Příspěvky

616

Software / Re: Avidemux, DVB-T Stream, audio out of sync

« kdy: 01. 10. 2011, 22:11:32 »

ProjectX

http://oskar.blog.root.cz/2011/01/01/archivujeme-televizni-porady/

617

Software / Re: StarTLS problém Thunderbird

« kdy: 30. 09. 2011, 13:58:29 »

- do .crt souboru dal celý chain až po root

Jojo, přesně tak se to ve většině SSL implementací dělá, normálně se do souboru s cerifikátem nacpe víc certifikátů za sebe. Taky mě to nejdřív překvapilo a říkal jsem si, že to přece nemůže být tak jednoduché.

Jedinou výjimkou je konfigurace LigHTTPd, kde používají dva soubory takto:

Kód: [Vybrat]

$SERVER["socket"] == "[::]:443" {
        ssl.engine  = "enable"
        ssl.pemfile = "/etc/lighttpd/server.pem"
        ssl.ca-file = "/etc/lighttpd/ca-chain.pem"
}

Přičemž v souboru server.pem je za sebou nejprve certifikát serveru a pak jeho privátní klíč a v souboru ca-chain.pem jsou za sebou jen certifikáty autorit, které vydaly certifikát serveru.

618

Software / Re: StarTLS problém Thunderbird

« kdy: 26. 09. 2011, 15:16:07 »

Problém může být v tom, že:

• Thunderbird používá vlastní uložiště certifikátů, nezávislé na OS
• Server nemá certifikát vystavený přímo kořenovou autoritou, ale nějakou intermediate CA, a přitom neposílá úplný řetězec certifikátů.

Druhý bod se dá ověřit pomocí:

Kód: [Vybrat]

 $ openssl s_client -starttls imap -connect server.example.com:imap
CONNECTED(00000003)
depth=2 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/description=456053-98pq1g81h0TmyoEo/CN=vm.oskarcz.net/emailAddress=hostmaster@example.com
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
 1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
 2 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
---

Opravit je to možné buď přidáním intermediate CA do uložiště důvěryhodných CA, nebo lépe opravou nastavení serveru tak, aby posílal celý řetěz.

619

O serveru Root.cz / Nekvalitní názory se nepodsvětlují

« kdy: 24. 09. 2011, 11:38:29 »

A máme tu další nový problém (nebo vlastnost?). Při najetí myši nad názor pod článkem, který je systémem vyhodnocen jako nekvalitní, se nově nevysvítí, takže je ho nutné luštit ve ztmavené variantě.

620

O serveru Root.cz / Odhlášení při přechodu z Root.cz na fórum

« kdy: 19. 09. 2011, 09:41:01 »

Již několik týdnů sleduji poměrně nempřijemný jev. Přihláasím se na roota (je jedno jestli klasickým účtem, nebo přes mojeid) kliknu na téma ve fóru na titulce - otevře se odhlášené fórum. Přihlásím se ve fóru, kliknu na horní liště na roota - otevře se odhlášený root.

Nepřepisují si ty aplikace nějak vzájemně cookies?

621

Software / Re: Změna velikosti šifrovaného oddílu

« kdy: 20. 08. 2011, 22:32:09 »

Nezkoušel jsem to, ale nevidím důvod, proč by neměl fungovat následující postup:

• Poznamenej si počáteční sektor oddílu s LUKS, který chceš rozšířit.
• Tento oddíl v fdisku zruš a znovu vytvoř větší, který bude začínat na stejném sektoru
• LUKS takový oddíl v pohodě namapuje, pro něj jsou důležitá metadata na začátku. Nové volné místo se při čtení bude snažit dešifrovat, takže se při čtení bude tvářit jako náhodný obsah. To ale nevadí, filesystém má v metadatech zapsanou svou velikost a za ni se přistupovat nesnaží.
• Pomocí nástroje pro resize filesystému (např. resize2fs) změň velikost filesystému na celou velikost oddílu.

Stejným způsobem fungují všechny postupy pro LVM, ono totož to LVM neudělá nic jiného, než že při resize přidá na konec LV další místo. To je totéž, jako když fdiskem přezaložíš oddíl na větší a zachováš přitom stejný počáteční sektor.

622

Software / Re: OpenSSL a digitální podpis emailu

« kdy: 20. 08. 2011, 11:51:49 »

alfi: Taky jsem si to myslel, ale když jsem prozkoumal certifikáty, co jsem porůznu dostal. povětšinou tam CN buď vůbec není (třeba od StartSSL), nebo tam je ve tvaru „Jmeno Prijmeni“

PK: Thunderbird zřejmě potřebuje X509v3 rozšíření, můj certifikát od StartSSL tam má toto:

Kód: [Vybrat]

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 176641 (0x2b201)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Client CA
        Validity
            Not Before: Jul  3 14:34:36 2011 GMT
            Not After : Jul  4 18:20:09 2012 GMT
        Subject: description=456040-rNsScZR5tC2aNS95/emailAddress=ondrej.caletka@xxx.xx
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a9:74:0a:6b:51:a8:cf:51:6e:8f:d0:3f:5b:27:
                    be:14:51:dd:41:81:cc:29:cd:0c:35:d4:4d:ee:f4:
                    b1:ce:1b:73:45:3b:f6:0c:ba:f7:c4:98:f5:86:f8:
                    9d:5a:9d:35:bb:03:9d:d7:5c:1b:f1:b0:0b:4b:0a:
                    b4:df:ed:9a:58:ff:6c:18:dc:72:c4:cf:34:53:f1:
                    50:34:f2:fe:96:26:ce:84:1b:cc:55:ab:a9:25:57:
                    2c:df:25:53:4b:30:5b:ef:40:3b:e9:22:d9:aa:21:
                    a0:32:b8:d3:24:70:b0:89:ff:d6:08:be:f6:c5:66:
                    e8:7e:3f:0e:52:bd:a0:5f:34:a0:b9:da:c8:4b:20:
                    de:9b:21:49:12:be:11:5d:69:6a:01:c5:ba:cd:1d:
                    a3:0c:20:98:16:6e:ac:67:9f:91:06:39:4e:96:e0:
                    2a:b6:0c:46:3b:41:e4:89:f4:48:70:16:8c:6e:f8:
                    da:e5:ae:4e:46:81:c8:f9:7e:7d:91:dd:9c:1b:79:
                    da:3e:dc:77:48:df:2e:6d:4a:f9:5c:81:42:8c:b3:
                    ed:56:61:34:4c:26:f5:b8:8d:a6:6d:5f:f6:e3:da:
                    ca:02:5d:8b:f5:a3:c3:be:e4:46:80:b3:8b:8f:30:
                    34:cf:e8:56:0e:4e:70:89:4e:27:ce:9f:60:57:26:
                    63:e5
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication, E-mail Protection
            X509v3 Subject Key Identifier: 
                4C:22:C3:C0:68:5F:BE:28:16:A3:F2:65:BA:1D:9C:05:D5:87:63:46
            X509v3 Authority Key Identifier: 
                keyid:53:72:ED:92:9C:E0:DA:CB:01:5C:7C:7E:96:35:4E:F2:D4:B8:51:82

            X509v3 Subject Alternative Name: 
                email:ondrej.caletka@xxx.xx
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.23223.1.2.2
                  CPS: http://www.startssl.com/policy.pdf
                  CPS: http://www.startssl.com/intermediate.pdf
                  User Notice:
                    Organization: StartCom Certification Authority
                    Number: 1
                    Explicit Text: This certificate was issued according to the Class 1 Validation requirements of the StartCom CA policy, reliance only for the intended purpose in compliance of the relying party obligations.
                  User Notice:
                    Organization: StartCom Certification Authority
                    Number: 2
                    Explicit Text: Liability and warranties are limited! See section "Legal and Limitations" of the StartCom CA policy.

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://crl.startssl.com/crtu1-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class1/client/ca
                CA Issuers - URI:http://aia.startssl.com/certs/sub.class1.client.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/

623

Software / Re: Openssl a digitální podpis emailu

« kdy: 19. 08. 2011, 12:40:52 »

Zkus při vytváření certifikátu do řádku Subject vecpat e-mailovou adresu, třeba takto:

Kód: [Vybrat]

openssl ... -subj /emailAddress=example@example.com/CN=Joe Example/C=CZ/ST=Ceska republika ...

Pokud tam není pole emailAddress (a OpenSSL ho standardně nevytváří), nemá MUA jak poznat, že certifikát patří dané e-mailové adrese.


Pozn: Nezkoušel jsem to prakticky, jen jsem se podíval, jak vypadají certifikáty, co už mám. Jestli to pomůže, dej vědět.

624

Hardware / Re: Jaky USB DVB-T prijmac

« kdy: 19. 08. 2011, 09:57:07 »

Chceš-li být future-proof, doporučuji koupit za necelé 2K PCTV nanoStick 290e, ovladače jsou od verze 3.0 v kernelu, jsou celkem použitelné a stále se vylepšují. Za nějaký ten rok dva, až spustí MUX v DVB-T2 se bude hodit.

Chceš-li co nejvíce ušetřit, kup USB DVB-T STICK z eBay za cca 300 Kč, krabičky vypadají stále stejně, ale střeva se diametrálně liší, nicméně snad ke všem dosud známým variantám existují funkční ovladače pro linux. Jen dej pozor, aby byla součástí balení redukce na IEC konektor pro připojení normální antény, protože ten přiložený pendrek je na pendrek .

625

Odkladiště / Re: Anketa - Internet Banking v Linuxu

« kdy: 12. 08. 2011, 14:00:36 »

AXABank - Bez problému (tedy samotná aplikace IB je hrozně zprasená, ale to je nezávislé na klientském OS)
ZUNO - Sice varuje, ale funguje bez problému.

626

Hardware / Re: Zapojení UPS do série

« kdy: 12. 08. 2011, 13:56:51 »

Ondra: nevíš, byli to standby, nebo lineinteractive? Ty druhý jmenovaný by to IMHO už měli zvládnout, ale je to jen teoretickej dohad.

Byly to tuším dvě APC SmartUPS V/S 420, nebo možná byla jedna z nich APC BackUPS Pro 1000.

Přiznám se, že netuším, jaký je rozdíl mezi stand-by a line-interactive, obě řadím do kategorie offline.
Pokud bude UPS2 typu Online, asi by nemusela mít problém.

627

Distribuce / Re: Jak rozjet zkopírovaný linux?

« kdy: 11. 08. 2011, 11:59:25 »

To vypadá na problém s odlišnou geometrií. Vytvoř na druhém disku nový oddíl a překopíruj všechna data pomocí cp -ar, jak bylo uvedeno výše. Pak přeinstaluj zavaděč a bude vše OK.

628

Hardware / Re: Zapojení UPS do série

« kdy: 11. 08. 2011, 11:05:56 »

Výstup z levnejch UPS je většinou stupňovitá sinusovka, další levná UPS v sérii by teoreticky s ní mohla mít problémy (hlavně s detekcí podpětí, přepětí), ale nečekal bych to.

Z praxe potvrzuji, že to nebude fungovat. Běžné levné UPSky vyrábějí tak "špatné" síťové napětí, že z něj ta druhá UPS odmítne běžet (přepne se na baterky pro nízkou kvalitu vstupního napětí).

Potvrzuji, mám stejnou zkušenost: sériovým zapojením vznikne něco jako astabilní klopný obvod:

• UPS1 jede náprázdno, UPS2 z baterie napájí spotřebiče.
• UPS2 vyhodnotí přítomnost napájení a přepne na „síť“, tedy na UPS1.
• Odběrový ráz na UPS1 způsobí krátkodobý pokles jejího výstupního napětí.
• Tento pokles vyhodnotí UPS2 jako ztrátu napájení a přepne na baterii.
• Celý cyklus se opakuje.

Nebylo by lepsi z jedne UPS vytahnout jen ven v nejake chranicce draty a pripojit poradne baterie s velkou kapacitou, takovy po domacku udelany battery pack? (treba  80Ah, nebo spojit vice malych apod), bude se to dele nabijet, ale to snad nevadi.

To taky nemusí být dobrý nápad, ostatní komponenty UPSky (hlavně spínací tranzistory) jsou obvykle dimenzovány na dobu provozu, která je dána velikostí baterie a výkonem měniče. Pokud kapacitu baterie dramaticky zvýšíš, může se stát, že se něco přehřeje. Možná by pak pomohlo přidat ještě nějaký ventilátorek, ale to už je možná lepší poohlédnout se po nějaké větší UPSce.

629

Server / Re: Rsync přes SSH nefunguje

« kdy: 10. 08. 2011, 14:20:53 »

Je vůbec nutné zadávat nějaký parametr příkazu rsync pro přenos přes SSH?

Já linux používám od roku 2000 a už od té doby byly nezabezpečené r-příkazy, jako rlogin či rsh defaultně zakázány. Kdykoli použiju rsync, spojí se pomocí SSH bez jakéhokoli nastavování.

630

Sítě / Re: Ochrana proti upraveným paketům

« kdy: 05. 08. 2011, 15:16:18 »

http://en.wikipedia.org/wiki/Valve_Anti-Cheat
http://en.wikipedia.org/wiki/PunkBuster

Jsem si téměř jist, že ani jeden odkazovaný anticheat ve skutečnosti nefunguje. Ten druhý dokonce skenuje pamět klienta na známé hacky, ale co když k pozměnění dojde na cestě? O tom prvním se pro jistotu nic neví, takže jediná vrstva zabezpečení, kterou to přináší, je security by obscurity.