Příspěvky

1

Software / Re:AdBlock Plus a iDnes

« kdy: Dnes v 08:21:08 »

Blokuju vzdy a vsude - Opra + uBlock Origin + Ghostery
Stejne na reklamy neklikam a na strankach je ignuruju. Tak proc maji odvadet mou pozornost od informaci, ktere hledam a potrebuju. Kdyby jich bylo rozumne mnozstvi, tak bych nemel potrebu je blokovat

2

Sítě / Re:Zjištění IP adresy smart switche

« kdy: 25. 04. 2019, 07:49:48 »

A neni lepsi mit v poradku dokumentaci site a navody k aktivnim prvkum?
Poradek je pro debily, inteligent zvlada chaos a pise na forum

3

Server / Re:/etc/cron.daily/logrotate chyba do mailu

« kdy: 23. 04. 2019, 21:01:43 »

Pro lenochy

Kód: [Vybrat]

cp /etc/mysql/debian.cnf /root/.my.cnf
Pak by melo fungovat prihlaseni roota do mysql bez hesla a mozna to i pomuze/vyresi danou chybu

Za vyzkouseni nic nedas, ja tuhle chybu, co popisujes vidim v ISPconfigu poprve

4

Server / Re:SFTP vs FTP bezpečnost

« kdy: 23. 04. 2019, 08:36:46 »

... pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje

Nebudete kontrolovat, protože budete mít přihlašování klíčem.

Aha, to jsem nevedel, ze pri kazdem zahajeni prihlasovaci sekvence demon 'nestartuje'. Ze pro klice se to chova jinak

5

Server / Re:SFTP vs FTP bezpečnost

« kdy: 21. 04. 2019, 20:34:02 »

Nejsem uplnej deb.., pokud napisu IMAP, POP3, SMTPAuth tak predpokladam jejich sifrovane verze. Priste budu psat presneji, aby nedochazelo ke spatnemu vykladu

Prestanu pouzivat fail2ban, ktery neuspesne pokusy o prihlaseni po nekolika, pokusech "zarizne" na urovni iptables, ale nebudu to resit a pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje

• Treba 1000 pokusu o neuspesne prihlaseni z jedne konkretni IP v definovanem casovem intervalu je OK, demon to prece vyresi a nic to nestoji
• "Zariznout" IP po nekolika malo neuspesnych pokusech o prihlaseni a demona tim neobtezovat je spatne

Clovek se stale uci, dekuji

6

Server / Re:SFTP vs FTP bezpečnost

« kdy: 21. 04. 2019, 11:02:10 »

Dovolím si odpovědět za pana Jirsáka. Otázka zní spíš opačně, k čemu je fail2ban dobrý? Pokud má zabránit prolomení hesla pomocí brute force, tak správné řešení je neumožnit to vůbec a umožnit přihlašování pouze pomocí klíčů. Pokud je nezbytně nutné někomu povolit přihlášení heslem, tak jedině z nějaké dané IP adresy. A nebo taky máme VPN. Takže existují správná řešení a potom existují špatná řešení, která se pořád někdo snaží pomocí různých nástrojů (pracovně jim říkám rovnák na vohejbák) učinit použitelnými.

Dekuji za vysvetleni - priste jiz fail2ban nebudu pouzivat, a vse necham na ssh daemonovi, aby odmital pokusy o prihlaseni. Pochopil jsme to spravne?

A co treba FTP, IMAP, POP3, SMTPauth? Jak tam?

7

Server / Re:SFTP vs FTP bezpečnost

« kdy: 21. 04. 2019, 09:28:04 »

Můžete být konkrétní, co z toho, co jsem napsal v této diskusi, je napůl teorie a napůl demagogie nebo hloupost/lež?

Treba mi zkus vysvetlit, proc je fail2ban spatny - bylo by to primosnejsi, nez mne neustale napadat za jeho doporuceni

8

Server / Re:SFTP vs FTP bezpečnost

« kdy: 19. 04. 2019, 06:48:16 »

A co si tak treba o fail2ban alespon precist manualovou stranku?

fail2ban  -  a  set  of server and client programs to limit brute force authentication attempts.

Vy jste nepoučitelný. Přečetl jste si to, co jste zkopíroval? Umíte si přeložit, že „authentication attempts“ znamená např. „pokusy o autentizaci“? V jakém světě „bušení na porty“ v kontextu síťové komunikace znamená „pokusy o autentizaci“?

Pro vaši informaci, fail2ban obvykle zmaří opakované pokusy o navázání spojení, protože po několika neúspěšných pokusech na firewallu na daném zařízení zablokuje příslušnou zdrojovou IP adresu (což je výborné ve světě zamořeném NATy). Nezabrání ale tomu, aby paket zahajující spojení přišel. To by musel komunikaci zablokovat někde dřív, třeba na síťovém firewallu. Pak by útočník „nebušil na porty“ cílového serveru, ale jenom na síťový firewall.

fail2ban může ještě fungovat tak, že když se útočníkovi nepodaří vůbec navázat TCP/IP spojení, nebude to s dalším heslem už ani zkoušet. Což ovšem vyžaduje určitou inteligenci od útočníka, a inteligentní útočník nejspíš nebude ani zkoušet různá hesla, když server autentizaci heslem vůbec nepodporuje.

Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.

Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
Zeme proste neni placata...

9

Server / Re:SFTP vs FTP bezpečnost

« kdy: 18. 04. 2019, 21:59:05 »

Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban

…který ovšem „bušení na porty“ (tedy pokusům o navázání spojení) nijak nezabrání.

A co si tak treba o fail2ban alespon precist manualovou stranku?

fail2ban  -  a  set  of server and client programs to limit brute force authentication attempts.

10

Server / Re:SFTP vs FTP bezpečnost

« kdy: 18. 04. 2019, 21:44:36 »

Jen jsem zapomnel na jednu vec:
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban

11

Server / Re:SFTP vs FTP bezpečnost

« kdy: 18. 04. 2019, 21:11:08 »

A jeste jsi zapomnel:

Pokud jste paranoidni, tak schovat vse do VPN (OpenVPN)

12

Server / Re:SFTP vs FTP bezpečnost

« kdy: 18. 04. 2019, 20:50:26 »

FTP over SSL nebo SFTP je podle meho nazoru rovnocenne z hlediska nebezpeci odposlechu hesla

Obecne je dobre tyto sluzby oddelit, SSH (SFTP) pro roota a FTP over SSL pro bezne usery

Urcite ale SSH s klicem, ne s heslem

13

Server / Re:Cron → shell → screen nefunguje

« kdy: 17. 04. 2019, 00:02:21 »

Pro Debian like OS

Kód: [Vybrat]

dpkg-reconfigure dash
Use dash as the default system shell (/bin/sh)? <- no

Dash shell casto pusobi "problemy"

14

Sítě / Re:Zjištění IP adresy smart switche

« kdy: 16. 04. 2019, 17:25:02 »

To je takovej problem si precist navod?

15

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 13. 04. 2019, 10:29:04 »

Miktorik OpenVPN umi, ale jen na TCP