Příspěvky

1

Server / Re:MS 365: podvržené emaily

« kdy: 18. 09. 2023, 06:00:05 »

Pokud byl podvržený odesílatel, tak zřejmě zákazník nemá správně nastavený celý řetězec ochran (SPF, DKIM, ADSP, DMARC).
Další technikou bývá podvržení jména, kdy toto podvržení třeba MS Outlook zobrazoval důvěryhodně (Webmail jeden čas také). Bavíme se o tom, že ve jménu odesílatele je emailová adresa a skutečný mail from je spammerská adresa. Při přeposlání tohoto emailu programem MS Outlook se ztratí skutečná adresa odesílatele a následující adresát už vidí jen tu podvrženou, což celou věc ještě zhoršuje.

Každopádně částečným řešením je mít nasazené všechny ochrany (SPF, DKIM, ADSP, DMARC) na odfiltrování základních problémů. Zbytek, jak už bylo řečeno, se musí řešit procesně. Neexistuje, aby někdo někam poslal peníze bez toho, aniž by to zodpovědná osoba ve firmě schválila. A je úplně jedno, zda to pdf, nebo cokoli jiného, bude mít důvěrný podpis.
Zdar Max

2

Server / Re:VMware ESXi 7.0 Update 1 - UPS autoshutdown

« kdy: 30. 07. 2023, 13:51:54 »

Ve firmě neřeším auto shutdown. Spoléhám na to, že tvrdé vypnutí dnes přežije cokoli, pokud je dobrý návrh ve smyslu, že nedělám nějakou hloupou keš, která potvrdí zápis a ještě jej neprovede a po výpadku vše zapomene.
Zdar Max

3

Windows a jiné systémy / Re:Instalačka Visual Studio 2015 Express

« kdy: 30. 07. 2023, 13:33:17 »

Tady je jen full?
https://visualstudio.microsoft.com/cs/vs/older-downloads/

Jinak direct link by měl být:
https://go.microsoft.com/fwlink/?LinkId=615448&clcid=0x409

Zdar Max

4

Sítě / Re:Propojení dvou budov optikou

« kdy: 15. 07. 2023, 23:02:39 »

No ale zkuste si nacpat do RB751U RouterOS sedmičkové verze. Ono to bootne, teoreticky by i fungovalo, ale každou chvilku se restartuje se zpanikařeným kernelem, popř. když už zařízení běží, odezva Winboxu je 20 sekund na každý klik.
Takže to má své meze, byť pochopitelné.

Jinak na mých Nanostation M5 - čili skoro už historické rádio - jsem zrovna teď nedávno updatoval na 6.3.11, i když jsem v changelogu nenašel nic moc podstatného. Psali by vůbec UBNťáci do changelogu drobné bugfixy a security fixy?

Tak vzít si jako příklad nejlevnější šméčko, to není moc vypovídající. Většina hw má 64MB ram a tam RoS7 není problém. Pro RoS 7 je nutnost 64MB ram. Reálně není problém aktualizovat 10 let.
Zdar Max

5

Odkladiště / Re:Dokonalý hack

« kdy: 09. 05. 2023, 09:43:54 »

Ano,
spousta technik je nedetekovatelných. Můžeš mít sondy v síti, snifovat provoz, všechno logovat apod., a stejně budeš hacknut, aniž by jsi o tom věděl. Příkladem budiž to, že třeba Windows AD standardně posílá hashe hesel přes multicast. Stačí být ve stejné síti a můžeš si ty hashe odposlechnout. Pokud bude mít někdo slabé heslo, nebo heslo, které se vyskytuje v db hesel, tak útočník bude znát jednak uživatele, dále i heslo.
Pokud bude mít uživatel přístup na nějaký terminálový server, tak se na něj útočník může přihlásit a může pokračovat dál v útoku (dll hijacking apod.), pokud se mu úspěšně povede dll hijacking, tak dostane nejvyšší oprávnění a pak už stačí, až se do OS přihlásí nějaký doménový správce (hesla si Win drží v paměti v nešifrované formě) a bum. Útočník má nejvyšší oprávnění a nikdo si toho nevšimne.
Také už může rovnou na začátkou štípnout heslo nějakého doménového správce a nemusí tím pádem řešit ani útok přes server a dll hijacking.
Vím o případu, kdy během krátké chvilky útočník získal útokem na LLMNR/NBNS domain admina.

A to jsou ty důvody, proč i admin nesmí být admin, proč se musí drobit práva a řešit SoD atd. atd. atd.
Zdar Max

6

Hardware / Re:Obnova dat ze starých disků

« kdy: 09. 05. 2023, 09:34:40 »

Nejlepší nástroj, který se mi na podobné věci osvědčil, je Active@ Partition Recovery. Tj. komerční Windows tool. Stále se vyvíjí, poslední verze z roku 2023. Je lepší, než již zde zmiňovaný GetDataBack.
testdisk / photorec je k ničemu, neumí adresářovou strukturu, názvy souborů apod.
Zdar Max

7

Odkladiště / Re:Vyhláška 50 pro informatika

« kdy: 21. 04. 2023, 19:22:39 »

Možností je několik, ale jak už zde někdo napsal, pokud člověk nespadá do správné skupiny oboru, tak je tu možnost rekvalifikace. Střední školy nabízejí rekvalifikace, většinou je to roční studium s pár hodinami v týdnu. Lze tedy dělat při práci. Finanční náročnost je asi 40kkč.
Osobně o tom delší dobu přemýšlím, ale času málo, nevím, nevím :-/.
Zdar Max

8

Hardware / Re:NVR pre kamery značky Hikvision

« kdy: 21. 04. 2023, 19:11:33 »

Hikvision je dobrá volba pro menší nasazení. Minimálně kamery už hafec let jedou html5 a plugin potřeba není. Jak je na tom NVR teď netuším.
Pro větší nasazení je Hikvision NVR prekérka, protože se začnou množit hw boxy, limity počtu připojených klientů (řeší se VM na Linuxu) atd.

Kdo chce OSS, je tu Zoneminder, Motion, Shinoby (ten se postupně uzavřuje) a nově Frigate (plugin do HomeAssistant, který má velmi omezené fce).

Pokud chci levné komerční řešení, tak je tu Synology (dvě kamery zdarma, za další se platí licence 1200,-Kč), které má díky QuickConnect vyladěný vzdálený přístup atd.

Pro větší nasazení je super Xeoma. Patří to Rusovi (nevím, zda ještě Rus je, nebo se přestěhovali). Je to strašně nenáročně a běží to na všem. Aplikace pro mobil je super, vše rychlé, žádný porod. Nároky na HW jsou oproti jiným řešením slabé. Možnosti konfigurace a detekce pohybu parádní. Cena oproti konkurenčním řešením fakt super.
Zdar Max

9

Windows a jiné systémy / Re:Centrální správa mixu operačních systémů

« kdy: 21. 04. 2023, 18:46:52 »

Active Directory na vedení uživatelů. Z Linuxu se lze proti AD ověřovat pomocí SSSD (máme nastaveno, jde to).
Pro Linux adminy řešíme distribuci klíčů přes Ansible. Tam je i definováno, kam který admin může. V případě odchodu admina lze tedy jednoduše pomocí Ansible ze všech systémů klíč zase odebrat.
MACOS také podporuje ověřování proti AD, takže uživatelé lze mít na jednom místě pro všechny tři OS a práva řešit standardně skupinami v AD.

Pokud jde např. o Zentyal, tak to je jen klikátko. A jako každé jiné klikátko vyžaduje hlubší znalost admina. Bez klikátka musí admin znát jen core, s klikátkem musí admin znát core věci a pak jak funguje celá ta grafická sranda nad tím, protože když se něco podělá, což se děje, tak by v opačném případě byl admin docela v loji.
Zdar Max

10

Windows a jiné systémy / Re:Dešifrování dat na disku zašifrovaném BitLockerem

« kdy: 21. 04. 2023, 18:39:04 »

Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.

Tak pokud se rozhodnu sahat na konfiguraci tls, tak snad vím, co dělám a provedu nastavení komplet a né na půlce věcí. Nechápu ten argument "Nastavil jsem půlku a druhá půlka přestala fungovat". Politika je taková, že .NET apps má svojí konfiguraci a nedává smysl to ignorovat.

Zdar Max

11

Server / Re:Ubuntu apache2 virtuální server a nastavení portu

« kdy: 31. 10. 2022, 06:08:45 »

A v čem máš konkrétně problém? Port 80 je standardně nastaven na poslouchání. Port 443 je nastaven na poslouchání v případě, že má povolený modul ssl.

Ty máš ubuntu, takže asi to bude podobné jako u debianu? Tj.

1) Zapneš si moduly
a2enmod ssl
a2enmod alias
a2enmod vhost_alias
a2enmod proxy
a2enmod rewrite

2) Do konfiguráku "/etc/apache2/ports.conf" přidáš, aby apache naslouchal i na portu 88,
tj. přidáš řádek "Listen 88".

3) Nu, pak vytvoříš konfiguraci webu:

nano /etc/apache2/sites-available/mojestranka.tld.conf

<VirtualHost *:88>
    ServerName mojestranka.tld
    ServerAlias www.mojestranka.tld
    ServerAdmin webmaster@mojestranka.tld

    VirtualDocumentRoot /var/www/mojestranka.tld

    ErrorLog /var/log/apache2/mojestranka-error.log
</VirtualHost>

4) Aktivuješ konfiguraci webu
a2ensite mojestranka.tld

5) ověří si, že je apache nastaven správně:
apachectl configtest

6) reloadneš apache
systemctl restart apache2

Apache běží standardně pod právy "www-data:www-data", takže stránky musí být pod tímto uživatelem přístupné. Tj. v našem příkladě:
/var/www/mojestranka.tld

Pokud je ta stránka pod php, tak ještě povolíš php pomocí a2enmod jako u předchozích modulů.
Seznam nainstalovaných modulů je v:
/etc/apache2/mods-available/

Na stránku pak musíš přistupovat pod dns jménem, né pod IP. Pokud přistupuješ pod IP, tak ti apache naservíruje výchozí stránku podle toho, jak máš apache nastaven.

Zdar Max
PS: píšu to z voleje, text může obsahovat překlepy...

12

Hardware / Re:Kamera pro kočku

« kdy: 12. 08. 2022, 22:05:16 »

Já asi zkusím tuto:
https://www.alza.cz/pet/eyenimal-mini-kamera-pro-domaci-mazlicky-d5262248.htm

Zdar Max

13

Server / Re:iSCSI - perspektivní protokol dnes (2022?)

« kdy: 07. 07. 2022, 00:09:54 »

Nesouhlasím s předřečníkem, že na NFS nelze provozovat DB. Třeba Oracle má přímou nativní podporu pro NFS a šlape to dobře. Teď ale migruji z NFS na iSCSI, protože nový storage neumí NFS. Jinak by mi to bylo jedno.
V testech vychází v některých situacích iSCSI rychleji, než NFS4.1
Každopádně iSCSI je naprosto běžné a není problém.
Zdar Max

14

Software / Re:Váš oblíbený systém na správu firemních informací (wiki)

« kdy: 01. 04. 2022, 22:55:25 »

upřímně? Používá jí vůbec někdo? Zkušeností mám více, ať už z malých českých firem nebo nadnárodních korporátů. Někde byla MediaWiki, jinde Confluence.

V drtivém případě buď šlo o dokumentaci typu: "toto je readme" nebo byla tak rozsáhlá, že byla vlastně nepoužitelná. Dost často už v ní informace ani neplatily. Takže moje zkušenost hovoří takto: "Wiki je k ničemu" a ve firmě ji nepoužívám. To co je důležité, je napsané v readme u projektu, ale jen to co je důležité (psát tam jak se nainstaluje projekt, jak ho pustím je blbost, to vývojář zná) a za 6 let co mám firmu se mi nestalo, že by byla Wiki potřeba a nebo že by nějaký vývojář nevěděl.

Jinak na své věci, čas od času používám poznámky od Apple a taguji je.

Ano, používáme MediaWiki pro IT správce, pro IT Dev i pro uživatele (v jejich případě multijazyčnou).
Devíci to používají jako dokumentaci k projektům (parametry programů, závislosti, zběžné info o tom, co program dělá atd.) + případně návody a best practicles.
Zdar Max

15

Studium a uplatnění / Re:Práce IT Admina

« kdy: 01. 04. 2022, 22:46:40 »

Rozvoj IT - jak firma roste, rostou i požadavky na poskytované služby, bezpečnost a další věci.
Údržba systémů - psaní skriptů pro automatizaci a snadnější údržbu, patch management apod.
Support uživatelů.

Příklad, malé firmě do 100 uživatelů stačí vesměs jeden admin, jeden dva servery, kde běží služby a pár věcí okolo.
Větší firma musí:
Řešit IDM, protože systémů, uživatelů a fluktace je tolik, že se nestíhají vytvářet a udržovat uživatelé ve všech systémech.
Řešit sběr logů ze všech zařízení a automatiky je analyzovat na anomálie a detekci útoků.
Komplexní helpdeskový systém, protože maily a telefony přestanou stačit a začne v tom být bordel.
Systém pro objednávky a další věci, aby se v těch objemech někdo neztratil.
Obnova klientského hw v nějakých pětiletých cyklech.
Komplexní monitoring a čím větší firma, tím větší náročnost na realtime sběr metrik apod.
Centrální a automatická správa milionů druhů switchů a dalších síťových zařízení.
Ispekci sítě na odhalení problémů a útoků.
Pravidelně penetrační testy od externích firem + vlastní penetrační testy pomocí OpenVAS a jiných řešení.
Auditovací systémy na Active Directory.
Větší systém izolace uživatelů na úrovni switchů a dalších prvků.
Asset management, protože už nelze udržovat seznam hw v excelu.
Deploy a patch management, protože je potřeba nějak řídit systém aktualizací jednolivých sw.
Automatizace všech možných procesů (Ansible apod.), protože jinak by admin nedělal nic jiného, než instalovat aktualizace a patche (stovky heterogenních serverů není sranda udržovat zabezpečené).
Pokud má firma dev team, tak k tomu dřív nebo později přibyde Kubernetes, CI/CD řešení, údržba Kubernetích clusterů a všech systémů okolo.
A to je jen kapka v moři toho, co se musí řešit a to se bavíme jen o doprovodných systémech IT pro jejich práci a né o systémech, které jsou nutné pro provoz firmy.
Zdar Max