Příspěvky

391

O serveru Root.cz / Re:Lišta o blokování reklamy

« kdy: 05. 06. 2014, 17:43:03 »

A jak vysoká taková částka z reklam na čtenáře bývá? Třeba si tu někteří lidé cení svého soukromí více.

To je zajímavá konstrukce. Takže když si někdo hodně cení soukromí, neposkytne v zásadě anonymní data reklamnímu systému, ale radši pod svým jménem ze svého účtu nebo platební karty pošle peníze vydavateli, aby ten přesně věděl, kdo jsou jeho čtenáři? Kde je to přidané soukromí?

392

Sítě / Re:Projekt Turris: mám se zapojit?

« kdy: 27. 05. 2014, 16:54:59 »

Takže cenzuru zavedou přímo členové NIX?
Jenže osoby v NIX stojí za NIC.CZ a ten za Turrisem, takže zase Turris...., pletu se?

Znovu opakuji, uživatel routeru Turris má plná rootovská oprávnění nad svým routerem. Jak v takovém prostředí chcete efektivně implementovat cenzuru?

Cenzura se obvykle neimplementuje na úrovni státu, ale až na propojích přesahující státní hranici. Pro nevhodný obsah ležící na území daného státu totiž obvykle existují mnohem účinnější prostředky, jak se ho zbavit (příklad za všechny - Growshopy a odstranění domény z registru CZ.NIC).

393

Sítě / Re:Projekt Turris: mám se zapojit?

« kdy: 27. 05. 2014, 12:45:20 »

Bude-li chtít někdo cenzurovat, jistě to bude dělat na straně ISP, nebo ještě lépe na každé lince překračující státní hranice. Implementovat cenzuru na pouhé tisícovce routerů, ke kterých navíc mají uživatelé neomezený rootovský přístup, je naprostý nesmysl.

A v případě cenzury existují projekty jako Telex, jehož klienta můžete klidně na Turrisu provozovat.

394

Hardware / Re:Jakou kopírku pro bezproblémový tisk z Linuxu?

« kdy: 07. 05. 2014, 13:29:04 »

Má to být především kopírka, obsluhovaná neškoleným personálem. Takže dvě oddělená zařízení a xsane nepřipadají v úvahu. Zároveň jde o heterogenní prostředí, takže by neměl být problém tisknout ani z Windows. Se skenováním obvykle není problém, stačí posílání e-mailů se skeny.

A kdyby bylo potřeba mít něco výkonnějšího, vždycky se dá koupit síťová tiskárna se scannerem a podporou Postscriptu.

Ano, přesně takový stroj sháním  Jen bych rád konkrétní model a případně i zkušenosti.

395

Hardware / Kopírka pro bezproblémový tisk z Linuxu

« kdy: 07. 05. 2014, 12:52:40 »

Řešíme pořízení nové kopírky. Stávající Canon iR C2380 nevyhovuje zejména problematickou kompatibilitou s Linuxem. S open source ovladači tiskne jen černobíle a pouze rasterizované tisky. Pro použití ovladačů od výrobce musíte mít tu správnou výrobcem podporovanou distribuci a dva dny nervů na rozchození.

Máte někdo tip na zařízení podobné velikosti, schopností (tedy A3 barevně) a zároveň bezproblémovým provozem v Linuxu?

396

Sítě / Re:IPTABLES - 100000 IP adres -j DROP

« kdy: 29. 04. 2014, 12:43:01 »

Odpověď zní ipset.

397

Vývoj / Re:Jak zabít příkaz po x sekundách?

« kdy: 23. 04. 2014, 11:02:35 »

Kód: [Vybrat]

$ ping 1.1.1.1 & sleep 2 && kill %1

398

Sítě / Re:Zdrojová IPv6 adresa

« kdy: 17. 04. 2014, 09:10:57 »

Po precitani tychto dvoch clankov
http://biplane.com.au/blog/?p=122
http://biplane.com.au/blog/?p=30
som dospel k zaveru ze s /etc/gai.conf sa to nastavit neda.

Skusil som teda ip addrlabel bez toho aby som menil gai.conf a to nakoniec zafungovalo. Konkretne:

$ ip addrlabel add prefix <source> label 99
$ ip addrlabel add prefix <destination> label 99

Díky, tohle jsem si neuvědomil. Soubor gai.conf ovládá chování knihovní funkce getaddrinfo, která slouží k výběru cílové adresy. Výběr zdrojové adresy je na jádře a to samozřejmě gai.conf nečte.

399

Vývoj / Re:Klon GitHubu na svém server

« kdy: 14. 04. 2014, 16:14:22 »

Je moznost jak to hostovat cele zdarma u sebe?
Abych se to na tom naucil a pak mohl prijit k placene verzi githubu a vse mi bylo jasne?

Je možné snadno na svůj server nainstalovat třeba Gitolite. Ale nemá to webové rozhraní.

400

Sítě / Re:Zdrojová IPv6 adresa

« kdy: 14. 04. 2014, 16:00:21 »

Zkusil bych do souboru /etc/gai.conf vložit toto:

Kód: [Vybrat]

label  ::1/128       0
       label  ::/0          1
       label  2002::/16     2
       label ::/96          3
       label ::ffff:0:0/96  4
label <zdrojová adresa> 99
label <cílová adresa> 99

Tím dostanou obě adresy stejný label a budou tedy pro sebe preferovány podle pravidla 6 v RFC6724. Ale nezkoušel jsem to. A nejsem si jist, jestli je možné přiřadit stejný label více prefixům.

401

Server / Re:Veľmi pomalé načitávanie smokeping.cgi

« kdy: 07. 04. 2014, 21:39:37 »

Pravděpodobně provozuješ smokeping v režimu CGI namísto doporučovaného režimu FastCGI. Pak se při každém načtení stránky provádí časově náročná inicializace.

402

Server / Re:DNSSEC: Jeden klíč pro více domén

« kdy: 07. 04. 2014, 16:47:28 »

Obecně záznam typu DNSKEY nemá vazbu k doménovému jménu (narozdíl od DS záznamu, v němž je jméno domény zahashováno).

Takze "naklonovat" se spravnou domenou a stejnym klicem pro kazdou zonu?

Pokud používáš utility na podepisování z BINDu (dnssec-signzone), je asi nejbezpečnější soubory s klíčem naklonovat  a uvnitř veřejného změnit jméno držitele. S jinými postupy byly kdysi nějaké problémy (ale už jsem zapomněl s kterými a jaké). Další možností je třeba OpenDNSSEC, který sdílení klíčů podporuje jen zapnutím příslušné konfigurační volby.

Jen nezapomen jednou za nejakej cas klice menit.

V tomhle bych doporučoval střídmý přístup. Zejména u rotace KSK se komunita pomalu ale jistě přesouvá od doporučení výměny jednou ročně k doporučení vyměňovat klíče až v případě nutnosti (například při podezření na kompromitaci). Ostatně kořenová zóna se už taky blíží k pěti letům a i když běžely nějaké veřejné konzultace, stejně se do té rotace moc nikomu nechce

403

Server / Re:[DNSSEC] Jeden klic pro vice domen

« kdy: 06. 04. 2014, 10:15:32 »

Ano, běžně se používá jedna sada klíčů pro víc domén. Pokud jsou domény pod tvojí správou, tak to není nic divného.
Když se podíváš, tak velcí DNS hosteři/registrátoři, pokud u nich máš i DNS servery a podepisují, tak podepisují za tebe jednou sadou hromady domén.

Přesně tak. Podepisování všech zón stejnou sadou klíčů nepředstavuje žádné zásadní omezení bezpečnosti, naopak umožnuje použít i třeba menší HSM s omezenou kapacitou. V případě CZ a EU domény je takový postup i podoporován registrem, kde lze založit keyset s veřejnou částí KSK klíče a ten pak přiložit k vícero doménám.

U jiných TLD je potřeba do registru poslat přímo DS záznamy, které jsou pro každou doménu unikátní, takže tam se komunikace s registrem nezjednoduší.

404

Server / Re:IPtables blokují připojení k FTP

« kdy: 29. 03. 2014, 10:46:30 »

Je mezi serverem, na kterém to rozcházíš a klientem nějaký NAT? Předpokládám, že ne.

Který režim klienta nefunguje? Přepokládám, že pasivní; ten je snad už i v Total Commanderu jako výchozí.



Aby fungoval aktivní režim, stačí povolit příchozí provoz na port 21, v odchozím směru musí být povoleno vytváření nových spojení z portu 20 na vysoká čísla portů.

Aby fungoval pasivní režim je třeba povolit příchozí provoz na port 21 a dále na porty vyjmenované v konfiguraci FTP serveru.

Tedy, zřejmě to děláš správně a bude tam nějaký malicherná zrada. Nepřijdeš-li na to sám, pošli kompletní nastavení firewallu, ne jen vybrané řádky a bez obfuskací.

405

Sítě / Re:Wifi router pro OpenWRT

« kdy: 17. 03. 2014, 12:11:00 »

Jj 2,4 staci, zapomel jsem napsat. Na tenhle kousek jsem koukal. Funguje na nem managed switch na openwrt ?

Otázka, co si představuješ pod pojmem managed. Switch umí VLANy, libovolný port je možné přepnout do režimu 802.1q. Nic pokročilejšího s ním ale dělat nejde.