Na Kickstarteru běží kampaň na podporu modulárního otevřeného handheldu Mecha Comet s Linuxem.
V nedávno zveřejněné kolekci dokumentů souvisejících s kontroverzním finančníkem a kuplířem Jeffrey Epsteinem se překvapivě objevil i referenční manuál unixového shellu Bash, jedná se o verzi manuálu z roku 2005. Aktuální vydání si lze stáhnout ze stránek GNU.
The Document Foundation oznámila vydání nové verze 26.2 svobodného kancelářského balíku LibreOffice. Podrobný přehled nových vlastností i s náhledy v poznámkách k vydání (cs). Vypíchnout lze podporu formátu Markdown.
Co se děje ve zprávách, ví asi každý - válka sem, clo tam, demonstrace na jednu i druhou stranu a bastlíř už má pocit, že se snad ani nic jiného neděje. To by však byl velký omyl a Virtuální Bastlírna je zde jako každý měsíc, aby vytáhla na světlo světa události ze světa vědy a techniky. Připojte se tedy nezávaznému povídání Strahovského MacGyvera! Co se tam bude probírat? PCBWay začalo dělat průhledné plošňáky, MARS končí s výrobou skříněk, FEL
… více »Guvernérka státu New York Kathy Hochul (Demokraté) plánuje novou legislativu, která by měla omezit výrobu 3D tištěných zbraní. Tento návrh zákona zavádí povinnost pro všechny 3D tiskárny prodávané ve státě New York obsahovat 'software' bránící ve výrobě zbraní. Návrh zákona rovněž zakazuje lidem sdílet 'digitální plány zbraní' (blueprinty) bez povolení. Existují důvodné obavy, že se tento nešťastný nápad může šířit do dalších zemí a ovlivnit celý 3D tisk jako takový. Ostatně, s podobnou regulací nedávno přišel i stát Washington.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za prosinec 2025 a leden 2026 (YouTube). Zajímavé, že i v roce 2026 celou řadu problémů vyřeší falšování řetězce User-Agent.
Bylo rozhodnuto, že Linux From Scratch (LFS) končí s podporou System V init. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů už budou pouze se systemd.
Byla vydána nová verze 2026.1.0 "Like a Version" svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Přehled novinek v poznámkách k vydání a na GitHubu. Změněno bylo číslování verzí. Předchozí verze byla 2.9.1.
Internetový prohlížeč Firefox bude mít nové ovládací prvky pro umělou inteligenci, které umožní uživatelům vypnout vestavěné AI funkce přímo v nastavení prohlížeče. Jednotlivě půjde vypnout nebo zapnout automatické překlady stránek, generovaní popisného textu k obrázkům v otevřených PDF dokumentech, samoorganizaci tabů do skupin, náhledy odkazů s krátkým shrnutím a boční panel s chatbotem. Tyto možnosti v nastavení prohlížeče
… více »Desktopové prostředí KDE Plasma 6.6, která je právě ve fázi beta, nahrazuje stávající SDDM novým Plasma Login Managerem, který je ale pevně navázán na systemd. Plasma Login Manager využívá systemd-logind a další součásti systemd, které nejsou dostupné v operačních systémech bez systemd, jako je například FreeBSD, případně jsou linuxové distribuce Gentoo, Void Linux anebo Alpine Linux. Pro uživatele zatím stále ještě existuje možnost používat SDDM.
$IPTABLES -N INTERNET_SSH $IPTABLES -A INPUT -i $INTERNET -p tcp -j INTERNET_SSH $IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT $IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp --dport 1600 -m recent --name SSH --remove -j DROP $IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp --dport 1601 -m recent --name SSH --set -j DROP $IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp --dport 1602 -m recent --name SSH --remove -j DROPStačí telnetem zaťukat na port 1601 a Sezame otevři se. Na port 1600 a je zase zavřeno. Jenže bych rád, abych musel zaťukat na vícero portů anebo když ne to, tak alespoň aby se to otevřelo jen pro danou IP adresu, ze které ťukám a nejlépe jen pro dané username. Úplně nejlepší by to bylo vše naráz, ale to už bych asi chtěl až moc. Každopádně NetFilter je velice mocný nástroj, tak třeba někoho alespoň něco z toho, co bych rád napadne.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
$INTERNET=eth0 # interface
$STROJ=10.10.10.10 # povoleny stroj
$IPTABLES -N INTERNET_SSH_PK
$IPTABLES -A INPUT -i $INTERNET -p tcp -j INTERNET_SSH_PK
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $STROJ \
-m state --state NEW -m tcp -p tcp --dport 22 \
-m recent --rcheck --name SSH -j ACCEPT
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $STROJ \
-m state --state NEW -m tcp -p tcp --dport 1600 \
-m recent --name SSH --remove -j DROP
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $STROJ \
-m state --state NEW -m tcp -p tcp --dport 1601 \
-m recent --name SSH --set -j DROP
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $STROJ \
-m state --state NEW -m tcp -p tcp --dport 1602 \
-m recent --name SSH --remove -j DROP
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $STROJ \
-m state --state NEW -m tcp -p tcp --dport 22 \
-m recent --rcheck --seconds 10 --name SSH -j ACCEPT
...
...
Takže zbývá už jen to, aby se pro otevření mohlo klepat na více portů než jen jeden jediný.
$IPTABLES -N INTERNET_SSH
$IPTABLES -A INPUT -i $INTERNET -p tcp -j INTERNET_SSH
$IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp \
--dport 22 -m recent --rcheck --name SSH2 -j ACCEPT
$IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp \
--dport 1600 -m recent --name SSH --remove \
--name SSH2 --remove -j DROP
$IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp \
--dport 1601 -m recent --name SSH --set -j DROP
$IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp \
--dport 1603 -m recent ! --rcheck --name SSH -j DROP
$IPTABLES -A INTERNET_SSH -m state --state NEW -m tcp -p tcp \
--dport 1603 -m recent --name SSH2 --set -j DROP
Idea je, že při ťukání na port 1603 se testuje, jestli SSH je set (ťukalo se na 1601) - když ne, paket se zahodí. Když ano, uplatní se další pravidlo, které nastaví SSH2, což už umožní spojení na port 22.
Jak říkám, je to jenom takový nápad - nejsem si jistý, že ten vykřičník u testování na portu 1603 bude fungovat ani jestli jde vymazat SSH i SSH2 naráz (aby se ťukáním na 1600 zavřelo všechno)
IPTABLES=/sbin/iptables
### AN INTERFACE
INTERNET=eth0
### NOTICE: DEFAULT POLITIC IS TO DROP EVERYTHING AS USUAL
.
.
.
### BLOCK INCOMING SSH BRUTE-FORCE ATEMPTS
### ONE ATEMPT PER 10 SECONDS ONLY FOR SSH IS ALLOWED
$IPTABLES -N INTERNET_SSH_BF
$IPTABLES -A INPUT -i $INTERNET \
-p tcp \
-j INTERNET_SSH_BF
$IPTABLES -A INTERNET_SSH_BF -i $INTERNET \
-p tcp --dport 22 \
-m recent --update --seconds 20 \
-j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A INTERNET_SSH_BF -i $INTERNET \
-p tcp --dport 22 --tcp-flags syn,ack,rst syn \
-m recent --set \
-j ACCEPT
### PORT-KNOCKING FROM SPECIFIC HOST
### PORT WILL BE OPNENED FOR 3 SECONDS ONLY
### PORT-KNOCKING IS POSSIBLE FROM ONE HOST ONLY
OPENEDTIME=3
ALLOWEDHOST=10.10.10.10
KNOCKPORT=1600
$IPTABLES -N INTERNET_SSH_PK
$IPTABLES -A INPUT -i $INTERNET \
-p tcp -j INTERNET_SSH_PK
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $ALLOWEDHOST \
-m state --state NEW \
-p tcp --dport 22 \
-m recent --rcheck --seconds $OPENEDTIME --name SSH_PK \
-j ACCEPT
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $ALLOWEDHOST \
-m state --state NEW \
-p tcp --dport $KNOCKPORT \
-m recent --name SSH_PK --set \
-j DROP
Jedinou nevýhodou může být, že když někdo bude zrovna provozovat na náš stroj brute-force, tak se také nezalogujeme, dokud brute-force neskončí. To není příjemná představa a je to asi obecná vlastnost všech port-knockingů jen na jeden port. Myslím, že právě možnost zaťukat na posloupnost portů, by to mohla vyřešit, ale nepovedlo se mi zatím vytvořit žádnou funkční implementaci. Dám opět vědět, jak to pokračuje. Nápady jsou stále vítány.
INTERNET=eth0
ALLOW_HOST=10.10.10.10
OPEN_TIME=3
KNOCK_PORT=1601
$IPTABLES -N INTERNET_SSH_PK
$IPTABLES -A INPUT -i $INTERNET \
-p tcp \
-j INTERNET_SSH_PK
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET \
-s $ALLOW_HOST \
-m state --state NEW \
-p tcp --dport 22 \
-m recent --rcheck --seconds $OPEN_TIME --name SSH_PK \
-j ACCEPT
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET \
-s $ALLOW_HOST \
-m state --state NEW \
-p tcp --dport $KNOCK_PORT -m recent --name SSH_PK --set \
-j DROP
Je to tedy opět ta původní a nejjednodušší verze klepání na jediný port s modifikací, že je nutno se zalogovat do určitého počtu vteřin. Poté se port opět uzavře. Na vzáleném stroji provedeme zaťukání a zalogování takto:
telnet adresa 1601 ; ssh uzivate@adresaPo stisku
ctrl-c se provede druhý příkaz a dojde k zalogování. Po třech vteřinách je port opět uzavřen. Hm, nic moc, ale je to alespoň něco. 
# Netfilter/IPtables - example of multiple-port knocking # Note: Knock ports 100,200,300,400 to open SSH port for 5 seconds. # Nice thing to knock TCP with is `telnet' program: # $> alias k='telnet ip_address_or_hostname' # $> k 100 ; k 200 ; k 300 ; k 400 ; ssh ip_address_or_hostname # Then press Ctrl-C 4 times. That's all. Enjoy. HOST_IP="12.34.56.78" /sbin/iptables -N INTO-PHASE2 /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: " /sbin/iptables -N INTO-PHASE3 /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: " /sbin/iptables -N INTO-PHASE4 /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: " /sbin/iptables -A INPUT -m recent --update --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 100 -m recent --set --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 200 -m recent --rcheck --name PHASE1 -j INTO-PHASE2 /sbin/iptables -A INPUT -p tcp --dport 300 -m recent --rcheck --name PHASE2 -j INTO-PHASE3 /sbin/iptables -A INPUT -p tcp --dport 400 -m recent --rcheck --name PHASE3 -j INTO-PHASE4 /sbin/iptables -A INPUT -p tcp -s $HOST_IP --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPTTento ukazkovy script si lze take stahnout zde, popr. je k nalezeni tez na strankach Debian Administration.
Tiskni
Sdílej:
