Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - skopda

Stran: [1] 2
1
a dát ty soubory třeba na iCloud by nepomohlo  ?

Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..
Chceš říct, že admin mi uvidí do iCloudu ?

Admin má přístup k libovolným souborům, takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. z pohledu serveru je to stejné jako by ses na domácí wifi někde přihlásil, uspal a přenesl notebook jinam, tam zapneě a většina služeb se tě nebude znovu ptát na heslo. btw v normálních firmách jsou "admini" a admini, ti první nemají práva, ti druzí mají bezpečnostní prověrku nebo důveru nejvyššího vedení. ale ano v pochybné firmě kde je admin asociální pako bez zábran by se to stát mohlo.

2
Jak jednou zařadíš pc do domény tak nad ním ztrácíš kontrolu. šifrovaný externí disk ti nepomůže. Jediné řešení je virtuální pc a nechat si přidat do domény jen virtuální stroj ne fyzický stroj nebo druhý notebook.
Osobně pouužívám dva notebooky, jeden pro práci, druhý starší na soukromé věci.
Pokud nejsi na doméně technicky závislý - tzn uděláš svou práci i bez domény, jen je nějaký předpis že chtějí tvoje pc v doméně nebo to potřebuješ  1x měsíčně na nějakou obskurní činnost, tak si třeba udělej dual boot, jeden os v doméně bude, druhý ne, 99% procent času budeš používat nedoménový OS, šifrovaná partition kterou nikdy nebudeš připojovat z doménového OS tak zůstane relativně bezpečná.

3
Pokud to nemá být NAS, ale nenáročný 24/7 server, místo desktopu bych volil laptop. Já jedu Proxmox na Eliteboocích (8460p a podobné). Ty jsou taky s vPro a tedy asi umí též zmíněné AMT.

Spotřeba cca 20W, desktop bude mít okolo 50W.

To už pár let neplatí, jsou desktopy co mají do 10W v idle. Malé krabičky jako dell optiplex micro napájené notebookovým adaptérem berou minimum. Můj domací build s deskou asrock H370M-HDV, core i3-8300 a pico PSU bere 8W když stojí disky.  Doporučuju youtube kanál @WolfgangsChannel kde se hodně věnují úsporným domacím serverům.

4
Hardware / Re:Ryzen 9 PRO 7940HS nebo spíš Intel i9-13900H?
« kdy: 26. 03. 2024, 12:56:50 »
intel má stabilnější ovladače na iGPU a tím jeho výhody končí. Když chceš nějaký výkon tak to má velkou spotřebu a je to hlučné, AMD je na tom s provozními vlastnostmi mnohem lépe. pokud potřebuješ virtualizovat doporučuji vyhnout se intelu s jeho bigLittle architekturou co největším obloukem. Některé virtualizační nástroje to nepodporují vůbec, některé padají, některé aby fungovali tak je nutné pomocí různých hacků donutit aby to používalo jen jádra jednoho typu. u amd která má všechna jádra zatím stejná tak to není potřeba řešit

5
Hardware / Re:Notebook na VŠ
« kdy: 25. 03. 2024, 20:30:09 »
mám teď na práci hp firefly G10A, Baterie dá 10 hodin psaní poznámek, 4h vývojářské práce, 1h hraní her, tak si pohlídej aby notebook měl podporu nabíjení přes usb-c z powerbanky.
Zvážil bych framework laptop, základní konfigurace se ti do rozpočtu vleze, upgradovat můžeš později podle potřeb.

sorry za offtopic:
HP Firefly G10A jak je na tom s přehříváním? Přecejen je to dost malý notebook a má jen jeden větráček. Jakou používáš GPU jen integrovanou iGPU? Jaký typ vývoje děláš?
diky.

mám G10A s ryzenem 7 7840HS a integrovanou grafikou radeon 780M a 64GB ram.
Moje práce je hlavně programování, kompilace velkého .net projektu, a typescriptu, restore databazí a testování různých novinek kolem data warehouse, kvůli potřebě ladění běžně pracuju s 30GB databází přímo na  notebooku. s AI a computer vision dělám jen okrajově. když je zátěž krátká (kompilace nebo nějaká analýza videa) se notebook chladí bez problémů, a hlučnost je přijatelná, povrchová teplota v pohodě.
Při delší zátěži v performance módu, třeba hraní her, to hučí jak server, tělo notebooku je brutálně horké, takže hrát se na tom dá jedině se sluchátky a externí klávesnicí a myší, nicméně procesor to uchladí na teploty kolem 85°C a nijak moc to nethrotluje.
Dobré ještě zmínit že když se zavře víko displeje tak se to neuchladí ani v mírné zátěži, výdech chlazení je před displejem.

6
Hardware / Re:Notebook na VŠ
« kdy: 25. 03. 2024, 10:04:29 »
Jsem už sice pár let z vysoké (VUT), ale zkusím doplnit pár relevantních postřehů:
- Velikost ntb - 15,6" v posluchárnách a na lavici spíš překáží, klidně běž do 14 nebo 13,3 jestli nemáš ruce velké jako medvědí tlapy.
- Nauč se používat anglickou klávesnici, na české se stejně nedá programovat a odpadne ti potřeba numerické klávesnice pro psaní čísel, což stejně většina 14" ntb nemá.
- Pro školní projekty je jakýkoli dnešní notebook dostatečně výkoný, simulace obvodů s pár součástkami nebo kompilace školních projektů s jednotkami tisíc řádků zvládá dostatečně rychle i 10 let stará i5.

Důležité pro rozhodnutí je.
- Rozmysli si jestli kupuješ notebook na 2-3 roky a pak elektroodpad nebo na 5 let. Pokud chceš notebook který pár let vydrží vyhni se značkám jako acer, asus, msi. takové notebooky se po pár letech pravidelného přenášení rozpadnou. Vybírej radeji hp/dell/lenovo pokud možno business řady s kovovým šasi, klidně rok staré, udělají lepší službu než nový plastový acer.
- Rozmysli jak moc vážně to budeš mít s hraním her nebo AI workload. Pokud by jsi chtěl nějakou rozumnou práci s AI tak je dedikovaná grafika s CUDA je zatím nezbytnost, sw podpora AI akcelerátorů v poslední generaci cpu je zatím tragická. méně naročné hraní zvládne i moderní iGPU. Naopak pokud nepotřebuješ dedikovanou grafiku bude mít nejspíše stejně těžký notebook větší baterii. Pozor u moderních ntb je velký rozdíl mezi spotřebou v klidu a v zátěži, mám teď na práci hp firefly G10A, Baterie dá 10 hodin psaní poznámek, 4h vývojářské práce, 1h hraní her, tak si pohlídej aby notebook měl podporu nabíjení přes usb-c z powerbanky.
Zvážil bych framework laptop, základní konfigurace se ti do rozpočtu vleze, upgradovat můžeš později podle potřeb.

7
Odkladiště / Re:Pojištění notebooku na cestách
« kdy: 06. 03. 2024, 13:31:09 »
Jak psali ostatní, notebook ukradený ze stolu v kavárně nebo z postele v hotelu ti asi žádná pojišťovna nezaplatí. Musel by jsi ho mít zamčený v hotelovém trezoru. Ukradený ntb z auta možná částečně některá pojišťovna ano, ale jak budeš dokazovat že byl zavřený v kufru a nebylo na něj vidět? Navíc jiné to bude v čr a jiné někde v thajsku.
Já to řeším tak že na nepracovní cesty si beru starý notebook v zůstatkové hodnotě cca 5kkč, na hledání informací nebo urgentní opravy při dovolené to stačí, je to mnohem lepší než tablet a pokud mi ho někdo ukradně, utopím ho v bazénu nebo ho rozkouše tygr, tak to zamrzí ale není to tak velká ztráta. Bazén ani tygra by mi stejně pojišťovna nezaplatila. Jako bonus, statší poškrábaný noťas bude lákat zloděje podstatně méně než nový.

8
Sítě / Re:Inspekce provozu v lokální síti
« kdy: 01. 12. 2023, 17:42:09 »
díky za tip, zkusím to s emulátorem

9
Sítě / Inspekce provozu v lokální síti
« kdy: 30. 11. 2023, 13:52:01 »
Ahoj, rád bych se zeptal na radu jak postupovat při sledování a modifikaci provozu zařízení v mé síti. mám mobil s androidem(root ~nelze) který komunikuje s IoT zařízením na lokální síti. komunikace funguje nejspíše přes https se self signed certifikátem, zatím jsem komunikaci jen poslouchal wiresharkem ale pochopitelně při pasivním poslechu do šifrované komunikace nevidím.

Potřeboval bych reverse engineerovat komunikaci mezi aplikací v telefonu a tím IoT zařízením. bohužel ta potvora se chová jinak když je mobil ve stejné síťi a komunikuje se zařízením napřímo, a když je v jiné síti tak to komunikuje přes veřejný cloud.

A teď otázka, jak to udělat aby v rámci jedné siťě (nevím jestli stačí shodný subnet nebo musí souhlasit i SSID sítě) udělat man in midlle abych mohl podvrhnout certifikáty a burpsuitem nebo něčím podobným koukat i do https komunikace. Mám tu několik mikrotik wifi routerů a ntb s ethernetem,wifi a s kali linuxem.

Otázka je - jde na linuxu (kali) udělat bridge a přitom zasahovat do komunikace nebo jediná možná cesta bude to přes srcnat a dstnat přesměrovat provoz tak komunikace nešla napřímo mezi mobilem a zařízením ale router ji místo bridge přeposlal přes notebook?
Případně nemáte jiný tip jak to na síťové vrstvě nakonfigurovat?

10
Software / Re:Aplikace na léčbu tupozrakosti
« kdy: 15. 11. 2023, 16:29:22 »
obávám se že nejspíše budeš muset hledat aplikaci "procházka venku", ta bohužel není dostupná na linuxu ani mobilních platformách, ale pouze na platformě "vlastní nohy TM".  ;D Oční problémy nevyřešíš koukáním na displej ve fixní vzdálenosti.

11
Sítě / Re:Doporučte GSM modem s ethernetem
« kdy: 11. 08. 2023, 14:45:48 »
Ahoj,
dovolím si zde tématicky skočit do vlákna.

Řeším bohužel dlouhodobě problém s nedostupností rychlého internetu. Mám možnost připojení buď skrz 5GHz (Od kterého jsem odešel), nebo DSL (45/2.5mbps). S DSL bych byl jakžtakž spokojený, kdybych neměl tak nízký upload, který mě při práci limituje. Dle CETINu je rychlost DSL úměrná délce vedení, která je 1500M. Upload by mi stačil i třeba 10mbps, furt lepší než nic. 60GHz jsem poptával, bohužel díky přítomnosti optiky v části města a přítomnosti spolku, co poskytuje internet za 200,-Kč/m zřejmě nevyplatí stavět.

Ten upload není pro mě dlouhodobě akceptovatelná situace, proto přemýšlím nad alternativou formou koupí GSM routeru s 5G, nebo bezdrátem od O2, který sice prezentuje rychlost 100/10, ale k O2 mám dlouhodobě skepsi.

Nemáte někdo s podobnou situací zkušenost? Jak jste ji vyřešili?

Díky!

někteří operátoři umožňují vrácení modemu a zrušení služby do 14 dnů při nespokojenosti. takže vybrat operatora ktery to umoznuje, objednat sluzbu a behem 14 dnu vyzkouset.

12
Sítě / Re:Jak na DNS v interní síti
« kdy: 31. 01. 2023, 13:37:50 »
Dobry den.
Vytvoril bych 3 zony.
Pro kazdou zonu by byl master v te lokalite, kterou by zona obsluhovala a ve zbyvajicich  2  lokalitach by byly slave te zony.
To znamena, ze kazda konkretni lokalita by byla sobestacna a informace o okolnich lokalitach by mela jako slave resene transferem.
Kazde dhcpd by bylo parovane s zonou popisujici konkretni lokalitu.
Bohuzel nevim, jak toto umi mikrotik?
marek

Mikrotik nevie autoritatívne zóny, ani transfery, bohužiaľ. Svojimi schopnosťami sa podobá skôr DNS časti dnsmasq (až na ten drobný detail, že nie je integrovaný so svojim dhcp serverom, na rozdiel od dnsmasq).

Čo však vie, je forwardovať dotaz pre subdoménu (alebo regex) na špecifický DNS, takže by som to neriešil cez slave zones, ale obyčajným forwardom. Je šanca, ze pokiaľ forward skonči chybou, tak to nevadí, aj tak by ani resolvovaný host nebol dostupný.

Mikrotik má ešte jedno obmedzenie, ktoré si treba premyslieť: FWD dotazy nefungujú, pokiaľ samotný DNS používa DoH.

Super pouvažuju nad tím forwardem, kdyby to umělo DoH tak by to bylo jasná volba, takže ještě zvažuju jestli FWD bez DoH nebo v public DNS a pak klidně i DoH. Dělat nějaké změny v public DNS je taky docela opruz kvůli 2FA přihlášení.

13
Sítě / Re:Jak na DNS v interní síti
« kdy: 31. 01. 2023, 13:32:54 »
Zdravím,

Vím, že je to zde tak trochu zakázané slovo, ale co Windows Server? Možná je to lehce overkill, ale zde by měla být ta možnost nastavení vnitřního DNS + dotazování externího rekurzivního DNS serveru, pokud se nejedná o vnitřní doménové jméno. V tom případě by stačilo mít jako primární DNS server nastavený Windows server a eventuelně jako sekundární nějaký externí záložní, pokud by konektivita k Windows serveru vypadla.

Obdobná funkcionalita by měla jít nastavit na BIND serveru, ale zde si nejsem 100% jistý.

Nechci do každé lokality dávat ani raspberry s autoritativním dns pro danou zónu, natož provozovat 3 další windows server. Snažím se být minimalista v tom, že nechci se starat o hardware který nezbytně nepotřebuji, připadně mít co nejjednodušší a spolehlivý hardware který zvládne co je v dané lokalitě potřeba a nebude žrát moc. Třeba na chalupě je pouze nvr rekordér a žádný server tam nemám ani nechci.

14
Sítě / Re:Jak na DNS v interní síti
« kdy: 31. 01. 2023, 09:33:22 »
Proč ne jeden mikrotik jako primary DNS server a ostatní jako secondary ?
/etc/hosts a její distribuce ?
Nebo se vám ty záznamy tak často mění / je jich tolik ?

Nemám 100% rock solid připojení ani v jedné lokalitě. 2 lokality jsou na wifi, třetí na xdsl. pokud některý propoj mezi lokalitami spadne a primární DNS bude nedostupný, neresolvuju ani jména v lokální siti dané lokality pokud to nebude zrovna ta s primárním dns serverem. Proto chci řešení kdy výpadek jedné lokality nijak neovlivní zbylé ostatní. Také mi to pro spolehlivost příjde jako vhodné, že můžu kdykoliv kteroukoliv lokalitu cílěně odpojit od zbytku sítě a ta bude dál izolovaně fungovat.
Něco jako /etc/hosts nepřipadá v úvahu. V síti jsou různá zařízení s různými OS, nedokážu si představit to spravovat. Na mnoha embeded zařízeních ani nic takového nastavit nejde. To už je lepší papír se seznamem IP adres. BTW když sečtu kolik všechny dhcp servery přidělují adres tak to bude dohromady hodně přes 100. ono se to nasčíta, všechny mobily,  počítače, managed prvky sítě, virtuální stroje, kamery, chytré žárovky, zásuvky a jiné IoT blbiny... Chci se taky zbavit toho aby v nastavení těch IoT blbin byli uvedeny IP adresy, raději tam chci jména protože to mi pak komplikuje jakékoliv změny v síti a přesuny zařízení do jiných subnetů jak bych optimálně potřeboval. "Serverů" pro které budu mít DNS záznam bude tak 10-15.

15
Sítě / Re:jak na DNS v interní síti
« kdy: 30. 01. 2023, 19:03:24 »
...
Mimochodem, tohle řešení má i tu výhodu, že na ta doménová jména můžete vystavovat důvěryhodné certifikáty (třeba přes Let's Encrypt) ...

Díky za tip. Až teď jsem se dozvěděl že letsencrypt není potřeba validovat přes soubor na webu ale jde to i přes DNS.
Tohle mi docela vytrhne trn z paty, https ve vniřní síti beru jako takový must have opruz aby některé správně věci fungovali v nových verzích prohlížečů (webové rozhraní ip kamer, a jiných bazmeků). navíc lets encrypt při ověřování přes DNS umí generovat wildcard certifikáty, takže mi bude stačit jeden cert pro každou site.
Navíc mi pořád zůstává možnost si do jednoho mikrotiku namlátit statické záznamy pro testování kdy nechci čekat na propagaci DNS záznamů.

Stran: [1] 2