Přihlášení | Registrace

napište » Zprávičky

ROCm 7.0.0

dnes 16:22 | Nová verze

Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

Ladislav Hagara | Komentářů: 0

systemd 258

dnes 15:22 | Nová verze

Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

Ladislav Hagara | Komentářů: 1

Java 25 / JDK 25

dnes 15:11 | Nová verze

Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

Ladislav Hagara | Komentářů: 0

Věra Pohlová před 26 lety: „Já bych všechny ty internety a počítače zakázala“

dnes 14:44 | Humor

Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

Ladislav Hagara | Komentářů: 1

Výroční zpráva Blender Foundation za rok 2024

dnes 11:33 | Zajímavý článek

Byla publikována Výroční zpráva Blender Foundation za rok 2024 (pdf).

Ladislav Hagara | Komentářů: 0

Firefox 143.0

včera 21:44 | Nová verze

Byl vydán Mozilla Firefox 143.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Nově se Firefox při ukončování anonymního režimu zeptá, zda chcete smazat stažené soubory. Dialog pro povolení přístupu ke kameře zobrazuje náhled. Obzvláště užitečné při přepínání mezi více kamerami. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 143 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Fedora Linux 43 Beta

včera 17:22 | Nová verze

Byla vydána betaverze Fedora Linuxu 43 (ChangeSet), tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 21. října.

Ladislav Hagara | Komentářů: 0

Ghostty 1.2

včera 12:22 | Nová verze

Multiplatformní emulátor terminálu Ghostty byl vydán ve verzi 1.2 (𝕏, Mastodon). Přehled novinek, vylepšení a nových efektů v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Godot 4.5

včera 00:11 | Nová verze

Byla vydána nová verze 4.5 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

asciinema CLI 3.0

15.9. 21:33 | Nová verze

Byla vydána verze 3.0 (Mastodon) nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). S novou verzí formátu záznamu asciicast v3, podporou live streamingu a především kompletním přepisem z Pythonu do Rustu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (44%)

Gitlab (78%)

Atlassian (0%)

Bitbucket (0%)

Gitea (11%)

Mercurial (11%)

jen git (22%)

jen svn (0%)

Jiné (uvedu v diskusi) (22%)

Celkem 9 hlasů

Komentářů: 1, poslední dnes 13:49

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Bezpečná centrální správa asi 150ti PC

Štítky: Cron, data, PC, pod, práva, server, síť, správa, Windows, zabezpečení

Dotaz: Bezpečná centrální správa asi 150ti PC

20.7.2024 15:19 chinook | skóre: 28
Bezpečná centrální správa asi 150ti PC

Přečteno: 1986×

Odpovědět | Admin

Zdravím, mám cca 150PC různě po republice, většina není ani viditelná z internetu.

Občas potřebuju od tama stahovat nějaká data. Něco tam nahrát. A něco změnit v konfiguraci. Ted to řeším tak, že na každém PC je cron. Ten se spustí pod rootem a rsyncem to postahuje z centrálního serveru a případně restartuje službu.

Jsem si vědom bezp. rizika, že ta sít PC lze celkem jednodušše zhodit pokud se někdo dostane na ten centrální server.

Po včerejších problémech s windows isssue, bych to rád nějak líp zabezpečil. Jen mě nic kromě lepšího zabezpečení serveru nenapadá. Protože občas tam jsou potřeba i práva roota.

Poradí někdo jak to řešit?

Asi určitě, každé PC co stahuje konfiguraci ze serveru, by mělo tam mít jen práva čtení, aby v případě kompromitace jednoho PC nešla zhodit celá sít. Ale víc jsem nevymyslel.

Řešení dotazu:

Komentář #34 (Josef Kufner, 1 hlasů)
Komentář #28 (Josef Kufner, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

20.7.2024 17:34 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak to vem obracene. Jak by jsi tu sit konkretne shodil?

21.7.2024 09:30 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak problém je to PC z kterého se stahují ty scripty, které následně pouští root. Takže asi hledat řešení tam.

21.7.2024 09:49 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Neodpovedel jsi na otazku.

22.7.2024 14:49 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jakto, že ne?

Slabé místo je, ten server odkud se to synchronzuje. Protože se od tama stáhne script, který se na klientech spouští pod právy roota.

Přihlašování mezi klientama pomocí klíčů, jsem zrušil, resp. tam dal heslo. Tzn. jediné slabé místo je ted ten server.

22.7.2024 16:36 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ja se neptam co je slabe misto, ja se ptam jak by jsi tu sit shodil?

22.7.2024 21:41 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Dám do toho scriptu co je na serveru a spouští jej všichni klienti něco jako:

rm -rf /

23.7.2024 00:18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud je to tvůj záměr, tak je to pořádku. Ale zřejmě nějak nechápu, o co ti jde.

Ty se bojíš, že ti na serveru někdo změní ty skripty, které se mají spouštět na klientech? Tak omez všechno, co se ti přihlašuje na server, na minimum.

Když si uděláš nějaké VPNky z klientů na server a všechna vzdálená přihlášení se budou odehrávat pouze ve směru server klient, tak prostě ten server bude ohrožen míň. Kromě toho, když se dá ke klientu vzdáleně přihlásit, je to určitě lepší, než když se musí spoléhat na to, že kýženou změnovou akci na klientovi provede zaručeně správně napsaný skript stažený rsyncem ze serveru.

23.7.2024 08:08 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Utocnik se na server dostane jak?

24.7.2024 21:07 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Doufám, že nijak. Ale je to nejslabší místo. Děkuji všem za odpovědi. Spíše jsem čekal, že bude nějaké lepší řešení, než toto co používám asi 10let.

Server jsem tedy jen pro jistotu přeinstaloval. A vše nahrál zpátky.

Server není dostupný z internetu a ani žádné klientské PC.

Všichni klienti jsou za routerama, které jsou přes VPN připojen k serveru. Tzn. Všechna komunikace se serverem probíhá přes VPN.

Na server se dá přihlásit jen přes klíče a chodím na něj z lokální sítě. Sice z windows 11, ale nejsou tam práva Admina a běží tam jen pár aplikací na kanc. činnost a antivir.

Scripty na serveru jsou vytvářeny pod rootem a pod jiným uživatelem si je klienti stahují. Tedy nemůžou měnit obsah.

Klienti se mezi sebou nevidí, tzn. Jeden druhého by také neměl ovlivnit.

Server budu tedy dál pravidelně aktualizovat. Skoro nic tam neběží a věřit, že to vydrží min. Dalších 10 let.

25.7.2024 12:28 Tom K | skóre: 22
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ještě by šlo skripty podepisovat a na klientech kontrolovat podpis.
Pak by ani nabourání serveru útočníkovi nepomohlo.

echo -n "u48" | sha1sum | head -c3; echo

20.7.2024 17:44 …
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

vcerejsi problemy byly o tom, ze to neotestovanej zabezpecovaci software shodil, cili z toho asi nevyvozujes relevantni zavery, rekl bych… tady je ta lekce imho o necem jinym, a sice o nejakych procesech, testovani vs. velkem tresku na jeden prikaz, co uz nejde vratit :D takovy ponauceni bych si z toho bral ja, tj. bude o nejakym postupu deploymentu, ne o ochrane proti kompromitaci…

20.7.2024 20:00 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

jeste to muzes pojmout tak, ze od sebe na tom serveru ty veci oddelis tak, aby bylo potreba nekolik bezpecnostnich chyb najednou, aby se z jednoho izolovaneho prostredi dalo vlamat do druheho - tj. pres pouziti nejake kontejnerizace, napr. - tak, aby 1 PC nevidel na zadna dalsi data, nez ma urcene

20.7.2024 20:03 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

(samotna data jde urcite poresit jen pres ugo/rwx na FS primo, s kontejnerizaci jde jit kousek dal, nesdilenim zadneho rsync, ssh, atd. kodu, ale asi by principialne stacilo i jenom to oddeleni dat, pro lepsi pocit... zalezi, kdo k tomu 1 serveru ma pristup, jak moc jsou to bordelari, atd.)

22.7.2024 14:57 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Uplně jsem to nepochopil, ale zdá se, že asi nic universálního nebude. Tzn. budu se soustředit jen na ten server. Kam mám přístup jen já, tzn. zabezpečit by to mělo jít v pohodě.

20.7.2024 20:12 kulchs
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

co tam maáš za OS že se ptáš na root a rsync

21.7.2024 09:28 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

PC UBUNTU a SERVER DEBIAN

21.7.2024 09:32 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nebol na podobné veci Ansimble?

Len sa pýtam, akosi nie je ozrejmené čo sa má na tých strojoch vzdialene riešiť.

22.7.2024 08:39 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to nejsou servery, tak ansible je na nic (stroje jsou nedostupne). Chce to spis neco typu puppet atd.

22.7.2024 08:42 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to jsou servery, tak ansible je ok. Pokud jsou to stanice, co jsou casto vypnute, tak potrebuje neco typu puppet.

22.7.2024 14:53 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jsou to stanice a k půlce nich se ani nejde vzdáleně připojit. Resp. jde ale ne uplně jednodušše. Není to potřeba.

22.7.2024 15:43
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Když se stanice mohou připojit vzdáleně na centrální server, tak je možné připojit se z centrálního serveru na stanice. Stačí si tam vybudovat nějaký tunel. Takže potom to můžeš obrátit a místo abys konfiguroval nějaké stahování stanicí ze serveru, můžeš ze serveru provádět změny na stanicích.

22.7.2024 16:44 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tunel, VPN alebo iné pripojenie. Určite tam bude nejaký typ internetu ktorý by vedel tie stanice pripojiť do firemného intranetu kde sedí server.

22.7.2024 21:43 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

TO ano to by se dalo vyřešit, ale zatím nevím jestli to potřebuju.

Jestli nebude stačit zabezpečit ten server z kterého se to stahuje.

23.7.2024 00:21
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

twl, ty ten server nemáš zabezpečený už teďka? Staráš se o 150 PC po celé republice a server nemáš zabezpečený?

18.8.2024 21:38 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nač stahovat kalhoty, když brod je ještě daleko. ;-)

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

22.7.2024 21:44 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ale tím se toho moc nevyřeší nebo ano?

Furt slabé místo bude ten server a půjde to vše zhodit tím serverem.

A s anisble má jakou hlavní výhodu oproti tomu tak jak to mám?

23.7.2024 21:41 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokiaľ je ten server nezabezpečený (alebo heslo je NBUSR123 SolarWinds123), tak je jedno či riskuješ profesionálneho záškodníka z internetu alebo nejaké decko čo si sadne za jeden z tých 150 endpointov. Na sto percent sa to stane, a na tisíc percent keď budeš za to zodpovedný ty.

22.7.2024 15:27 Xerces
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak proč tě vzrušují nějaké problémy na Windows platformě?

23.7.2024 21:56 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Boji se, ze se uklepne v bash skriptu a bude jezdit po cele republice ;)..

21.7.2024 15:50 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Reverzný ssh tunel z cieľového pc a potom pripojiť z servera smerom k cieľovému pc. To vyrieši neviditeľosť cieľového pc do internetu ak server je na verejnej ip adrese.

Root v linuxe : "Root povedal, linux vykona."

Řešení 1× (eagle.metawerzum)

23.7.2024 23:10 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Máš tam dvě úrovně, na kterých můžeš něco zabezpečovat.

První úroveň je důvěryhodnost komunikačního kanálu a serveru. Tedy že si ověříš, že cílové PC komunikuje skutečně se svým serverem a že na serveru není nic pochybného. To znamená šifrovat komunikaci a ověřovat klíče, což snadno zajistíš třeba Wireguardem nebo SSH. Na serveru samotném pak nesmí být nic dalšího, aby jsi neměl díru někde vedle, i když samotná synchronizační služba by byla zabezpečená dobře.

Druhá úroveň je obsah. Instalační balíčky se běžně podepisují a klient, který si je instaluje, si napřed podpis ověří. Například při instalaci aplikace na Androidu musí být balíček s novou verzí aplikace podepsaný stejným klíčem jako instalovaná verze. Pokud na serveru nebude klíč k podepisování instalačních souborů/obrazů, tak i když útočník udělá na serveru cokoliv, tak klientské PC zjistí, že podpis nesedí a nic nenainstaluje. Klíč pak můžeš mít schovaný na HW tokenu a při přípravě aktualizace soubory podepsat na jiném stroji, aby server nikdy nemohl sám instalační balíček vytvořit. Konkrétní nástroje záleží na tom, jak věci děláš, například můžeš mít podepsaný seznam všech souborů s SHA1 hashi všeho a na klientovi ověříš podpis toho seznamu a pak tím seznamem ověříš všechny soubory po stažení, ale předtím, než je reálně použiješ.

Hello world ! Segmentation fault (core dumped)

24.7.2024 21:38 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jeste bych pridal ne-existenci zalozniho serveru v pripade vypadku verzovani konfigurace a "rollback" mechanismus pri selhani aktualizace.

Zalezi jak moc je to kriticke, do jake hloubky to chces resit a kolik tomu venujes casu. Osbne se drzim hesla "v jednoduchosti je krasa".

31.7.2024 17:24 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Záleží, zda řešíš spolehlivost, nebo bezpečnost. Záložní server, verzování a rollback je o spolehlivosti. Podepisování a šifrování o bezpečnosti.

Krása je sice v jednoduchosti, ale ještě více je v automatizovanosti a reprodukovatelnosti.

Hello world ! Segmentation fault (core dumped)

25.7.2024 17:57 ert
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Rek bych, ze resis neco uplne jineho, nez na co se tazatel pta.

Pokud jsem to pochopil ja, tak mu jde primarne o to, aby tam nepustil nejaku akci a nesejmul si ty klienty. Utocnik si klidne na serveru pocka az tam prijdes a pocka si az budes neco podepisovat ...

Ale pokud se nebavime o umyslnym utoku, tak je potreba pred kazdou akci na klientovi vyrobit snap a nastavit to tak aby pri pripadnem failu nastartoval prave z toho snapu.

Ovsem jinak ... je potreba predevsim zadne (widlo)aktualizace neinstalovat ...

https://www.ghacks.net/2024/07/25/windows-latest-security-update-is-causing-huge-issues-for-some-users/

Řešení 1× (eagle.metawerzum)

31.7.2024 17:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pointa je v tom, že na tom serveru se nikdy nic podepisovat nebude a klíče k podpisu tam nikdy nebudou. Server je pak jen komunikační kanál, nikoliv autorita. Balíčky se vytvoří a podepíšou někde uplně jinde a serveru se jen předají k distribuci. Pokud podpis nesedne, klient balíček nenainstaluje a server ani útočník s tím nic nenadělá.

Hello world ! Segmentation fault (core dumped)

3.8.2024 18:48 LA_USER
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tohle mi smrdí....

Staráte se o 150 PC, cca 10 let....

Asi za to jste finančně ohodnocen...

A za 10 let jste se nenaučil s Ansiblem, nebo OpenVPN/Wireguardem...

Dle mě, děláte něco hodně špatně.

5.8.2024 18:39 Cronin
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

... ale hodlá s tým niečo urobiť, čo je rozhodne pozitívnejšie ako deštruktívne komentáre, že áno?