abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Homebrew 4.5.0
    včera 20:55 | Nová verze

    Homebrew (Wikipedie), správce balíčků pro macOS a od verze 2.0.0 také pro Linux, byl vydán ve verzi 4.5.0. Na stránce Homebrew Formulae lze procházet seznamem balíčků. K dispozici jsou také různé statistiky.

    Ladislav Hagara | Komentářů: 0
    Firefox 138.0
    včera 16:22 | Nová verze

    Byl vydán Mozilla Firefox 138.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 138 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Registrace jOpenSpace 2025
    včera 15:55 | Pozvánky

    Šestnáctý ročník ne-konference jOpenSpace se koná 3. – 5. října 2025 v Hotelu Antoň v Telči. Pro účast je potřeba vyplnit registrační formulář. Ne-konference neznamená, že se organizátorům nechce připravovat program, ale naopak dává prostor všem pozvaným, aby si program sami složili z toho nejzajímavějšího, čím se v poslední době zabývají nebo co je oslovilo. Obsah, který vytvářejí všichni účastníci, se skládá z desetiminutových

    … více »
    Zdenek H. | Komentářů: 1
    ePortál Českého telekomunikačního úřadu
    včera 15:44 | IT novinky

    Byl spuštěn ePortál Českého telekomunikačního úřadu.

    Ladislav Hagara | Komentářů: 2
    Richard Stallman na Technické univerzitě v Liberci o vlivu technologií na svobodu
    včera 13:55 | Komunita

    Richard Stallman přednáší ve středu 7. května od 16:30 na Technické univerzitě v Liberci o vlivu technologií na svobodu. Přednáška je určená jak odborné tak laické veřejnosti.

    Ladislav Hagara | Komentářů: 9
    Novinky v Kdenlive 25.04.0
    28.4. 23:33 | Nová verze

    Jean-Baptiste Mardelle se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.04.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    TmuxAI, AI asistent pro práci v terminálu
    28.4. 17:22 | Zajímavý projekt

    TmuxAI (GitHub) je AI asistent pro práci v terminálu. Vyžaduje účet na OpenRouter.

    Ladislav Hagara | Komentářů: 0
    Trinity Desktop Environment (TDE) R14.1.4
    28.4. 17:00 | Nová verze

    Byla vydána nová verze R14.1.4 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání. Podrobný přehled v Changelogu.

    Ladislav Hagara | Komentářů: 5
    OpenBSD 7.7
    27.4. 21:33 | Nová verze

    Bylo vydáno OpenBSD 7.7. Opět bez písničky.

    Ladislav Hagara | Komentářů: 0
    Videozáznamy přednášek z Linux App Summit (LAS)
    26.4. 23:00 | Komunita

    V Tiraně proběhl letošní Linux App Summit (LAS) (Mastodon). Zatím nesestříhané videozáznamy přednášek jsou k dispozici na YouTube.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (9%)
     (21%)
     (4%)
     (1%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 485 hlasů
     Komentářů: 18, poslední 17.4. 12:41
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Bezpečná centrální správa asi 150ti PC
    Štítky: Cron, data, PC, pod, práva, server, síť, správa, Windows, zabezpečení

    Dotaz: Bezpečná centrální správa asi 150ti PC

    20.7.2024 15:19 chinook | skóre: 28
    Bezpečná centrální správa asi 150ti PC
    Přečteno: 1894×
    Zdravím, mám cca 150PC různě po republice, většina není ani viditelná z internetu.

    Občas potřebuju od tama stahovat nějaká data. Něco tam nahrát. A něco změnit v konfiguraci. Ted to řeším tak, že na každém PC je cron. Ten se spustí pod rootem a rsyncem to postahuje z centrálního serveru a případně restartuje službu.

    Jsem si vědom bezp. rizika, že ta sít PC lze celkem jednodušše zhodit pokud se někdo dostane na ten centrální server.

    Po včerejších problémech s windows isssue, bych to rád nějak líp zabezpečil. Jen mě nic kromě lepšího zabezpečení serveru nenapadá. Protože občas tam jsou potřeba i práva roota.

    Poradí někdo jak to řešit?

    Asi určitě, každé PC co stahuje konfiguraci ze serveru, by mělo tam mít jen práva čtení, aby v případě kompromitace jednoho PC nešla zhodit celá sít. Ale víc jsem nevymyslel.

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    20.7.2024 17:34 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Tak to vem obracene. Jak by jsi tu sit konkretne shodil?
    21.7.2024 09:30 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Tak problém je to PC z kterého se stahují ty scripty, které následně pouští root. Takže asi hledat řešení tam.
    21.7.2024 09:49 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Neodpovedel jsi na otazku.
    22.7.2024 14:49 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Jakto, že ne?

    Slabé místo je, ten server odkud se to synchronzuje. Protože se od tama stáhne script, který se na klientech spouští pod právy roota.

    Přihlašování mezi klientama pomocí klíčů, jsem zrušil, resp. tam dal heslo. Tzn. jediné slabé místo je ted ten server.
    22.7.2024 16:36 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Ja se neptam co je slabe misto, ja se ptam jak by jsi tu sit shodil?
    22.7.2024 21:41 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Dám do toho scriptu co je na serveru a spouští jej všichni klienti něco jako: 
    rm -rf /
    23.7.2024 00:18
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Pokud je to tvůj záměr, tak je to pořádku. Ale zřejmě nějak nechápu, o co ti jde.

    Ty se bojíš, že ti na serveru někdo změní ty skripty, které se mají spouštět na klientech? Tak omez všechno, co se ti přihlašuje na server, na minimum.

    Když si uděláš nějaké VPNky z klientů na server a všechna vzdálená přihlášení se budou odehrávat pouze ve směru server klient, tak prostě ten server bude ohrožen míň. Kromě toho, když se dá ke klientu vzdáleně přihlásit, je to určitě lepší, než když se musí spoléhat na to, že kýženou změnovou akci na klientovi provede zaručeně správně napsaný skript stažený rsyncem ze serveru.
    23.7.2024 08:08 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Utocnik se na server dostane jak?
    24.7.2024 21:07 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Doufám, že nijak. Ale je to nejslabší místo. Děkuji všem za odpovědi. Spíše jsem čekal, že bude nějaké lepší řešení, než toto co používám asi 10let.

    Server jsem tedy jen pro jistotu přeinstaloval. A vše nahrál zpátky.

    Server není dostupný z internetu a ani žádné klientské PC.

    Všichni klienti jsou za routerama, které jsou přes VPN připojen k serveru. Tzn. Všechna komunikace se serverem probíhá přes VPN.

    Na server se dá přihlásit jen přes klíče a chodím na něj z lokální sítě. Sice z windows 11, ale nejsou tam práva Admina a běží tam jen pár aplikací na kanc. činnost a antivir.

    Scripty na serveru jsou vytvářeny pod rootem a pod jiným uživatelem si je klienti stahují. Tedy nemůžou měnit obsah.

    Klienti se mezi sebou nevidí, tzn. Jeden druhého by také neměl ovlivnit.

    Server budu tedy dál pravidelně aktualizovat. Skoro nic tam neběží a věřit, že to vydrží min. Dalších 10 let.

    25.7.2024 12:28 Tom K | skóre: 22
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Ještě by šlo skripty podepisovat a na klientech kontrolovat podpis.
    Pak by ani nabourání serveru útočníkovi nepomohlo.
    echo -n "u48" | sha1sum | head -c3; echo
    20.7.2024 17:44 …
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    vcerejsi problemy byly o tom, ze to neotestovanej zabezpecovaci software shodil, cili z toho asi nevyvozujes relevantni zavery, rekl bych… tady je ta lekce imho o necem jinym, a sice o nejakych procesech, testovani vs. velkem tresku na jeden prikaz, co uz nejde vratit :D takovy ponauceni bych si z toho bral ja, tj. bude o nejakym postupu deploymentu, ne o ochrane proti kompromitaci…
    20.7.2024 20:00 ...
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    jeste to muzes pojmout tak, ze od sebe na tom serveru ty veci oddelis tak, aby bylo potreba nekolik bezpecnostnich chyb najednou, aby se z jednoho izolovaneho prostredi dalo vlamat do druheho - tj. pres pouziti nejake kontejnerizace, napr. - tak, aby 1 PC nevidel na zadna dalsi data, nez ma urcene
    20.7.2024 20:03 ...
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    (samotna data jde urcite poresit jen pres ugo/rwx na FS primo, s kontejnerizaci jde jit kousek dal, nesdilenim zadneho rsync, ssh, atd. kodu, ale asi by principialne stacilo i jenom to oddeleni dat, pro lepsi pocit... zalezi, kdo k tomu 1 serveru ma pristup, jak moc jsou to bordelari, atd.)
    22.7.2024 14:57 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Uplně jsem to nepochopil, ale zdá se, že asi nic universálního nebude. Tzn. budu se soustředit jen na ten server. Kam mám přístup jen já, tzn. zabezpečit by to mělo jít v pohodě.
    20.7.2024 20:12 kulchs
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    co tam maáš za OS že se ptáš na root a rsync
    21.7.2024 09:28 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    PC UBUNTU a SERVER DEBIAN
    21.7.2024 09:32 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Nebol na podobné veci Ansimble?

    Len sa pýtam, akosi nie je ozrejmené čo sa má na tých strojoch vzdialene riešiť.
    22.7.2024 08:39 MP
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Pokud to nejsou servery, tak ansible je na nic (stroje jsou nedostupne). Chce to spis neco typu puppet atd.
    22.7.2024 08:42 MP
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Pokud to jsou servery, tak ansible je ok. Pokud jsou to stanice, co jsou casto vypnute, tak potrebuje neco typu puppet.
    22.7.2024 14:53 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Jsou to stanice a k půlce nich se ani nejde vzdáleně připojit. Resp. jde ale ne uplně jednodušše. Není to potřeba.
    22.7.2024 15:43
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Když se stanice mohou připojit vzdáleně na centrální server, tak je možné připojit se z centrálního serveru na stanice. Stačí si tam vybudovat nějaký tunel. Takže potom to můžeš obrátit a místo abys konfiguroval nějaké stahování stanicí ze serveru, můžeš ze serveru provádět změny na stanicích.
    22.7.2024 16:44 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Tunel, VPN alebo iné pripojenie. Určite tam bude nejaký typ internetu ktorý by vedel tie stanice pripojiť do firemného intranetu kde sedí server.
    22.7.2024 21:43 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    TO ano to by se dalo vyřešit, ale zatím nevím jestli to potřebuju.

    Jestli nebude stačit zabezpečit ten server z kterého se to stahuje.
    23.7.2024 00:21
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    twl, ty ten server nemáš zabezpečený už teďka? Staráš se o 150 PC po celé republice a server nemáš zabezpečený?
    eagle.metawerzum avatar 18.8.2024 21:38 eagle.metawerzum | skóre: 18
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Nač stahovat kalhoty, když brod je ještě daleko. ;-)
    Bonvolu alsendi la pordiston. Lausajne estas rano en mia bideo!
    22.7.2024 21:44 chinook | skóre: 28
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Ale tím se toho moc nevyřeší nebo ano?

    Furt slabé místo bude ten server a půjde to vše zhodit tím serverem.

    A s anisble má jakou hlavní výhodu oproti tomu tak jak to mám?
    23.7.2024 21:41 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

    Pokiaľ je ten server nezabezpečený (alebo heslo je NBUSR123 SolarWinds123), tak je jedno či riskuješ profesionálneho záškodníka z internetu alebo nejaké decko čo si sadne za jeden z tých 150 endpointov. Na sto percent sa to stane, a na tisíc percent keď budeš za to zodpovedný ty.

    22.7.2024 15:27 Xerces
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Tak proč tě vzrušují nějaké problémy na Windows platformě?
    Řešení 1× (chinook (tazatel))
    23.7.2024 21:56 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Boji se, ze se uklepne v bash skriptu a bude jezdit po cele republice ;)..
    21.7.2024 15:50 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC

    Reverzný ssh tunel z cieľového pc a potom pripojiť z servera smerom k cieľovému pc. To vyrieši neviditeľosť cieľového pc do internetu ak server je na verejnej ip adrese.

    Root v linuxe : "Root povedal, linux vykona."
    Řešení 2× (eagle.metawerzum, chinook (tazatel))
    Josef Kufner avatar 23.7.2024 23:10 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Máš tam dvě úrovně, na kterých můžeš něco zabezpečovat.

    První úroveň je důvěryhodnost komunikačního kanálu a serveru. Tedy že si ověříš, že cílové PC komunikuje skutečně se svým serverem a že na serveru není nic pochybného. To znamená šifrovat komunikaci a ověřovat klíče, což snadno zajistíš třeba Wireguardem nebo SSH. Na serveru samotném pak nesmí být nic dalšího, aby jsi neměl díru někde vedle, i když samotná synchronizační služba by byla zabezpečená dobře.

    Druhá úroveň je obsah. Instalační balíčky se běžně podepisují a klient, který si je instaluje, si napřed podpis ověří. Například při instalaci aplikace na Androidu musí být balíček s novou verzí aplikace podepsaný stejným klíčem jako instalovaná verze. Pokud na serveru nebude klíč k podepisování instalačních souborů/obrazů, tak i když útočník udělá na serveru cokoliv, tak klientské PC zjistí, že podpis nesedí a nic nenainstaluje. Klíč pak můžeš mít schovaný na HW tokenu a při přípravě aktualizace soubory podepsat na jiném stroji, aby server nikdy nemohl sám instalační balíček vytvořit. Konkrétní nástroje záleží na tom, jak věci děláš, například můžeš mít podepsaný seznam všech souborů s SHA1 hashi všeho a na klientovi ověříš podpis toho seznamu a pak tím seznamem ověříš všechny soubory po stažení, ale předtím, než je reálně použiješ.
    Hello world ! Segmentation fault (core dumped)
    24.7.2024 21:38 X
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Jeste bych pridal ne-existenci zalozniho serveru v pripade vypadku verzovani konfigurace a "rollback" mechanismus pri selhani aktualizace.

    Zalezi jak moc je to kriticke, do jake hloubky to chces resit a kolik tomu venujes casu. Osbne se drzim hesla "v jednoduchosti je krasa".
    Josef Kufner avatar 31.7.2024 17:24 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Záleží, zda řešíš spolehlivost, nebo bezpečnost. Záložní server, verzování a rollback je o spolehlivosti. Podepisování a šifrování o bezpečnosti.

    Krása je sice v jednoduchosti, ale ještě více je v automatizovanosti a reprodukovatelnosti.
    Hello world ! Segmentation fault (core dumped)
    25.7.2024 17:57 ert
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Rek bych, ze resis neco uplne jineho, nez na co se tazatel pta.

    Pokud jsem to pochopil ja, tak mu jde primarne o to, aby tam nepustil nejaku akci a nesejmul si ty klienty. Utocnik si klidne na serveru pocka az tam prijdes a pocka si az budes neco podepisovat ...

    Ale pokud se nebavime o umyslnym utoku, tak je potreba pred kazdou akci na klientovi vyrobit snap a nastavit to tak aby pri pripadnem failu nastartoval prave z toho snapu.

    Ovsem jinak ... je potreba predevsim zadne (widlo)aktualizace neinstalovat ...

    https://www.ghacks.net/2024/07/25/windows-latest-security-update-is-causing-huge-issues-for-some-users/

    Řešení 1× (eagle.metawerzum)
    Josef Kufner avatar 31.7.2024 17:27 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Pointa je v tom, že na tom serveru se nikdy nic podepisovat nebude a klíče k podpisu tam nikdy nebudou. Server je pak jen komunikační kanál, nikoliv autorita. Balíčky se vytvoří a podepíšou někde uplně jinde a serveru se jen předají k distribuci. Pokud podpis nesedne, klient balíček nenainstaluje a server ani útočník s tím nic nenadělá.
    Hello world ! Segmentation fault (core dumped)
    3.8.2024 18:48 LA_USER
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Tohle mi smrdí....

    Staráte se o 150 PC, cca 10 let....

    Asi za to jste finančně ohodnocen...

    A za 10 let jste se nenaučil s Ansiblem, nebo OpenVPN/Wireguardem...

    Dle mě, děláte něco hodně špatně.
    5.8.2024 18:39 Cronin
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    ... ale hodlá s tým niečo urobiť, čo je rozhodne pozitívnejšie ako deštruktívne komentáre, že áno?
    Ruža Becelin avatar 20.8.2024 14:46 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Bezpečná centrální správa asi 150ti PC
    Klicove slovo je Configuration Management.

    Nahodit neco jako CFengine, Chef, Puppet, ...

    Konfigurace v gitu.

    Cokoli jineho nema smysl...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.