Příspěvky

1

Server / Re:Sekundární/terciální DNS pro doménu

« kdy: 07. 04. 2025, 18:03:50 »

• ClouDNS
• Cloudflare DNS

2

Server / Re:ACME DNS challenge nevystaví certifikát

« kdy: 31. 03. 2025, 18:17:23 »

Mam ClouDNS a chcem LE certifikat cez DNS challenge. Vsetko zbehne ako ma, az na to, ze mi LE vracia

urn:ietf:params:acme:error:dns - DNS problem: NXDOMAIN looking up TXT for _acme-challenge.foo.com - check that a DNS record exists for this domain

Pricom ked sa pozriem do admin panelu tak TXT zaznam tam je. Ked si nacitam DNS cez mtoolbox.com, tak DNS zaznam je v poriadku. Takze neviem kde moze byt problem kedze DNS je v platnom stave.

Na webe som nasiel plno odkazov ale nic uzitocne a casto s kompletne odlisnymi rieseniami.

V DNS se hodně cachuje, takže možná ještě vaše změna není viditelná všude. Zkontrolujte si také, jak máte nastavené autoritativní servery pro doménu – zda mezi nimi není i nějaký server, kde by ten záznam nebyl.

3

Server / Re:Jak omezit uživatele SSH?

« kdy: 22. 03. 2025, 20:30:31 »

Ta obava pravděpodobně vychází z toho, co tam zaznělo na konci toho vlákna, a v určitém kontextu může být oprávněná námitka proti klíčům. Tzn. pokud se na server přihlašují další lidé, co mají povolený přístup přes své privátní klíče, tak je nelze žádným způsobem (ze serveru) donutit, aby je měli nebo udrželi zaheslované.
Tzn. prakticky, pokud si třeba někdo vypne heslo na privátním klíči pomocí ssh-keygen (nebo puttygen), aby ho to neotravovalo, a pak mu někdo vyluxuje home adresář.
Podobně určité typy útoků, když pak používá ssh-agenta.

O vynucení přihlašování heslem kvůli vynucení politiky hesel a zabránění používaná klíče bez hesla si myslím své, ale jakási logika v tom je.

To, co se řeší tady – tedy povolení uživateli su na roota, ale pokus co nejvíc omezit původního uživatele – žádnou logiku nemá.

4

Server / Re:Jak omezit uživatele SSH?

« kdy: 22. 03. 2025, 07:28:29 »

Pokud chcete, aby ten přihlášený uživatel nemohl udělat nic, jen se mohl přihlásit na roota, zakažte tomu uživatelskému účtu přihlašování (nebo jej úplně zrušte) a tomu uživateli (člověku) dejte klíč k uživateli root. Bude se tedy přihlašovat přímo na roota. Ten krok navíc s přihlášením jako jiný uživatel je tam zbytečný, nic nepřináší – a pokud vám z nějakého důvodu vadí, prostě jej zrušte.

Jinak ten váš požadavek je od základu nesmyslný. Jako root má ten uživatel nejsilnější možná oprávnění, může úplně všechno. Takže bránit mu, aby před tím něco neudělal jako běžný uživatel, je naprosto zbytečné. Když to bude chtít udělat, tak se přepne na roota a prostě to udělá. Jakékoli opatření, které uděláte, může jako root obejít nebo zrušit.

Pokud řešíte nějaký reálný problém a potřebujete s ním poradit, popište ten reálný problém. Vy jste popsal jen své řešení (zakázat něco uživateli ale povolit mu přepnutí na roota), které nedává žádný smysl.

5

Server / Re:SSH heslo vs. klíč?

« kdy: 20. 03. 2025, 07:20:37 »

vygeneruješ šifrovaný klíč, ale už nezajistíš, že si ho uživatel nedešifruje a nebude mít v plaintextu. Jak se blokuje ssh-agent, když si uživatel může do socketu v env SSH_AUTH_SOCK dát jakoukoliv aplikaci (jo jasně, můžeš to nějak hardcodovat, vyměnit ssh klienta za vlastního atd.), to ale pořád znamená, že ta policy se vynucuje velmi obtížně.

Pokud to heslo bude OTP kód z aplikace, to echo ti moc nepomůže.

Tobě to připadá jako nesmyslný boj, já zase zažil až příliš ukradených ssh klíčů, protože si je nějaký program přečetl z home složky uživatele a donutit uživatele, aby spustit pod sebou na linuxu nějaký program (i blbý pip install) je dneska strašně snadné nebo když se kdejaká věc instaluje přes curl https://... | bash.

Ten linux to prostě nemá dobře vyřešené, dá se to nějak předělat, ale to znamená to extra vymyslet pro každou distribuci a pravidelně to aktualizovat. Nejsem zastánce přepisování kódů nebo neustálému zadávání master hesla pro každé ssh sezení.

Tahle opatření jsou dost zvláštní. Pokud bych chtěl zajistit větší bezpečnost, dám uživatelům tokeny a klíče budou na nich. Pokud někdo nechce, aby měl uživatel na disku klíč bez hesla, a musel by to kontrolovat, nevadí mu, že hned vedle toho klíče s heslem může mít uložený textový soubor, kde to heslo bude napsané? Ano, předejde to plošnému útoku, který bude jen sbírat soubory id_rsa, ale tomu předejde i prosté přejmenování toho souboru…

6

Server / Re:Nastavení DNS na hosting web a email server

« kdy: 12. 01. 2025, 18:28:45 »

vfko popsal většinu DNS záznamů, které potřebujete nastavit pro e-mail. Chybí ještě nastavení reverzního záznamu pro IP adresu – A záznam povede na IPv4 adresu vašeho druhého VPS serveru, AAAA záznam na jeho IPv6 adresu. A k nim potřebujete reverzní záznamy – tedy u provozovatele druhého VPS nastavit, že IPv4 adresa vašeho serveru má název box.onnkoněco.cz a IPv6 adresa serveru také název box.onnkoněco.cz. Zejména kdyby chyběl ten záznam u IPv4 adresy, bude spousta vašich odchozích e-mailů končit ve spamu.


Pokud pro TLS certifikáty (SSL protokol byl už dávno nahrazen protokolem TLS) použijete Let's Encrypt certifikáty, které jsou zdarma, počítejte s tím, že jejich platnost je pouhé tři měsíce. Takže to nechcete řešit nějak ručně, ručně je vystavovat nebo je někam kopírovat. TLS certifikát se váže vždy na doménové jméno, takže bude jiný pro web a jiný pro e-mail. Pro web to bude jednoduché, pro ně existuje spousta hotových řešení. Na tom e-mailovém serveru ale předpokládám budete mít také nějaké webové rozhraní, takže vyřešte vystavování certifikátu pro něj a pak ten stejný certifikát použijete i pro e-mail. Bude to asi vyžadovat napsání nějakého skriptu, který se zaháčkuje do procesu vydávání certifikátu pro web, ale to spousta nástrojů pro vydávání certifikátů podporuje.

Každopádně pokud se takhle musíte ptát, na vašem místě bych pro e-mail spíš zvolil nějakou službu. Provozovat e-mailový server není jednoduché, pořád musíte řešit, aby vaše e-maily někde nepadaly do spamu a že naopak příchozí e-maily u vás do spamu padají, když by neměly, nebo naopak nepadají, když by měly… Pokud byste přeci jen chtěl jít cestou, že se to vše sám naučíte, budete toho muset hodě nastudovat. Tady dostanete jen pár zkratek, co vše řešit, ale kompletní příručku jak nastavit a provozovat webový a poštovní server tady neodstanete.

7

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím a digitální veličinou

« kdy: 10. 01. 2025, 14:47:13 »

Jenom explicitně doplním jeden detail – přesně tak, jak to popisujete, tu bezpečnost vnímají např. banky a je zapracována v různých bezpečnostních aplikacích (autentizační aplikace, mobilní bankovnictví apod.). Tj. bezpečnost se bere (dnešní implementace v mobilech): sken obličeje < otisk prstu < PIN.

Uživatel obvykle používá buď sken obličeje nebo otisk prstu, takže se s tím nesetká, ale jsou situace, kdy sken obličeje není postačující ale otisk prstu stačí.

8

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím a digitální veličinou

« kdy: 09. 01. 2025, 22:46:17 »

A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném

Jo, a zkoušel jste to? Bude vás to stát míň, než kolik je limit platby potvrzené otiskem prstu?

nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím  "ten PIN" do  smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale  (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu

Bezpečnější než kód poslaný SMS je to vždy. Ono mimochodem tu bezpečnost také hodně ovlivňuje chování uživatelů. Takže to, aby neměl uživatel vyrytý bankovní PIN na zádech telefonu, má banka do značné míry v ruce – tak, že umožní klientovi obsluhovat bankovnictví tak, aniž by potřeboval mít PIN vyrytý na telefonu.

Mimochodem, když banka povolí autorizaci platby pomocí SMS, co by udělala spousta lidí? No otevřou si internetové bankovnictví v prohlížeči v mobilu, tam zadají transakci, nechají si na ten samý mobil poslat SMS a tou platbu potvrdí. Co pak udělá útočník? Pošle uživateli odkaz na nějaký super prohlížeč, který mu bude úplně sám blokovat veškerou reklamu. Uživatel tomu prohlížeči pak povolí čtení SMS, a útočník má všechno, co potřebuje. A uživatel se bude hrozně divit, vždyť přece používal ten hrozně bezpečný prohlížeč.

odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití

Strefujete se do špatného. Já jsem oponoval tvrzení, že je důležitý počet zařízení. A tvrdil jsem, že důležitý je počet faktorů a jejich bezpečnost.

ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější

Kde tady někdo něco takového tvrdil?

rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není

Hm, jako bych tohle v této diskusi už četl. Teda, vlastně, já jsem to v této diskusi už psal.

Možná příště, až se mnou zase budete chtít polemizovat, zkuste napsat něco, co jsem nepsal. Zatím se vám to povedlo v jediném případě – bohužel zrovna tehdy, když jste parafrázoval něco, co jsem údajně měl napsat.

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 09. 01. 2025, 16:13:33 »

Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.

To jste si popletl. Urážlivé jsou příspěvky uživatelů Trident Vasco, technomaniak, jirsk – a od vás. Já jsem nic urážlivého nepsal, a uvádím argumenty.

Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU.

To jste se ovšem polně minul se zadáním. Bankám totiž nestačí zabezpečit bankovnictví pro pár odborníků. Banky je potřebují zabezpečit pro všechny své klienty – tedy i pro ty, kteří si myslí, že jsou odborníci, ale nejsou, i pro tu většinu, která počítačové bezpečnosti nerozumí a přiznává si to.

Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit.

To není pravda. Ukázal jsem vám příklad, kdy jste měl 5 zařízení, a bylo to stejně nebezpečné, jako kdyby to bylo jedno zařízení. Nezáleží na počtu zařízení, záleží na počtu a síle faktorů.

Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart.

Já jsem neřešil, zda je to standard nebo nadstandard. Porovnával jsem dvě různé úrovně zabezpečení.

Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý

To neplatí je o elektronických zařízeních, ale o všem. O nelektronických zařízeních, o papíru a tužce, o lidech.
A hlavně je to tvrzení bezpečnostně naprosto nerelevantní. Bezpečnost totiž není ano/ne, není to digitální veličina, nýbrž je to veličina spojitá.

a radeji si chybu udělám já než aby to udělalo zařízení za mě

To je ovšem přístup, který bezpečnost snižuje.

ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.

Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.

Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal

Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.

Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.

10

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 08. 01. 2025, 22:58:38 »

Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?

Aha, takže vyššího zabezpečení nedosáhnete vyšším počtem zařízení (jak jste tvrdil), ale bezpečnějšími faktory. Nebo větším počtem faktorů, to ale z vaší odpovědi neplyne.

Mimochodem, ještě lepšího zabezpečení byste dosáhl, kdyby vám to nechodilo jako SMS, ale zobrazovalo by se to přehledně v aplikaci. Protože přehledné zobrazení v aplikaci by vás více motivovalo k tomu, abyste ty údaje opravdu zkontroloval a zmenšilo by to pravděpodobnost přehlédnutí nějaké nesrovnalosti.

11

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 08. 01. 2025, 19:39:24 »

ČSOB má dvě aplikace do mobilu. Jednou se dostanete do mobilního bankovnictví a druhá (Smart klíč) je na ověření jak mobilního bankovnictví tak i bankovnictví přes prohlížeč.

Pravděpodobně to bude jen dočasné, kdy ta aplikace pro ověřování vznikla z nutnosti řešit bezpečnost, zatímco mobilní bankovnictví jako poskytnutí služby, kterou má spousta bank okolo a zákazníci to chtějí. Raiffeisenbank to také původně měla ve dvou aplikacích, ale pak to logicky sloučili do jedné – protože to drtivá většina klientů chce, je to pro ně jednodušší na ovládání, a i pro banku je jednodušší vydávat jednu aplikaci a ne dvě.

12

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 08. 01. 2025, 18:16:32 »

Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.

Pokud se faktory sejdou v jednom zařízení, a je jedno zda dva či dvacet je pořád potíž pokud je to jedno zařízení kompromitováno. Pokud se dva faktory sejdou odděleně ve dvou různých zařízenich a pak až uživatel je "spojí" tak je to násobně bezpečnější. Ale to je pro zabedněnce dost těžko pochopitelné. A je mě jedno, že two faktor toto umožnuje, je to zhovadilost.

Zjevně tu máme dva tábory. Jeden tábor neuvádí žádné konkrétní příklady útoků, omezuje se na obecné „když to selže“ a za nejpádnější argument považuje označit ostatní za zabedněnce nebo tvrdit, že blábolí. Tento tábor tvrdí, že nezáleží na počtu a síle faktorů, ale na počtu zařízení.

Pak tu máme druhý tábor, do kterého patří odborníci na bezpečnost, ať už „obecní“ nebo z bank a z orgánů bankovního dohledu. Dále do tohoto tábora patří také diskutující L.. a _Tomáš_ (čímž je nevylučuji z předchozí skupiny odborníků, nevím, zda tam patří nebo ne), do tohoto tábora patřím i já (a nejsem odborník na bezpečnost). Tento tábor tvrdí, že záleží na počtu nezávislých faktorů a jejich síle a nezáleží na počtu zařízení. (Například proto, že není jasné, co je vlastně zařízení.)

Každý si může vybrat, kterému táboru bude fandit.

Jako pomůcka může sloužit takový drobný příklad. Zadáte příkaz k úhradě na počítači, a ten příkaz na počítači potvrdíte 4 hesly: zadáte své heslo k bankovnictví; zadáte jednorázové heslo, které vám přijde SMS (přijde identifikátor platby a jednorázové heslo, nebude tam číslo účtu nebo částka); zadáte jednorázové heslo, které vám nadiktuje automat, který vám zavolá na jiné číslo (které máte v jiném mobilu) – opět nadiktuje jen identifikátor platby a jednorázové heslo; a zadáte další heslo ze seznamu jednorázových hesel, který jste dostal vytištěný při poslední návštěvě banky a postupně si z nich hesla odškrtáváte. Takže tam zadáte čtyři různá hesla ze čtyřech různých zařízení – a stejně vám to bude houby platné, protože útočník, který ovládá váš počítač, přesměruje vaši platbu na svůj účet. Prostě jen vymění číslo účtu, které  se odešle do banky.

13

Server / Re:VPS freebsd

« kdy: 05. 01. 2025, 15:16:06 »

Standard je, že se to administruje přes terminál (přes SSH). Případně tam můžete mít nainstalovaný nějaký software pro vzdálenou administraci přes web, např. Plesk. Nainstalovat si tam nějaké desktopové prostředí a k němu se vzdáleně připojovat by asi také teoreticky šlo, ale nikdy jsem neslyšel o tom, že by to tak někdo používal.

Pozor na to, že jsou různé způsoby, jak je ta virtualizace řešená, a ne každý způsob vám umožní rozběhnout uvnitř další virtualizaci, navíc ještě s Windows. Pro tohle využití by byl lepší fyzický server, kde takovéhle omezení mít nebudete.

14

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 05. 01. 2025, 14:07:46 »

Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.

Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?

Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.

Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled. To, že si laik Libor myslí opak (bůhví proč, žádné argumenty neuvádí), na tom nic nemění.

15

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 05. 01. 2025, 12:13:05 »

Ehm, historicky se bezpečnostní chyby umožňující získání roota stávají mnohořádově častěji než prolomení běžně používané asymetrické kryptografie.

To je úplně jedno, že je to častěji. Podstatné jsou dvě věci – závažnost chyby a její pravděpodobnost.

Že se toho masivně nezneužívá neznamená, že to nejde. Jen jsou jednodušší způsoby jak krást peníze.

To je to podstatné.

Naprosto vůbec nic? No tak to bych si asi měl začít hledat novou práci, ach jo.

Nevíte ty nejzákladnější věci. Že bezpečnost=nebezpečnost se neposuzuje podle počtu chyb, ale podle jejich závažnosti a pravděpodobnosti. Že bezpečné není jen to, co je absolutně neprolomitelné (což není nic), ale to, kde náklady na prolomení jsou vyšší než to, co bych prolomením získal.

Já zase nemůžu důvěřovat proprietárnímu softwaru a zařízení, které může na dálku ovládat někdo další (Google, Apple, tajné služby atd.).

Takže nemůžeš důvěřovat ničemu. Jinak bezpečnost bankovnictví (mobilního, internetového nebo fyzického na pobočce) není proto, aby chránila tebe, ale aby chránila banku. To, že tím banka chrání i tebe, je jenom proto, že aby banka chránila sebe, musí do určité míry chránit i své klienty. A nechci nějak podceňovat, kolik máš na účtě v bance, ale nemyslím si, že by si Google nebo Apple nějak pomohl, kdyby ti účet vybílil.

Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.

Ne, nezáleží. U vícefaktorové autentizace záleží ne počtu faktorů a jejich bezpečnosti. Ostatně, co bys vlastně počítal jako zařízení? Když OTP vygeneruju na mobilu a zadám ho do počítače, jsou to dvě zařízení nebo jedno? A pokud jedno, tak které – počítač nebo mobil?