1
Sítě / Re:Důvěryhodný certifikát v rámci LAN
« kdy: 27. 11. 2023, 10:57:46 »
Ten WARP se zdá být dost dobrý pro BFU, protože je úplně soldaten sicher und idioten fest. Nainstalujete a máte přepínač: zapnout/vypnout. Žádná konfigurace.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
2
Sítě / Re:Důvěryhodný certifikát v rámci LAN
« kdy: 27. 11. 2023, 10:54:33 »
Asi jsou dvě řešení.
1) pokud ta doména nejakypriklad.sk skutečně existuje a je vaše, můžete si nechat vystavit certifikát na jméno s ověřením přes DNS, záleží na tom, kde je autoritativní DNS server, s trochou štěstí (má-li API) lze i automatizovat
2) mít vlastní CA a její certifikát dát do systému jako důvěryhodný - ve Windows lze pomocí Group Policy, Firefox teď už ze sytému tyto certifikáty přejímá automaticky (dřív se mu to musel zase přes politiku nebo konfigurační soubory vnutit). Ale třeba v mobilu asi smůla.
Já jsem skončil u toho, že mám IPv6, ve veřejném DNS registrovanou IPv6 adresu toho serveru, na FW povolené porty 80 a 443 a certifikáty zajišťuje certbot. Server sám striktně vyžaduje HTTPS (redirect kromě .well-known) a z venku i přihlášení. Ve veřejném DNS nemůže ale být neveřejná IPv4 adresa (dřív to šlo), takže pokud chcete uvnitř přístup přes IPv4, musíte mít vnitřní DNS pro tuto doménu.
Pozn: exUPC, mám nativní IPv6, ale ne veřejnou IPv4.
Pozn2: pro klienty z venku, kteří nemají IPv6 funguje docela dobře WARP - https://1.1.1.1
1) pokud ta doména nejakypriklad.sk skutečně existuje a je vaše, můžete si nechat vystavit certifikát na jméno s ověřením přes DNS, záleží na tom, kde je autoritativní DNS server, s trochou štěstí (má-li API) lze i automatizovat
2) mít vlastní CA a její certifikát dát do systému jako důvěryhodný - ve Windows lze pomocí Group Policy, Firefox teď už ze sytému tyto certifikáty přejímá automaticky (dřív se mu to musel zase přes politiku nebo konfigurační soubory vnutit). Ale třeba v mobilu asi smůla.
Já jsem skončil u toho, že mám IPv6, ve veřejném DNS registrovanou IPv6 adresu toho serveru, na FW povolené porty 80 a 443 a certifikáty zajišťuje certbot. Server sám striktně vyžaduje HTTPS (redirect kromě .well-known) a z venku i přihlášení. Ve veřejném DNS nemůže ale být neveřejná IPv4 adresa (dřív to šlo), takže pokud chcete uvnitř přístup přes IPv4, musíte mít vnitřní DNS pro tuto doménu.
Pozn: exUPC, mám nativní IPv6, ale ne veřejnou IPv4.
Pozn2: pro klienty z venku, kteří nemají IPv6 funguje docela dobře WARP - https://1.1.1.1
3
Server / Re:Řídí se SMTP odesilatelé bannerem 250-SIZE?
« kdy: 07. 09. 2023, 14:07:44 »Mno ... rek bych ze typicky klient zadne EHLO neuvidi. To si posilaji MTA navzajem. Takze to typicky vypada tak, ze klient zpravu svemu MTA preda, ten se ji pokusi dorucit protistrane, a ta ho s ni posle kamsi (s hlaskou o nedorucitelnosti). Nacez ten klientsky MTA reaguje tak, ze vrati email odesilateli, a skopiruje do toho hlasku kterou dostal od ciloveho MTA. A v te tedy prevazne bude neco na tema ze email je moc velky.Klient sám zahájí komunikaci příkazem EHLO, takže to, co server podporuje nebo omezuje, uvidí. Jen tu komunikaci klient vede na port 587 (submit) s povinnou autentizací a šifrováním - STARTTLS. Klient může použít i porty 25/STARTTLS nebo 465/SSL, ale server to nemusí akceptovat.
Pokud mas outlook vs exchange, tam ti to zarizne uz ten outlook, protoze mu vynada exchange ... a predevsim proto, ze to nepouziva smtp.
Komunikace sama o sobě je ale stejnými příkazy protokolu SMTP.
Exchange to udělá stejně, když klient není Outlook.
4
Windows a jiné systémy / Re:Notebook s polskou verzi Windows
« kdy: 04. 09. 2023, 14:42:37 »
Ještě přidám upozornění na jednu možnou zradu: má-li notebook podsvícenou klávesnici, tak přelepky budou poněkud nefunkční a nová (česká a podsvícená) může být dost drahá, takže to je aspoň pro mě dost zásadní důvod, proč takovou věc nekupovat.
No a moje osobní preference: nemá-li podsvícenou klávesnici, nechci takový notebook vůbec.
No a moje osobní preference: nemá-li podsvícenou klávesnici, nechci takový notebook vůbec.
5
Windows a jiné systémy / Re:Notebook s polskou verzi Windows
« kdy: 03. 09. 2023, 10:19:21 »
Ale no tak, experti. Windows od verze 8 umožňují doplnit jakýkoliv jazyk, přepnout ho na výchozí - to ve W7 bylo pouze v edici Enterprise, ale teď je to všude, včetně Home.
Problem by mohl být třeba s čínskými nebo hindu Windows, kde to v menu nenajdete.
Takže já instaluju verzi en-US a češtinu doplňuju. Jedete do zahraničí a máte problém třeba s wifi? Když to přepnete do angličtiny, někdo vám pomůže, v češtině sotva.
Další věc je, jak již bylo uvedeno, licence je v BIOSu, takže je zcela legitimní si udělat pomocí Media Creation Tool bodovací flašku s jazykovou verzí dle libosti, boot a instalace. Můžete jen narazit u NVMe disků s chipsety, které instalačka nezná - pak je ještě nutné od výrobce na flašku doplnit driver disku.
Další možností (pokud toto nechcete riskovat) je stáhnout ISO image, otevřít, setup a udělat upgrade s tím, že nechcete zachovat nic, ani programy, ani data. Tím i v bazarovém notebooku dost pravděpodobně nic neznámého nezůstane.
No a poslední možnost, reset do továrního nastavení (pokud na disku zůstala příslušná partition) a pak ten upgrade z ISO (rovnou dostanete poslední verzi Windows).
Problem by mohl být třeba s čínskými nebo hindu Windows, kde to v menu nenajdete.
Takže já instaluju verzi en-US a češtinu doplňuju. Jedete do zahraničí a máte problém třeba s wifi? Když to přepnete do angličtiny, někdo vám pomůže, v češtině sotva.
Další věc je, jak již bylo uvedeno, licence je v BIOSu, takže je zcela legitimní si udělat pomocí Media Creation Tool bodovací flašku s jazykovou verzí dle libosti, boot a instalace. Můžete jen narazit u NVMe disků s chipsety, které instalačka nezná - pak je ještě nutné od výrobce na flašku doplnit driver disku.
Další možností (pokud toto nechcete riskovat) je stáhnout ISO image, otevřít, setup a udělat upgrade s tím, že nechcete zachovat nic, ani programy, ani data. Tím i v bazarovém notebooku dost pravděpodobně nic neznámého nezůstane.
No a poslední možnost, reset do továrního nastavení (pokud na disku zůstala příslušná partition) a pak ten upgrade z ISO (rovnou dostanete poslední verzi Windows).
6
Odkladiště / Re:Jak je těžké (najít) EHLO hostname pro útočníka
« kdy: 18. 07. 2023, 13:53:21 »
Mám pocit, že trochu motáte dohromady funkce SMTP serveru "submit", "relay" a "deliver".
Na 1 IP můžete mít jeden SMTP server, který může pro každý odeslaný mail požadovat autentizaci (submit port 587/STARTTLS). Takže zloduch ve vaší síti sice může něco odeslat, ale bude dohledatelný. Port 25/465 zevnitř vůbec nemusí být dostupný, nebo jen z vybraných adres, takže odtamtud to máte pod kontrolou. Z venku, divokého internetu, nikoliv, ale když máte zakázáno dělat relay, tak váš server nikdo nezneužije.
Na 1 IP můžete mít jeden SMTP server, který může pro každý odeslaný mail požadovat autentizaci (submit port 587/STARTTLS). Takže zloduch ve vaší síti sice může něco odeslat, ale bude dohledatelný. Port 25/465 zevnitř vůbec nemusí být dostupný, nebo jen z vybraných adres, takže odtamtud to máte pod kontrolou. Z venku, divokého internetu, nikoliv, ale když máte zakázáno dělat relay, tak váš server nikdo nezneužije.
7
Hardware / Re:Virtuální stroj nebo Linux na iPad A2602
« kdy: 18. 06. 2023, 18:55:18 »
https://www.linuxfordevices.com/tutorials/linux/linux-on-the-ipad
Ale nezkoušel jsem to, iPad používám jako koncové zařízení (s HW klávesnicí) k přístupu někam - openvpn, ssh, remote desktop
Ale nezkoušel jsem to, iPad používám jako koncové zařízení (s HW klávesnicí) k přístupu někam - openvpn, ssh, remote desktop
8
Windows a jiné systémy / Re:Intel NUC 7 - chybí ovladač disku při instalaci Windows 11
« kdy: 13. 06. 2023, 06:54:07 »Co prosím?...Jelikoz a protoze ... malou nevyznamnou sanci davam tomu, ze vem ten disk, strc ho do beznyho PC s Intelem (tohle je dulezity), nainstaluj na to ty windowsy, nainstaluj do nich vsechny ovladace z odkazovany stranky a pak ten disk strc do toho NUCu.
Pokud instalator nevidi sata disk (predpokladam, specifikace nezminuje nvme) tak nemas jak nacist ovladace pri instalaci (windows to umi z diskety nebo sata disku, z placky nebo USB ne, sme prece u MS ...)
A nebo je ten disk KO.
To snad platilo naposled pro WinXP.
W11 stačí patřičný ovladač (obvykle to občas nastává u NVMe a chipsetu novějšího, než instalačka) nakopírovat na instalační flešku a při instalaci se na něj odkázat.
9
Hardware / Re:Tip na disk M.2 a externí box pro RPi
« kdy: 03. 06. 2023, 19:25:07 »
Jak už je napsáno výše: M.2/SATA nemá smysl, je lepší NVMe. Už proto, že se dá potom použít jinde, vyměnit, ... NVMe je dnes snad v každém notebooku, M.2/SATA dost vymizelo. Ty externí boxy zpravidla neumí oboje.
Krabičku bych teda nekupoval v Číně (jo, v tom CZC nebo kdekoliv bude taky vesměs čínská, ale zde prodávaná, se zárukou a možností vyměnit).
V RPi 4B jsem to takto použil a bez potíží. Zatížení není takové, aby disk začal mít problémy s teplotou. Toho jsem dosáhl z notebooku přes USB-C, když jsem kopíroval >100GB dat - tak někde okolo těch 100GB se to zpomalilo a hliníkové pouzdro začalo být poněkud teplé. Čtení problém není.
Krabičku bych teda nekupoval v Číně (jo, v tom CZC nebo kdekoliv bude taky vesměs čínská, ale zde prodávaná, se zárukou a možností vyměnit).
V RPi 4B jsem to takto použil a bez potíží. Zatížení není takové, aby disk začal mít problémy s teplotou. Toho jsem dosáhl z notebooku přes USB-C, když jsem kopíroval >100GB dat - tak někde okolo těch 100GB se to zpomalilo a hliníkové pouzdro začalo být poněkud teplé. Čtení problém není.
10
Vývoj / Re:Kniha ke studiu jazyka Python
« kdy: 19. 05. 2023, 09:10:42 »
Trochu mimo, ale v lockdownu dávali JetBrains bezplatně on-line kurs Pythonu a bylo to dost dobrý, asi to stojí i za peníze.
Ale dost striktní: bez úspěšného řešení příkladů v oddílu se nedá jít dál. Hodnocení řešení není jen na funkci, ale (to už není nutné k postupu) i na best practices, takže to člověka dost nutí se tím řídit.
Ale dost striktní: bez úspěšného řešení příkladů v oddílu se nedá jít dál. Hodnocení řešení není jen na funkci, ale (to už není nutné k postupu) i na best practices, takže to člověka dost nutí se tím řídit.
11
Hardware / Re:Zablokování iPhone 6s při migraci do iPhone 13 mini
« kdy: 16. 05. 2023, 16:27:26 »Tak moji brigadnici dnes potkalo neco podobneho - asi ji to nevzalo xicht nebo prst a telefon chce heslo ktere si nepamatuje protoze to bezne nezadava.Ne, když to nevezme prst/xicht, tak chce PIN. A ten PIN zná, protože asi tak jednou za týden dva ho telefon požaduje na odemknutí možnosti přihlásit se tím prstem/xichtem.
Pocitac nepouziva.. takze je otazka zda nejake prihlasovani k icloudu ma smysl - je tam moznost nejake manipulace se zamkem telefonu vubec?
A kdyz ma icloud ale nevi heslo k nemu (nebo ani login), tak co s tim lze delat?
Kromě toho, když nevezme biometriku a chce PIN, tak ještě pořád je ochoten ten xicht sejmout.
To je tady pořád dokola, dojemné příběhy, ve kterých vždycky chybí něco podstatného.
12
Hardware / Re:Zablokování iPhone 6s při migraci do iPhone 13 mini
« kdy: 14. 05. 2023, 18:30:14 »No, asi může - Apple to odemknout umí, když máte doklad o nabytí (fakturu) a tak, budou se s majitelem bavit.Me se uz ani nechce na ty moudra reagovat, tak jenom dodam ze kdyz koupis kradeny iphone tak ho nijak neresetnes. Budes mit cihlicku ktera bude chtit prihlaseni k registrovanemu uctu. [...]a jakou to ma tedy logiku, pokud zresetovat muze iPhone pouze vlastnik, PROC nemuze stejny vlastnik odblokovat zablokovany iPhone se zachovanim dat? to je postavene na hlavu...
Na zadání PIN je 10 pokusů, po asi 3 se intervaly značně prodlužují (až na hodiny), takže třeba dítě vám všechny pokusy nevypráská. Jestli se po 10. pokusu telefon smaže, je věc nastavení, default to, myslím, není.
No a nezálohovat... to je fakt pitomost, telefon člověk denně používá, může se pádem zcela rozbít, můžou ho ukradnout, můžete ho ztratit. Asi těch bezplatných 5GB na iCloudu stačit nebude, já si tam proto platím 50GB za 25Kč/měsíc. Navíc fotky zálohuju poloautomaticky ještě na OneDrive.
Kontakty jsou v cloudu, tak o zásadního ještě může člověk přijít?
Kromě toho jednou za cca týden musíte tím PINem odemknout biometriku (TouchID nebo FaceID), takže bez znalosti PINu iPhone opravdu nelze provozovat.
13
Odkladiště / Re:Email to SMS služba ?
« kdy: 08. 04. 2023, 09:18:35 »
Udělal jsem si bot na Telegramu. Podmínkou samozřejmě data, ale mám to víc pod kontrolou a není to omezené na délku zprávy. Nezahlcuje to SMS (takže se mezi nimi neztrácí případné SMS o lidí).
Máme k tomu ale SMS gateway, takže když vypadne připojení k internetu, alespoň tato zpráva jde jako SMS.
Pokud jsem někde, kde je signál mizerný a data jsou sotva Edge, tak zpoždění nevadí - stejně s tím nemůžu nic dělat.
Máme k tomu ale SMS gateway, takže když vypadne připojení k internetu, alespoň tato zpráva jde jako SMS.
Pokud jsem někde, kde je signál mizerný a data jsou sotva Edge, tak zpoždění nevadí - stejně s tím nemůžu nic dělat.
14
Sítě / Re:Některá zařízení ignorují konfiguraci DNS serverů z RA
« kdy: 16. 02. 2023, 14:26:13 »Díky za tip, vyzkouším.Ten stroj by mohl mít u WiFi ručně nastavené DNS servery (místo zaškrtnutého "automaticky"), pak se použijí ty. A pokud to u ethernetu není, odpovídalo by to.
Je mi ale divné, že dva stroje se stejnými Windows a stejnými aktualizacemi se chovají jinak. A dokonce i na jednom stroji je rozdíl, na Ethernetu se vezmou adresy z RA, na WiFi ne. Skoro jako by to spíš byla věc driveru síťového rozhraní...
15
Distribuce / Re:Nelze nabootovat UEFI linux
« kdy: 13. 02. 2023, 17:08:25 »
Jen tak pro jistotu, máte vypnutý secure boot v EFI/BIOSu?
