Příspěvky

1

Server / Re:SSH heslo vs. klíč?

« kdy: 17. 03. 2025, 16:52:30 »

Krome hesla a klice je jeste k dispozici kerberos ticket (popr ssh certifikat, ale k tomu neexistuje rozsirena infrastruktura).
Kerberos je imho jeste lepsi volba.

Klice jsou pouzitelne pouze na infrastrukture kde je mozne forwarovani klicu,
pokud vam to spravce zakaze a donuti vas ulozit si privatni klic na kazdy server, tak jsou klice k nicemu.

Yubikey umoznuje integraci se ssh-agentem, kdy je privatni klic ulozeny v tokenu, ze ktereho se "nikdy" nedostane.
Utocnik pak nemuze privatni klic zkopirovat ani kdyz by ziskal root-a na vasem laptopu.

2

Odkladiště / Re:Zálohování stále se měnících velkých dat

« kdy: 14. 01. 2025, 10:08:54 »

Velke databaze jako Oracle, SQL Server anebo Postgre maji transakcni logy ktere se taky zalohuji. Diky tomu je pozny PITR (point in time recovery). Databazi je mozne obnovit k libovolnemu bodu v historii.

Bankovni aplikace maji vlastni "ucetnictvi". Jako za na jedne strane je "ma dati" "dal" (nostro a vostro). Pokud by doslo ke zmene dat v jedne bankovni aplikaci tak by vznikla dikrepance s hodnotami v jine aplikaci anebo s hodnotami z vypisu z uctu i jine banky.

3

Sítě / Re:Rozdíl mezi REJECT a DROP ve firewallu

« kdy: 03. 01. 2025, 09:42:04 »

Pokud jde o ICMP tak existuje doporuceni NIST ktere vyjmenovava ICMP zpravy ktere by se nemely dropovat.
Z hlavy si pamatuju jen ICMP host unreachable.
I nas v praci se nejaci mozkovi giganti ze security rozhodli zahazovat kompletne vsechno ICMP vsude na vnitrni siti a to se pak dely veci. Hlavne systemy ktere mely nakonfigurovane HA mely problemy, umrely na timeout protoze cekaly dlouho na pripojeni do databaze.

4

Server / Re:Aky file system pre DB server?

« kdy: 06. 09. 2024, 14:40:55 »

Docela by mne zajímalo, zda se DB nějak přizpůsobily SSD (případně CoW souborovým systémům) – nic takového jsem nezaznamenal (ale je možné, že mne to jen minulo). Konkrétně jestli se DB umí při zápisu na disk (tabulky, indexy) přizpůsobit tomu, že zapisuje na disk, kde seek není penalizován – a DB by vynechala „složitost“ související se snahou nefragmentovat data. (A druhá věc je, zda se DB přizpůsobuje velikosti bloků na SSD, které – alespoň dříve – typicky bývaly větší, než bloky souborového systému.)

Prizpusobovat se SSD nestoji za namahu. Oracle i Postgres maji uz od pradavna parametry optimizeru pro nahodne a sekvencni cteni. Takze se dokazi v pohodo SSSD prizpusobit. Pokud uz se to predelava, tak se to prepise kompletne.
AWS Aurora - klon Posgresu - nepouziva WAL logy pro replikaci, a pri zapisu na "disk" pouziva API EFS filesystemu.

Oracle pouziva pluginy pro zapis na ruzne "disky". Jeden plugin treba umi "direct NFS", coz je userspace klient pro NFS. Oracle Exadata pouzivala Infiniband, kdy cluster nekolika DB serveru pozival zapis do clusteru nekolika "cell serveru". Dneska to pokrocilo o kousek dal a z Infinibandu se vyvinulo "RDMA - remote DMA". Tahle technologie umi prenest data z pameti jednoho serveru na druhy, bez toho aby se toho ucastnil OS anebo CPU s minimalni latenci. Krome Infunibandu je tu jeste "RoCE" - RDMA over Converged Ethernet.

Takze bych rekl, ze databaze se spis prizpusobuji tomu, ze nebudou mit zadne disky, a misto toho budou komunikovat s nejakou distribuovanou sitovou sluzbou.

5

Windows a jiné systémy / Re:V akom stave je Windows 11?

« kdy: 01. 05. 2024, 10:00:25 »

Zkousel jsem vsechno mozny a nakonec jsem to preinstaloval na Win10. Osobne mam podezreni na ovladac k IR kamere pro rozpoznavani obliceju. I kdyz ma mozna muj notebook problem s touhle komponentou, tak me Win 10 normalne umozni se prihlasit. Na Win 11 vidim jen cernou obrazovku, cerny kurzor a jedna klavesa na kterou to nejak reaguje je CAPSLOCK.

Ako to vlastne funguje (na win10)?
Prihlasis sa pomocou tvare? Tj nemusis zadavat heslo/pin?

Ak mas podozrenie na ovladac, to ze funguje na win10 nemusi znamenat ze ta ista implementacia je pouzita aj pre win11. Mozno je ten ovladac tak rozbity, ze windowsu neumozni pokracovat k inym moznostiam prihlasenia. Neviem, tak trochu varim z vody, chce to viac detailov.

Ve Win10 funguje vsechno vcetne prihlasovani pomoci tvare. Je to HP Elitebook z roku 2020, akorat mu vyprsela 3 leta zaruka. Neni to zase az takova plecka a ma to TPM 2.0 a USB 3.1. HP se tvari, ze ovladace pro Win 10 a Win 11 jsou ty same a zadne dalsi updaty uz nebudou.

6

Windows a jiné systémy / Re:V akom stave je Windows 11?

« kdy: 30. 04. 2024, 10:40:05 »

Co třeba odložit stížnosti a zkusit zjistit příčinu např.: degradace/vada SSD? Mají svoje mouchy, avšak za 90 % problémů může uživatel, zejména když dostane vhodný nástroj a práva SA (tweaky, utility, ...).

Mají svoje mouchy, ale tohle abstraktní stěžování si a davové lynčování? Fakt ne.

Zkusil jsem vsechno mozny vcetne kompletni reinstalace a porad to samy, cerna smrt. Podle toho co jsem nesel na netu tak se vetsina uzivatelu shoduje v tom, ze pomuze ze systemu odebrat nekompatibilni HW. Win 11 se snazi zasest ovladac tak dlouho, ze vas ani nepusti k prihlaseni.

Zkousel jsem vsechno mozny a nakonec jsem to preinstaloval na Win10. Osobne mam podezreni na ovladac k IR kamere pro rozpoznavani obliceju. I kdyz ma mozna muj notebook problem s touhle komponentou, tak me Win 10 normalne umozni se prihlasit. Na Win 11 vidim jen cernou obrazovku, cerny kurzor a jedna klavesa na kterou to nejak reaguje je CAPSLOCK.

7

Windows a jiné systémy / Re:V akom stave je Windows 11?

« kdy: 25. 04. 2024, 16:55:14 »

Ted jsem koupil repasovany HP Elitebook do rodiny a jsou na nem Windows 11.

Prvni dojem, vse je neuveritelne svizne, alikace rychle nebihaji i na starsim HW. Edge rychle zobrazuje stranky.

Druhy dojem, bootuje to do black death". Cerna obrazovka, pohybuje se kurzor a jinak je to uplne mrtvy.
Jedine co alespon funguje je boot do nouzoveho rezimu, ten ale trva vic jak 4 hodiny !!!. Netusim co se na pozadi deje. Jen to pise "Please wait". Notebook nemuzu vypnout, zaklapnout ani uspat jinak budu zase cekat 4 hodiny nez to nabootuje.
Za me je to horsi nez Windows ME.

Dam tomu jeste jednu sanci a pak to preinstaluju na Win 10.

8

Odkladiště / Re:Používá se někde v Česku IBM mainframe se z/OS?

« kdy: 26. 03. 2024, 22:49:53 »

Manframe ma v tomhle ohledu problem, protoze jeho implemetace floatu neodpovida dnesnim "standartum", a pokud spustite simplexovou metodu na mainframe, tak vam to muze dokonvergovat jinak nez treba na AIXu anebo Linuxu.

jaky je tam teda float, ze neodpovida dnesku?!

Ono to vzniklo jeste pred tim, nez bezne pouzivane standarty(jako treba ASCII anebo Posix). Takze misto ASCII je tam EBDIC. A misto IEEE to ma vlastni format reprezentace floatu v pameti. A i C kompilator ma omezeni ze 70tych let, na ktere uz nejsme zvykli, jako treba jiny zapis parametru fce(K&C) anebo ze jmeno fce nesmi presahnout 8 znaku.

9

Odkladiště / Re:Používá se někde v Česku IBM mainframe se z/OS?

« kdy: 25. 03. 2024, 13:09:04 »

Nevim kde v CR se mainframe vyskytuje - fyzicky, ale urcite se v CR pro mainframe vyviji SW.
Byvaly kolega udrzuje gramatiku pro COBOL v ANTLR a na jejim zaklade vyviji vyvojarske nastroje (code assist) pro COBOL.

Ja v byvale praci udrzoval (pro jednu nemeckou banku) matemacticky SW pro modelovani uveru. Manframe ma v tomhle ohledu problem, protoze jeho implemetace floatu neodpovida dnesnim "standartum", a pokud spustite simplexovou metodu na mainframe, tak vam to muze dokonvergovat jinak nez treba na AIXu anebo Linuxu.
Takze pokud byste chteli prejit z mainframe na Linux, tak byste se proste museli smirit s tim ze vas SW dava jine, ale porad "dobre" vysledky. To v instituci, kterou reguluji dve centralni banky neni uplne pruchozi.

10

Windows a jiné systémy / Re:Podepisování aplikačního kódu

« kdy: 03. 03. 2024, 11:40:14 »

Pouzival jsem na podepisovani .msi baliku/.dll klic od CERTUM CA.
Bylo to podobny jako u Revolut, oskanujes Obcanu, ridicak. Oni ti to schvali, ty zaplatis a oni ti poslou certifikat.

Oni pak ale utahli srouby a dali si podminku, ze ke klici je potreba koupit i jejich HW klic a to uz na me bylo drahy.
Navic pulka stranek byla jen v polstine nejak jsem se na tom jejich webu ztratil.

11

Hardware / Re:Raspberry Pico: Zařízení USB nebylo rozpoznáno

« kdy: 28. 11. 2023, 11:16:03 »

USB zarizeni se identifikuje dvema cisly major:minor. Major udava identitu vyrobce a minor udeva identitu konkretniho vyrokbu. Existuje nejaka organizace, ktera ti za cca 1000$ priradi unikatni major cislo vyrobce. Na to ale spousta lidi kasle a pak dochazi k ruznym problemum/konfliktum.

Pokud zastrcis svoje zarizeni do linuxu, tak cisla zjistis hned. Ve Windows je to mnohem slozitejsi. Tvoje zarizeni nejspis pri prvnim pripojeni identifikuje jako read-only CDROM, na ni jsou ovladace a .inf soubory. Windows by mely ty ovladace a .inf soubory rozeznat a nainstalovat. Ten .inf soubor obsahuje major:minor zarizeni a jmeno souboru s ovladacem.

Ve tvem pripade asi nastava kolize, kdy uz mas pro stejny major:minor v systemu zaregistrovany jiny ovladac. Ten je potreba najit a odinstalovat.

12

Server / Re:Postfix + LDAP - co s výpadkem LDAP

« kdy: 23. 11. 2023, 16:12:27 »

LDAP standart je docela moderni a uz dopredu pocita s replikaci. LDAP servery by se mely umet samy replikovat(master-slave) a klientske URL podporuje format, kdy zadas vice serveru, a klient by se mel pripojit k tomu serveru, ktery je zrovna online.

Horsi uz to muze byt s implementaci na strane klienta(openldap-lib), kdy se muze stat ze uz otevrene TCP spojeni zustane viset do nekonecna a klientska knihovna si toho nevsimne. Ztrata TCP spojeni do LDAP by ale mela byt z pohledu Postfixu transparentni, a klientska knihovna by se mela pripojit k LDAP serveru, ktery je zrovna online.
 

13

Vývoj / Re:Dělá někdo ve Scala

« kdy: 06. 10. 2023, 10:28:12 »

Scala byla jednu dobu polularni diky frameworku Play (od Netlixu anebo nekoho takovyho).
Kdyz jsem do toho koukal, tak mi to prislo desne magicky a mocny. Jakoze v praci s databazi jedno slovo mohlo zmenit jestli se SQL provede synchnonne/asynchronne popr. jestli se pouzije jedna DB konexe anebo se to rozforkuje na vic threadu a cela uloha se paralelizuje.

14

Hardware / Re:Debian serial to usb converter

« kdy: 06. 10. 2023, 08:38:28 »

Zajimavy. Jestli si dobre pamatuju, tak byvaly ovladace a OS, kde to neslo. Seriovy port mohl byt otevreny pouze jednim procesem. Pokus o spusteni dalsiho terminalu koncil chybou "Device is busy" anebo tak nejak.

15

Vývoj / Re:Zahešované heslo v connection stringu k PostgreSQL

« kdy: 27. 06. 2023, 19:01:17 »

Ahoj,
prosím, potřeboval bych poradit, jak se řeší situace, kdy do prográmku v c++ potřebuju zkompilovat hardcoded heslo pro připojení k (postgresql) databázi.

S použitím předpřipravené knihovny pgxx definuji connection string:

Kód: [Vybrat]

std::string connectionString = "host='server_ip_address' port='5432' dbname='database_name' user='username' password='Secret_12345'";

Pokud prográmek zkompiluju, heslo jde z binárky přečíst a to je problém.
Existuje nějaký nástroj, který by uměl pracovat jenom s HASHem hesla v connection stringu namísto vepsaného hesla?

Nebo jakým způsobem se tohle správně provádí?
Děkuji za radu.

Nenapsal jsi jestli tvoje aplikace pobezi na Windows anebo na Linuxu.
Pokud na Windows tak by doporucil jeste jednou se podivat na SSO, protoze AD udela hodne prace za tebe a rozbehat Kerberos autentizaci na PostgreSQL databazi je celkem jednoduchu.

Pokud to pobezi na Linuxu, tak bych doporucil aby tvoje aplikace mela SUID bit na "nobody". Aplikace s SUID bitem muze debugovat tak max. root. Beznej uzivatel kterej aplikaci spusti to bude mit mnohem tezsi se k heslu v aplikaci dostat.