Příspěvky

1

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 20. 10. 2025, 10:09:07 »

Děkuji za radu, jen bych se chtěl zeptat (abych nenastavoval nesmysly) - subject.user == "" zde tedy dám přihlašovací jméno klienta tzn. user_NTB namísto user_VPS ?
Bude mi to fachat na ten token od yubikey s tím starým klíčem? (tento klíč používám na asi 15 soukromých strojů, k některým se jinak než přes ssh (a ty moje staré klíče) nedostanu, tak bych nechtěl vše dělat úplně znova.

na tom Yubikey 5 NFC mám klíče které používají šifry sk-ecdsa-sha2-nistp256@openssh.com,sk-ssh-ed25519@openssh.com

Jméno uživatele, který je v tom lokálním systému ze kterého se přihlašujete. Za normálních okolností má k té kartě ( pokud je opensc překompilováno s polkit ) přístup pouze root. Takto se přidá oprávnění pro dalšího konkrétního reálného uživatele v systému. Případně lze celou tu číst s tím subject.user vynechat a tím bude mít možnost z té karty číst každý uživatel ... ale to je z pohledu bezpečnosti ošklivé.

Ano, bude to fungovat, ten privátní klíč je uložený v tom yubikey.

2

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 20. 10. 2025, 08:35:32 »

Předně bych se vykašlal na pkcs11. Vypni agenta v openssh a nahraď ho gpg-agentem.

do ~/.gnupg/scdaemon.conf přídej řádek disable-ccid ( je potřeba od gnupg 2.4 )

Pak můžeš narazit na tento bug https://dev.gnupg.org/T5935
řešením je do klientské konfigurace ssh přidat:

Kód: [Vybrat]

KexAlgorithms -sntrup761x25519-sha512@openssh.com
HostKeyAlgorithms -ecdsa-sha2-nistp256


Pokud je opensc překompilované se zapnutým polkit, tak přidej do adresáře /etc/polkit-1/rules.d soubor s příponou .rules a následujícím obsahem a do subject.user dej jmeno sveho uzivatele:

Kód: [Vybrat]

polkit.addRule(function(action, subject) {
    if (action.id == "org.debian.pcsc-lite.access_card" &&
        subject.user == "") {
            return polkit.Result.YES;
    }
});

polkit.addRule(function(action, subject) {
    if (action.id == "org.debian.pcsc-lite.access_pcsc" &&
        subject.user == "") {
            return polkit.Result.YES;
    }
});

Pokud ti to napíše The agent has no identities, tak restartni pcscd.

3

Hardware / Re:Doporučte malý notebook

« kdy: 05. 08. 2025, 23:43:56 »

Přesně pro tyhle potřeby mam Mackbook Air. Je to malý, lehký, naprosto tichý a na baterce to vydrží spolehlivě celý den. Repas s M1 se dá koupit pod 15tisíc.

Na MacOS mi z pohledu ergonomie a ovládání dost věcí nevyhovuje ( proto ho nemám jako hlavní pracovní nástroj ), ale pro tyhle občasné příležitosti se s tím prostě dokážu vyrovnat a fungovat na tom.

4

Server / Re:Reseni centralni autentizace linuxove infrastruktury

« kdy: 05. 11. 2024, 07:03:12 »

Ahoj,
chtel bych se zeptat co pouzivate pro centralni autentizaci pro Linuxovou infrastrukturu?
Je v soucasne dobe neco lepsiho nez LDAP?   
Neco co zvladne autentizaci pomoci uzivatelskeho jmena a hesla?
Pripadne neco co zvladne prihlasovani pomoci klicu?

Pochopitelne s durazem na HA

Z dotazu není zřejmé, proč to řešíte a pro jaké typy služeb.

Proti LDAPu máme postavený Keycloak a kde to jde běží autentizace právě přes Keycloack a bez potřeby používat heslo.

5

Hardware / Re:Čtečku Kindle nebo PocketBook?

« kdy: 06. 08. 2024, 20:26:12 »

Pokud chcete čtečku, která vám vydrží 10+ let, tak jednoznačně Kindle. Má ale bohužel výše zmíněné nevýhody - nepodporuje bez konverze (v Calibri / ofiko webu / přes mail) formáty jako doc(x), pdf, epub; oficiální knihy jsou dostupné asi pouze z Amazonu,... A navíc není v češtině, i když jsem jim nabízela, že jim to zadara přeložím kvůli babičce, ale 90 letá babička nakonec zvládá Kindle i v angličtině 

Kindle epub podporuje, nějak to nesleduju ale mam pocit že mobi zcela upozadil a snad už ani na kindle nelze mobi soubor dostat přes email.

6

Hardware / Re:Domácí pracovní sestava

« kdy: 06. 08. 2024, 20:22:00 »

i9-10920X
64GB RAM
pár SSD disků
RTX 4080 ( ano, nejen prací je člověk živ )
chladiče Noctua, na CPU klasickou velkou dvouvěž
Fractal Define XL R2

monitor jen jeden Dell 4323QE, který občas slouží jako dock pro notebook, pokud je potřeba.

V pracovně mam i gauč, ale spim tam jen vyjímečně. V takovém případě počítač uspím, přestože je počítač velmi tichý tak v noci slyšet je a ruší mě to. Stejně tak zakrývám tu blikající diodu.

7

Bazar / Re:Prodám dva servery Xeon E5-2450L + 128 GB ECC

« kdy: 30. 05. 2024, 08:30:25 »

Pardon. Odkaz bez hesla: https://pp.odorik.cz/s/3f8dmhv3mf/pocitac

Jinak to je jen jeden server, ale má dva procesory Xeon E5-2450L.  Každý procesor má 20 jader, tak dohromady 40 jader.

E5-2450Lv2 nemá 20 jader, je to 10 jádrový procesor s HT https://ark.intel.com/content/www/us/en/ark/products/75270/intel-xeon-processor-e5-2650l-v2-25m-cache-1-70-ghz.html

8

Server / Re:Výkonnostní spiky v trvání queries v Postgres

« kdy: 28. 05. 2024, 13:00:35 »

Zkusil bych jednoduchý select pouštěný z psql. Ta latence může vzniknout kdekoliv na jakékoliv vrstvě. To může dělat Java, podobné peeky jsem viděl a dělala to virtualizace. Zkuste z bashe v cyklu pustit SELECT 1 a sleep 1 .. pokud dochází k latencím v Postgresu, tak SELECT 1 by se měl zpomalit také. Můžete zkoušet odkud tento skript pustit. 100ms latenci vám může udělat síť, firewall, ...

Pán píše, že se mu to takto chová i na localhostu, kde mu to běží v dockeru. V tomhle scénáři je síťová vrstva asi nepravděpodobná.

9

Server / Re:Výkonnostní spiky v trvání queries v Postgres

« kdy: 28. 05. 2024, 08:50:05 »

Začal bych přidáním rozšíření pg_stat_statements, budete mít přesná data a uvidíte co přesně se Vám tam děje.

A jen hinty:
máte shared_buffers velký adekvátně velikosti dat?
máte dostatečně velkou work_mem?
jak velký máte bloat v indexech?
neběží Vám tam v tu dobu něco jiného, co ovlivní výkon nebo obsah bufferu, .... třeba autovacuum je kandidát, může být nastaveno příliš agresivně.

10

Studium a uplatnění / Re:Letos platím přes milion na daních jako OSVČ

« kdy: 17. 04. 2024, 15:15:18 »

Ja jsem na HPP a stat si veme bratru 44% z nakladu zamestnavatele na pozici.

to su ale naklady zamestnavatela, teba to nestoji ani cent. Takze treba pocitat realne, co ti zoberie z hrubej mzdy stat.

Tohle je špatný pohled, stejně jako to že část sociálního platí zaměstnavatel a tedy to jako neplatim já. Zaměstnavatel má na každého zaměstnance nějaký budget, významná část jde státu ( tedy daň z příjmu a všechny odvody ) a zbytek jako čistá mzda zaměstnanci. Ale pořád jsou to peníze z jednoho balíku, které jsou určeny pro tu konkrétní pracovní pozici.

11

Hardware / Re:Notebook na VŠ

« kdy: 22. 03. 2024, 07:40:01 »

16GB na programování už dnes není správná volba ale dolní hranice, kdy se občas naráží na limit.

A pak ty programy nemají být tak nenažraný, když programátorovi nestačí 16GB na vývojové prostředí a běh jeho výtvoru.

Pro autora:
klidně bych vzal nějakou repaslou T14 G1 i7/16GB RAM ( nebo něco podobného ) za polovinu budgetu.Na prvních pár semestrů to v pohodě vystačí a pokud se náhodou udržíš ( neber nijak osobně, ČVUT FEL statisticky dokončí jen zlomek studentů a všichni si při nástupu myslí, že oni to určitě zvládnou ), tak budeš vědět v jakém parametru ti ten noťas případně nevyhovuje a koupíš jinej ( klidně zase repas ).

12

Distribuce / Re:Spuštění skriptu po startu systému

« kdy: 22. 01. 2024, 19:47:49 »

Dobrý den,
 jak na spuštění skriptu po startu systému?
 Nacházím jen návody, jak to udělat v GUI a pod loginem uživatelem.

Předem děkuji.

Nejčistější bude systemd unita. Nejjednodušší dát to cronu a místo času dát @reboot

13

Bazar / Re:Hledám vyřazený F5 loadbalancer

« kdy: 15. 03. 2023, 09:57:43 »

OK to vypada jako 30 denni trial. takhle kratce omezeny trialy jsou mi k nicemu.

Trial je testovací na vyzkoušení produktu před zakoupením. Lab licence je trvalá pro testování na neprodukčním prostředí, tuším že to stojí něco jako $100 jednorázově a $12/rok support. Hledejte F5-BIG-VE-LAB-V18. V ČR lze koupit například přes Alef Nula.

14

Bazar / Re:Hledám vyřazený F5 loadbalancer

« kdy: 14. 03. 2023, 20:30:36 »

Nevyjde levněji přídit si virtuální lab licenci? Má to jen limitaci na 10Mbit.

15

Sítě / Re:Zálohování switchů, routerů

« kdy: 29. 01. 2023, 15:24:08 »

Používám Rancid, je to jednoduché a funguje to. Verzuju gitem.

Chápu že webový interface je fajn, ale zrovna v tomto případě mi přijde, že to zbytečně komplikuje jednoduchý usecase. Pokud bych potřeboval vizualizovat změny v repositáři, tak stačí git repo spravovat něčím jako gitea, gogs, gitlab, ....