Přihlášení | Registrace

napište » Zprávičky

Google I/O 2025

dnes 18:11 | IT novinky

Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

Red Hat Summit 2025

dnes 15:22 | Komunita

V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

Ladislav Hagara | Komentářů: 0

Red Hat Enterprise Linux 10

dnes 15:00 | Nová verze

Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Home Assistant Community Day

dnes 12:22 | Pozvánky

Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

jose17 | Komentářů: 0

Have I Been Pwned 2.0

dnes 04:44 | IT novinky

Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevili v únicích dat a případně se nechat na další úniky upozorňovat.

Ladislav Hagara | Komentářů: 13

Microsoft představil textový editor Edit bežící v terminálu

včera 23:22 | Zajímavý software

Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 7

Windows Subsystem for Linux je nově open source

včera 22:22 | Zajímavý software

V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

Turris Sentinel – co přinesl rok 2024

včera 13:11 | Zajímavý článek

Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

Ladislav Hagara | Komentářů: 1

GIMP 3.0.4

včera 12:44 | Nová verze

Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

Vivaldi 7.4

včera 12:33 | Nová verze

Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (60%)

python (24%)

perl (10%)

powershell (0%)

batch (0%)

vbscript (0%)

jiný, uvedu v diskusi (7%)

Celkem 42 hlasů

Komentářů: 4, poslední včera 22:41

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Bezpečná centrální správa asi 150ti PC

Štítky: Cron, data, PC, pod, práva, server, síť, správa, Windows, zabezpečení

Dotaz: Bezpečná centrální správa asi 150ti PC

20.7.2024 15:19 chinook | skóre: 28
Bezpečná centrální správa asi 150ti PC

Přečteno: 1898×

Odpovědět | Admin

Zdravím, mám cca 150PC různě po republice, většina není ani viditelná z internetu.

Občas potřebuju od tama stahovat nějaká data. Něco tam nahrát. A něco změnit v konfiguraci. Ted to řeším tak, že na každém PC je cron. Ten se spustí pod rootem a rsyncem to postahuje z centrálního serveru a případně restartuje službu.

Jsem si vědom bezp. rizika, že ta sít PC lze celkem jednodušše zhodit pokud se někdo dostane na ten centrální server.

Po včerejších problémech s windows isssue, bych to rád nějak líp zabezpečil. Jen mě nic kromě lepšího zabezpečení serveru nenapadá. Protože občas tam jsou potřeba i práva roota.

Poradí někdo jak to řešit?

Asi určitě, každé PC co stahuje konfiguraci ze serveru, by mělo tam mít jen práva čtení, aby v případě kompromitace jednoho PC nešla zhodit celá sít. Ale víc jsem nevymyslel.

Řešení dotazu:

Komentář #28 (Josef Kufner, 2 hlasů)
Komentář #34 (Josef Kufner, 1 hlasů)
Komentář #27 (X, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

20.7.2024 17:34 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak to vem obracene. Jak by jsi tu sit konkretne shodil?

21.7.2024 09:30 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak problém je to PC z kterého se stahují ty scripty, které následně pouští root. Takže asi hledat řešení tam.

21.7.2024 09:49 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Neodpovedel jsi na otazku.

22.7.2024 14:49 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jakto, že ne?

Slabé místo je, ten server odkud se to synchronzuje. Protože se od tama stáhne script, který se na klientech spouští pod právy roota.

Přihlašování mezi klientama pomocí klíčů, jsem zrušil, resp. tam dal heslo. Tzn. jediné slabé místo je ted ten server.

22.7.2024 16:36 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ja se neptam co je slabe misto, ja se ptam jak by jsi tu sit shodil?

22.7.2024 21:41 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Dám do toho scriptu co je na serveru a spouští jej všichni klienti něco jako:

rm -rf /

23.7.2024 00:18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud je to tvůj záměr, tak je to pořádku. Ale zřejmě nějak nechápu, o co ti jde.

Ty se bojíš, že ti na serveru někdo změní ty skripty, které se mají spouštět na klientech? Tak omez všechno, co se ti přihlašuje na server, na minimum.

Když si uděláš nějaké VPNky z klientů na server a všechna vzdálená přihlášení se budou odehrávat pouze ve směru server klient, tak prostě ten server bude ohrožen míň. Kromě toho, když se dá ke klientu vzdáleně přihlásit, je to určitě lepší, než když se musí spoléhat na to, že kýženou změnovou akci na klientovi provede zaručeně správně napsaný skript stažený rsyncem ze serveru.

23.7.2024 08:08 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Utocnik se na server dostane jak?

24.7.2024 21:07 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Doufám, že nijak. Ale je to nejslabší místo. Děkuji všem za odpovědi. Spíše jsem čekal, že bude nějaké lepší řešení, než toto co používám asi 10let.

Server jsem tedy jen pro jistotu přeinstaloval. A vše nahrál zpátky.

Server není dostupný z internetu a ani žádné klientské PC.

Všichni klienti jsou za routerama, které jsou přes VPN připojen k serveru. Tzn. Všechna komunikace se serverem probíhá přes VPN.

Na server se dá přihlásit jen přes klíče a chodím na něj z lokální sítě. Sice z windows 11, ale nejsou tam práva Admina a běží tam jen pár aplikací na kanc. činnost a antivir.

Scripty na serveru jsou vytvářeny pod rootem a pod jiným uživatelem si je klienti stahují. Tedy nemůžou měnit obsah.

Klienti se mezi sebou nevidí, tzn. Jeden druhého by také neměl ovlivnit.

Server budu tedy dál pravidelně aktualizovat. Skoro nic tam neběží a věřit, že to vydrží min. Dalších 10 let.

25.7.2024 12:28 Tom K | skóre: 22
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ještě by šlo skripty podepisovat a na klientech kontrolovat podpis.
Pak by ani nabourání serveru útočníkovi nepomohlo.

echo -n "u48" | sha1sum | head -c3; echo

20.7.2024 17:44 …
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

vcerejsi problemy byly o tom, ze to neotestovanej zabezpecovaci software shodil, cili z toho asi nevyvozujes relevantni zavery, rekl bych… tady je ta lekce imho o necem jinym, a sice o nejakych procesech, testovani vs. velkem tresku na jeden prikaz, co uz nejde vratit :D takovy ponauceni bych si z toho bral ja, tj. bude o nejakym postupu deploymentu, ne o ochrane proti kompromitaci…

20.7.2024 20:00 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

jeste to muzes pojmout tak, ze od sebe na tom serveru ty veci oddelis tak, aby bylo potreba nekolik bezpecnostnich chyb najednou, aby se z jednoho izolovaneho prostredi dalo vlamat do druheho - tj. pres pouziti nejake kontejnerizace, napr. - tak, aby 1 PC nevidel na zadna dalsi data, nez ma urcene

20.7.2024 20:03 ...
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

(samotna data jde urcite poresit jen pres ugo/rwx na FS primo, s kontejnerizaci jde jit kousek dal, nesdilenim zadneho rsync, ssh, atd. kodu, ale asi by principialne stacilo i jenom to oddeleni dat, pro lepsi pocit... zalezi, kdo k tomu 1 serveru ma pristup, jak moc jsou to bordelari, atd.)

22.7.2024 14:57 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Uplně jsem to nepochopil, ale zdá se, že asi nic universálního nebude. Tzn. budu se soustředit jen na ten server. Kam mám přístup jen já, tzn. zabezpečit by to mělo jít v pohodě.

20.7.2024 20:12 kulchs
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

co tam maáš za OS že se ptáš na root a rsync

21.7.2024 09:28 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

PC UBUNTU a SERVER DEBIAN

21.7.2024 09:32 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nebol na podobné veci Ansimble?

Len sa pýtam, akosi nie je ozrejmené čo sa má na tých strojoch vzdialene riešiť.

22.7.2024 08:39 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to nejsou servery, tak ansible je na nic (stroje jsou nedostupne). Chce to spis neco typu puppet atd.

22.7.2024 08:42 MP
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokud to jsou servery, tak ansible je ok. Pokud jsou to stanice, co jsou casto vypnute, tak potrebuje neco typu puppet.

22.7.2024 14:53 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jsou to stanice a k půlce nich se ani nejde vzdáleně připojit. Resp. jde ale ne uplně jednodušše. Není to potřeba.

22.7.2024 15:43
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Když se stanice mohou připojit vzdáleně na centrální server, tak je možné připojit se z centrálního serveru na stanice. Stačí si tam vybudovat nějaký tunel. Takže potom to můžeš obrátit a místo abys konfiguroval nějaké stahování stanicí ze serveru, můžeš ze serveru provádět změny na stanicích.

22.7.2024 16:44 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tunel, VPN alebo iné pripojenie. Určite tam bude nejaký typ internetu ktorý by vedel tie stanice pripojiť do firemného intranetu kde sedí server.

22.7.2024 21:43 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

TO ano to by se dalo vyřešit, ale zatím nevím jestli to potřebuju.

Jestli nebude stačit zabezpečit ten server z kterého se to stahuje.

23.7.2024 00:21
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

twl, ty ten server nemáš zabezpečený už teďka? Staráš se o 150 PC po celé republice a server nemáš zabezpečený?

18.8.2024 21:38 eagle.metawerzum | skóre: 18
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Nač stahovat kalhoty, když brod je ještě daleko. ;-)

Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!

22.7.2024 21:44 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Ale tím se toho moc nevyřeší nebo ano?

Furt slabé místo bude ten server a půjde to vše zhodit tím serverem.

A s anisble má jakou hlavní výhodu oproti tomu tak jak to mám?

23.7.2024 21:41 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pokiaľ je ten server nezabezpečený (alebo heslo je NBUSR123 SolarWinds123), tak je jedno či riskuješ profesionálneho záškodníka z internetu alebo nejaké decko čo si sadne za jeden z tých 150 endpointov. Na sto percent sa to stane, a na tisíc percent keď budeš za to zodpovedný ty.

22.7.2024 15:27 Xerces
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tak proč tě vzrušují nějaké problémy na Windows platformě?

Řešení 1× (chinook (tazatel))

23.7.2024 21:56 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Boji se, ze se uklepne v bash skriptu a bude jezdit po cele republice ;)..

21.7.2024 15:50 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Reverzný ssh tunel z cieľového pc a potom pripojiť z servera smerom k cieľovému pc. To vyrieši neviditeľosť cieľového pc do internetu ak server je na verejnej ip adrese.

Root v linuxe : "Root povedal, linux vykona."

Řešení 2× (eagle.metawerzum, chinook (tazatel))

23.7.2024 23:10 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Máš tam dvě úrovně, na kterých můžeš něco zabezpečovat.

První úroveň je důvěryhodnost komunikačního kanálu a serveru. Tedy že si ověříš, že cílové PC komunikuje skutečně se svým serverem a že na serveru není nic pochybného. To znamená šifrovat komunikaci a ověřovat klíče, což snadno zajistíš třeba Wireguardem nebo SSH. Na serveru samotném pak nesmí být nic dalšího, aby jsi neměl díru někde vedle, i když samotná synchronizační služba by byla zabezpečená dobře.

Druhá úroveň je obsah. Instalační balíčky se běžně podepisují a klient, který si je instaluje, si napřed podpis ověří. Například při instalaci aplikace na Androidu musí být balíček s novou verzí aplikace podepsaný stejným klíčem jako instalovaná verze. Pokud na serveru nebude klíč k podepisování instalačních souborů/obrazů, tak i když útočník udělá na serveru cokoliv, tak klientské PC zjistí, že podpis nesedí a nic nenainstaluje. Klíč pak můžeš mít schovaný na HW tokenu a při přípravě aktualizace soubory podepsat na jiném stroji, aby server nikdy nemohl sám instalační balíček vytvořit. Konkrétní nástroje záleží na tom, jak věci děláš, například můžeš mít podepsaný seznam všech souborů s SHA1 hashi všeho a na klientovi ověříš podpis toho seznamu a pak tím seznamem ověříš všechny soubory po stažení, ale předtím, než je reálně použiješ.

Hello world ! Segmentation fault (core dumped)

24.7.2024 21:38 X
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Jeste bych pridal ne-existenci zalozniho serveru v pripade vypadku verzovani konfigurace a "rollback" mechanismus pri selhani aktualizace.

Zalezi jak moc je to kriticke, do jake hloubky to chces resit a kolik tomu venujes casu. Osbne se drzim hesla "v jednoduchosti je krasa".

31.7.2024 17:24 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Záleží, zda řešíš spolehlivost, nebo bezpečnost. Záložní server, verzování a rollback je o spolehlivosti. Podepisování a šifrování o bezpečnosti.

Krása je sice v jednoduchosti, ale ještě více je v automatizovanosti a reprodukovatelnosti.

Hello world ! Segmentation fault (core dumped)

25.7.2024 17:57 ert
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Rek bych, ze resis neco uplne jineho, nez na co se tazatel pta.

Pokud jsem to pochopil ja, tak mu jde primarne o to, aby tam nepustil nejaku akci a nesejmul si ty klienty. Utocnik si klidne na serveru pocka az tam prijdes a pocka si az budes neco podepisovat ...

Ale pokud se nebavime o umyslnym utoku, tak je potreba pred kazdou akci na klientovi vyrobit snap a nastavit to tak aby pri pripadnem failu nastartoval prave z toho snapu.

Ovsem jinak ... je potreba predevsim zadne (widlo)aktualizace neinstalovat ...

https://www.ghacks.net/2024/07/25/windows-latest-security-update-is-causing-huge-issues-for-some-users/

Řešení 1× (eagle.metawerzum)

31.7.2024 17:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Pointa je v tom, že na tom serveru se nikdy nic podepisovat nebude a klíče k podpisu tam nikdy nebudou. Server je pak jen komunikační kanál, nikoliv autorita. Balíčky se vytvoří a podepíšou někde uplně jinde a serveru se jen předají k distribuci. Pokud podpis nesedne, klient balíček nenainstaluje a server ani útočník s tím nic nenadělá.

Hello world ! Segmentation fault (core dumped)

3.8.2024 18:48 LA_USER
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

Tohle mi smrdí....

Staráte se o 150 PC, cca 10 let....

Asi za to jste finančně ohodnocen...

A za 10 let jste se nenaučil s Ansiblem, nebo OpenVPN/Wireguardem...

Dle mě, děláte něco hodně špatně.

5.8.2024 18:39 Cronin
Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

... ale hodlá s tým niečo urobiť, čo je rozhodne pozitívnejšie ako deštruktívne komentáre, že áno?