Byla vydána verze 9.1 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a informačním videu.
Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem zůstává El Capitan od HPE (Cray) s výkonem 1,809 exaFLOPS. Druhý Frontier má výkon 1,353 exaFLOPS. Třetí Aurora má výkon 1,012 exaFLOPS. Nejvýkonnější superpočítač v Evropě JUPITER Booster s výkonem 1,000 exaFLOPS je na čtvrtém místě. Nejvýkonnější český superpočítač C24 klesl na 192. místo. Karolina, GPU partition klesla na 224. místo a Karolina, CPU partition na 450. místo. Další přehledy a statistiky na stránkách projektu.
Microsoft představil Azure Cobalt 200, tj. svůj vlastní SoC (System-on-Chip) postavený na ARM a optimalizovaný pro cloud.
Co způsobilo včerejší nejhorší výpadek Cloudflare od roku 2019? Nebyl to kybernetický útok. Vše začalo změnou oprávnění v jednom z databázových systémů a pokračovalo vygenerováním problém způsobujícího konfiguračního souboru a jeho distribucí na všechny počítače Cloudflare. Podrobně v příspěvku na blogu Cloudflare.
Byla vydána (Mastodon, 𝕏) první RC verze GIMPu 3.2. Přehled novinek v oznámení o vydání. Podrobně v souboru NEWS na GitLabu.
Eugen Rochko, zakladatel Mastodonu, tj. sociální sítě, která není na prodej, oznámil, že po téměř 10 letech odstupuje z pozice CEO a převádí vlastnictví ochranné známky a dalších aktiv na neziskovou organizaci Mastodon.
Byla vydána nová major verze 5.0 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v obsáhlých poznámkách k vydání. Videopředstavení na YouTube.
Cloudflare, tj. společnost poskytující "cloudové služby, které zajišťují bezpečnost, výkon a spolehlivost internetových aplikací", má výpadek.
Letos se uskuteční již 11. ročník soutěže v programování Kasiopea. Tato soutěž, (primárně) pro středoškoláky, nabízí skvělou příležitost procvičit logické myšlení a dozvědět se něco nového ze světa algoritmů – a to nejen pro zkušené programátory, ale i pro úplné začátečníky. Domácí kolo proběhne online od 22. 11. do 7. 12. 2025 a skládá se z 9 zajímavých úloh různé obtížnosti. Na výběru programovacího jazyka přitom nezáleží – úlohy jsou
… více »Byla vydána nová verze 2.52.0 distribuovaného systému správy verzí Git. Přispělo 94 vývojářů, z toho 33 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.
23.3.2022 10:37
Max | skóre: 72
| blog: Max_Devaine
23.3.2022 11:50
Max | skóre: 72
| blog: Max_Devaine
23.3.2022 12:36
Max | skóre: 72
| blog: Max_Devaine
27.3.2022 13:52
Josef Kufner | skóre: 70
24.3.2022 23:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.3.2022 11:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.3.2022 08:22
Max | skóre: 72
| blog: Max_Devaine
25.3.2022 21:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Zazil jsem dobu...... a ta doba je za námi. Pokud to vašim uživatelům stačí, budiž. Pokud to jako správci těch služeb stačí vám, nejste dobrý správce, protože nenabízíte to nejlepší, co lze stejně snadno nabídnout. (Což vám samozřejmě nemusí vadit, to je skutečně jen na vás a na tom, jak moc si ceníte pocitu dobře odvedené práce.)
Nevim proc bych nemel chtit, aby si lide maily stahovali. V terenu jim jsou na serveru k nicemu.Nemáte jediného uživatele, který by chtěl mít přístup k poště na telefonu i stolním počítači? Notebooku i počítači? Co znamená, že jsou v terénu na serveru k ničemu - není to náhodou, že neumíte nastavit poštovní klient, aby poštu synchronizoval na lokální úložiště?
24.3.2022 23:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Analogicky pro odesialni "brana.firma.cz", port 25To je špatně, pro odesílání se používá SMTP submission, porty 465 a 587 (dle TLS/STARTTLS). Port 25 bývá pro uživatele často blokovaný, protože přes něj lze posílat spam napřímo do serveru příjemce. (ale s problémem to nesouvisí)
Takze uzivatel si doma prenastavi Thunderbirda na 192.168.1.1, vyskoci na nej schvaleni vyjimky, ze server je "192.168.1.1" ale certifikat je na "brana.firma.cz", on to schvali a jsme tam, kde jsme byli. Ma to nejake rozumne reseni?Ne. Můžeš mít zvlášť smtp.firma.cz a pop.firma.cz, přičemž to druhé bude mít 192.168.1.1. Thunderbird má úplně zvlášť přijímací a posílací server, takže pohoda. Ale to nefunguje pokud uživatelovo DNS dělá rebinding protection - což dělá OpenWRT v defaultu. (certifikát na doménu s 192.168.1.1 si vystavíš… no, asi přes DNS ověření u letsencrypt)
Zatim nemam odvahu povolovat pop3 i zvenku (ty lidi tam maji nastaveny fakt trapny hesla). Na druhou stranu smtp je otevrene do sveta a taky zijeme.Osobně si myslím že na SMTP se útočí mnohem víc, minimálně necílené útoky - protože to jde zneužívat pro spamy. Na pop se útočí cíleně, pokud chceš ukrást firemní knowhow (a nebo ho zašifrovat a chtít ransom, ale lidi ty maily asi budou mít stažené u sebe) Jinak doporučuju implementovat limit počtu mailů na jednoho uživatele. Existuje na to postfwd, ale bylo to příšerné. Ale jde to snad snadno naskriptovat úplně from scratch:
dáš do konfigurace postfixu smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10040 na ten port ti pak s každým mailem přijde sender=owner-postfix-users@postfix.org client_name=english-breakfast.cloud9.net client_address=168.100.1.7 sasl_username=xx (a další údaje) <prázdný řádek> ty na to odpovíš action=DUNNO resp. ACCEPT/DENY/REJECT(?) a počítáš kolik kdo poslal mailů - spammer → tisíce za hodinu. A pak odpovídáš REJECT a pošleš mail adminovi ať to řeší
24.3.2022 23:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Certifikáty se mají aktualizovat zcela automtaicky, každé cca 2 měsíce. (LetsEncrypt je obvykle vydává na 3 měsíce, takže 2 měsíce jsou tak akorát s nějakým prostorem pro řešení neobvyklých situací, nastanou-li zpočátku nějaké.)
Tohle^^^ všechno samozřejmě musí být zcela automatizované, jinak je to děsivý opruz, na který bude správce soustavně zapomínat. Nejjednodušší implementace je třeba nějaký systemd timer, který se každý den podívá, jestli by se „stavový stroj“ pro rotaci klíčů nedal posunout o kousek dál. Například: Tady máme už týden publikovaný nový klíč v TLSA, pojďme nasadit nový klíč na serveru. Tuhle zase máme už týden nový klíč na serveru, pojďme odstranit starý klíč z TLSA. A onde zase máme už 8 týdnů stabilně stejný certifikát, pojďme si od LetsEncrypt vyžádat nový. Atd. atp.
Další podobný mechanismus rotace by měl být taky pro DKIM klíče a DKIM záznamy. Obvykle se DKIM záznamy číslují (a můžou se jmenovat libovolně, protože odkaz na DKIM záznam je v mailech samotných) a nechávají se v DNS tak čtyři — jeden budoucí, jeden současný a dva minulé. (Další rozdíl oproti TLS + TLSA je ten, že u DKIM neexistuje důvod používat klíče související s LetsEncrypt certifikáty; klíče můžou být zcela libovolně lokálně vygenerované.)
Vzhledem k tomu, že testy na internet.nl prověřují spíš nutné než postačující nastavení serveru, pod 100% bych já osobně asi nešel. Ano, je pravda, že spousty veřejně známých mailových domén tam 100% nemají, nicméně jejich správci většinou vedou v patrnosti, proč jim ten či onen nedostatek projde. Nedostatky velkého poskytovatele mailu jsou leckdy ostatními velkými poskytovateli tolerované, aby se maily příliš neztrácely. Menší a soukromě provozovaný mail server takový luxus a vliv nemá a měl by být nastavený v co nejlepším souladu s „best practices“ (které se pochopitelně pomalu mění, takže 100% dnes nezaručuje 100% za rok; pořád je tam nějaká práce).
Co se tyka ipsec a ipv6, tak to jsou temata, na kterych se neshodneme.
Tohle není věc názoru a/nebo shody. Zkrátka, IPv6 je internet, zatímco IPv4 je paskvilozmetek z roku 1975, který byl jakýmsi nepodařeným experimentem a nebylo vůbec zamýšleno, že se bude globálně a veřejně používat s takovými adresami, jakými později nechvalně proslul. Nemít IPv6 v podstatě znamená nemít server připojený k internetu.
Nemluvě o tom, že IPSec a IPv6 zajistí bezproblémové routování do jakékoliv sítě, ať už soukromé a dostupné jen skrz VPN nebo zcela veřejné, a nedojde nikdy ke konfliktu adres. Různé zoufalé VPN servery, které klientům přidělí telefonní číslo 192.168.1.x/24, které ovšem mají někteří i na domácím routeru a pak jim nic nefunguje, by měly být věcí minulosti. VPN s IPv6 a s unikátním veřejným (jakým jiným!) rozsahem adres bude fungovat vždy a všude, bez ohledu na to, jaký IPv6 rozsah má uživatel doma. (A tunel s IPv6 může vést i skrz IPv4, čímž navíc odpadne (pořád ještě sporadicky existující) problém typu „nemám internet“ (== „nemám IPv6“).)
28.3.2022 19:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tohle není věc názoru a/nebo shody.Ano, navíc v tomto případě mu IPv6 řeší problém -- zatímco RFC1918 adresu nemůže do veřejného DNS dát, protože bývají filtrovány některými resolvery, tak u IPv6 AFAIK žádný takový problém není. Takže mu stačí dát tu adresu do DNS, nastavit aby se routovala přes VPN a vyřešeno.
(pripoji se exoticky klient k serveru) S: 220 brana.firma.cz ... C: EHLO User (doslova) S: 250-brana.firma.cz (vycet vcetne STARTTLS) C: RSET S: 250 Reset OK C: AUTH LOGIN S: 503 AUTH command used when not advertised C: QUIT S: 221 ... (+ TCP FIN)Vypada to, ze exim v debianu to ma asi nejak poreseno.
Tam se nic aktualizovat nemusi. U sebe mam tajny klic, v dns mam verejny a tak to bude na veky veku.Mám zato, že v tomto se mýlíte. Respektive samozřejmě to tak můžete udělat, ale pokud vím, teorie je taková, že čím víc dat s tím klíčem podepíše, tím větší šance je prolomit ten klíč. A jestli si dobře pamatuju, tak Google někdy někde psal, že budou vyžadovat pravidelné obměny toho klíče - respektive k mailům, které jsou podepsány pořád tím samým, se budou chovat, jako by to DKIM podpis nemělo.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz