlavní výhodu oproti tomu tak jak to mám?

23.7.2024 21:41 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokiaľ je ten server nezabezpečený (alebo heslo je NBUSR123 SolarWinds123), tak je jedno či riskuješ profesionálneho záškodníka z internetu alebo nejaké decko čo si sadne za jeden z tých 150 endpointov. Na sto percent sa to stane, a na tisíc percent keď budeš za to zodpovedný ty.

22.7.2024 15:27 Xerces
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak proč tě vzrušují nějaké problémy na Windows platformě?

23.7.2024 21:56 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Boji se, ze se uklepne v bash skriptu a bude jezdit po cele republice ;)..

21.7.2024 15:50 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Reverzný ssh tunel z cieľového pc a potom pripojiť z servera smerom k cieľovému pc. To vyrieši neviditeľosť cieľového pc do internetu ak server je na verejnej ip adrese.

Root v linuxe : "Root povedal, linux vykona."

Řešení 1× (eagle.metawerzum)

23.7.2024 23:10 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Máš tam dvě úrovně, na kterých můžeš něco zabezpečovat.

První úroveň je důvěryhodnost komunikačního kanálu a serveru. Tedy že si ověříš, že cílové PC komunikuje skutečně se svým serverem a že na serveru není nic pochybného. To znamená šifrovat komunikaci a ověřovat klíče, což snadno zajistíš třeba Wireguardem nebo SSH. Na serveru samotném pak nesmí být nic dalšího, aby jsi neměl díru někde vedle, i když samotná synchronizační služba by byla zabezpečená dobře.

Druhá úroveň je obsah. Instalační balíčky se běžně podepisují a klient, který si je instaluje, si napřed podpis ověří. Například při instalaci aplikace na Androidu musí být balíček s novou verzí aplikace podepsaný stejným klíčem jako instalovaná verze. Pokud na serveru nebude klíč k podepisování instalačních souborů/obrazů, tak i když útočník udělá na serveru cokoliv, tak klientské PC zjistí, že podpis nesedí a nic nenainstaluje. Klíč pak můžeš mít schovaný na HW tokenu a při přípravě aktualizace soubory podepsat na jiném stroji, aby server nikdy nemohl sám instalační balíček vytvořit. Konkrétní nástroje záleží na tom, jak věci děláš, například můžeš mít podepsaný seznam všech souborů s SHA1 hashi všeho a na klientovi ověříš podpis toho seznamu a pak tím seznamem ověříš všechny soubory po stažení, ale předtím, než je reálně použiješ.

Hello world ! Segmentation fault (core dumped)

24.7.2024 21:38 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jeste bych pridal ne-existenci zalozniho serveru v pripade vypadku verzovani konfigurace a "rollback" mechanismus pri selhani aktualizace.

Zalezi jak moc je to kriticke, do jake hloubky to chces resit a kolik tomu venujes casu. Osbne se drzim hesla "v jednoduchosti je krasa".

31.7.2024 17:24 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Záleží, zda řešíš spolehlivost, nebo bezpečnost. Záložní server, verzování a rollback je o spolehlivosti. Podepisování a šifrování o bezpečnosti.

Krása je sice v jednoduchosti, ale ještě více je v automatizovanosti a reprodukovatelnosti.

Hello world ! Segmentation fault (core dumped)

25.7.2024 17:57 ert
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Rek bych, ze resis neco uplne jineho, nez na co se tazatel pta.

Pokud jsem to pochopil ja, tak mu jde primarne o to, aby tam nepustil nejaku akci a nesejmul si ty klienty. Utocnik si klidne na serveru pocka az tam prijdes a pocka si az budes neco podepisovat ...

Ale pokud se nebavime o umyslnym utoku, tak je potreba pred kazdou akci na klientovi vyrobit snap a nastavit to tak aby pri pripadnem failu nastartoval prave z toho snapu.

Ovsem jinak ... je potreba predevsim zadne (widlo)aktualizace neinstalovat ...

https://www.ghacks.net/2024/07/25/windows-latest-security-update-is-causing-huge-issues-for-some-users/

Řešení 1× (eagle.metawerzum)

31.7.2024 17:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pointa je v tom, že na tom serveru se nikdy nic podepisovat nebude a klíče k podpisu tam nikdy nebudou. Server je pak jen komunikační kanál, nikoliv autorita. Balíčky se vytvoří a podepíšou někde uplně jinde a serveru se jen předají k distribuci. Pokud podpis nesedne, klient balíček nenainstaluje a server ani útočník s tím nic nenadělá.

Hello world ! Segmentation fault (core dumped)

3.8.2024 18:48 LA_USER
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tohle mi smrdí....

Staráte se o 150 PC, cca 10 let....

Asi za to jste finančně ohodnocen...

A za 10 let jste se nenaučil s Ansiblem, nebo OpenVPN/Wireguardem...

Dle mě, děláte něco hodně špatně.

5.8.2024 18:39 Cronin
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

... ale hodlá s tým niečo urobiť, čo je rozhodne pozitívnejšie ako deštruktívne komentáre, že áno?