Příspěvky

1786

Sítě / Re:Jak co nejlevněji zpřístupnit stroj za NAT

« kdy: 22. 06. 2020, 16:12:34 »

Jestli jsem to správně pochopil, tak není potřeba nic psát a dá se to zvládnout pomocí HAProxy.

Nebo apache + mod_proxy, taky v pohodě, včetně lokálního /.well-known (patrně nginx a squid budou použitelné taky, ale to nemám otestované na vlastní klávesnici)

Pokud vím, Apache, nginx ani Squid to pokud vím neumí. Tam musíte SSL zakončit na serveru (tj. musí mít privátní klíč), případně v nginxu můžete poslat dál celý TCP provoz (tj. nepotřebujete privátní klíč), ale zase nedokáže podle SNI hlavičky provoz směrovat na správný backend.

HAproxy to myslím umí, umí to i další aplikace (stačí hledat „SNI proxy“). Ale je potřeba k tomu mít ten management – asi to nechcete poskytovat jako službu pro desítky lidí tak, že dáte všem právo editovat konfigurační soubor HAproxy.

1787

Vývoj / Re:Spring framework - spomalení kódu

« kdy: 22. 06. 2020, 14:30:49 »

Těžko radit, když nevíme, co ten kód dělá. Jestli volá classloader, ServiceLoader, může se tam použít jiná závislost (XML parser, JSE). Rozdíl může být třeba i v tom, že kód spouštíte s jiným nastavením GC nebo prostě spouštíte větší aplikaci, která má větší nároky na paměť – a GC musí paměť během vašeho testu i uvolňovat.

1788

Sítě / Re:Jak co nejlevněji zpřístupnit stroj za NAT

« kdy: 22. 06. 2020, 08:38:27 »

Nejlepší by bylo, kdyby to někdo udělal jako službu a ty VPSky by se sdílely

Kdybyste pro každého uživatele potřeboval individuální IPv4 adresu, pěkně by se to prodražilo. Chtělo by to TCP přesměrovávač, který si z HTTPS SNI hlavičky přečte, kam dál provoz směrovat, a propojí to do tunelu. Ať to vše může běžet na jedné IPv4 adrese. Uvažoval jsem, že něco takového napíšu pro naši komunitní síť, ale seznam TODO je dlouhý…

1789

Sítě / Re:Jak co nejlevněji zpřístupnit stroj za NAT

« kdy: 22. 06. 2020, 08:35:18 »

Změna ISP není možná? Že nemá veřejné IPv4 adresy, to chápu. Že si nechá za veřejnou IPv4 platit, to chápu – ale pokud je fakt dynamická, to už je – zvlášť za tu cenu – docela drzost. No a že blokuje příchozí komunikaci po IPv6 ani to neumožňuje jedním kliknutím v administraci zrušit, to je tedy vrchol. Takže tu energii věnovanou hledání tunelu zdarma bych spíš věnoval změně ISP, pokud je to aspoň trochu možné – takovíhle ISP musí zaniknout, jinak se dál nedostaneme.

Pokud vám jde aktuálně jen o tunelování webového provozu, existují služby jako ngrok nebo Serveo. Některé umí přesměrovat i libovolný TCP provoz. Ale cenou se opět snadno dostanete nad ty 3 €.

1790

Vývoj / Re:Docker a systém v kontejnerech

« kdy: 18. 06. 2020, 09:08:17 »

Někomu by mohl pomoci pohled, že klasická virtualizace emuluje HW, kdežto Docker emuluje OS.

Docker neemuluje OS, spíš jeden existující OS rozdělí na několik částečně oddělených.

1791

Vývoj / Re:Docker a systém v kontejnerech

« kdy: 17. 06. 2020, 10:49:47 »

Kontejnery nemají vlastní jádro (běží pod jádrem hostitelského systému). Kontejner v Linuxu je jenom skupina procesů, které jsou izolované od ostatních procesů v systému. Možná znáte chroot – to je kontejner na úrovni souborového systému. Nějaký adresář v systému určíte jako kořenový adresář pro nějaký proces – a ten proces pak vidí jako kořenový adresář zvolený adresář a nemůže se dostat „výš“. (Samozřejmě pokud výš nevedou třeba pevné odkazy.) Kontejnery dělají to, že takhle oddělí skupinu procesů i v dalších oblastech – síťově, procesy (procesy ve skupině nevidí procesy mimo skupinu), uživatele atd. Přibližně si to můžete představit tak, že jádro zařídí, že určitá skupina procesů vidí systém tak, jako kdyby na počítači běžely jen tyto procesy, a vše ostatní je před nimi schované. (Ve skutečnosti to není tak jednoduché a dá se určit, co které procesy uvidí.)

V kontejneru si teoreticky můžete spustit jeden proces a bude to fungovat. Linuxové aplikace jsou ale většinou dělané tak, že používají sdílené knihovny a další aplikace. Takže když chcete spustit nějakou aplikaci v kontejneru, potřebujete, aby ten proces v souborovém systému, který vidí, měl i potřebné knihovny a další aplikace. Můžete mu poskytnout to, co máte ve svém systému. Ale kontejnerové technologie jako Docker nebo PodMan dělají to, že nainstalují bokem aplikaci a vše, co potřebuje. Takže ta instalace není závislá na vašem prostředí, ale vše potřebné si nese s sebou. Vy si tak nemusíte zaneřádit svůj systém věcmi, které nepotřebujete (potřebuje je jenom ta aplikace), a můžete pro tu aplikaci používat třeba knihovny v jiných verzích, než máte na svém systému.

No a když potřebujete aplikaci a všechny její závislosti, můžete si to poskládat ručně. Ale přesně tohle přece dělají linuxové distribuce. Takže se to velice často dělá tak, že vezmete nějakou hotovou distribuci, do ní si nainstalujete požadovanou aplikaci a její závislosti – a pak celý ten souborový systém vezmete a použijete ho pro kontejner. A to je to, čemu se říká, že máte „OS v kontejneru“. Tj. jádro máte pořád z vašeho počítače, ale soubory uvnitř toho kontejneru jste vytvořil pomocí nějaké distribuce – abyste se nemusel starat o závislosti.

Zmiňovaný Alpine Linux se často používá proto, že je to sama o sobě malá distribuce, takže v to kontejneru nemáte moc balastu. Když použijete nějakou velkou distribuci, ta už v základu (ještě než nainstalujete libovolný program) nainstaluje spoustu knihoven a utilit, které pak v tom kontejneru ve skutečnosti nebudou potřeba, jenom tam zabírají místo.

Ale dělají se i kontejnery „z čisté vody“, kdy si tam prostě ručně dáte ty soubory, které potřebujete. Pokud máte staticky slinkovanou binárku, která nemá žádné závislosti, stačí vám ta jediná binárka – pak je zbytečné k ní tahat nějakou distribuci. A nebo ta aplikace závisí na omezeném množství knihoven, tak si ten obraz vytvoříte ručně.

1792

Sítě / Re:IoT vs. bezpečnost

« kdy: 17. 06. 2020, 10:01:02 »

U domácích a SOHO sítí je „schované v LAN“ jenom iluze. Vy byste tu VPN použil jen pro řízení síťového přístupu k tomu zařízení – a to můžete snáze řešit na firewallu.

1793

Software / Re:Jak standardne ma fungovat instalovani sw ze zdrojoveho kodu?

« kdy: 13. 06. 2020, 16:03:55 »

Tak to ja jaksi blbost ze, mas na kazdem Linuxu nejak standarni adresarovou strukturu, a instalator by potom mel tuto strukturu dodrzovat. Takze nejaky standard tady byt musi, nerikej ze ne.

Pokud to sám víte lépe, proč se na to ptáte? Co já vím, tak to s tou standardní adresářovou strukturou není žádná sláva. Běžně binárky, které jsou v jedné distribuci v /bin, najdete v jiné distirbuci pod /user/bin atd. Proto má obvykle config volby, kterými je možné určit, kam se které části aplikace mají nainstalovat.

A v neposledni rade, je tady Debian Stable, opet jakasi standardizace toho co ma instalator delat.

Debian Stable je jedna z mnoha distribucí. Vývojář, který vyvíjí na Gentoo nebo Fedoře asi jako výchozí hodnoty zvolí spíš hodnoty ze svého systému – nemá žádný důvod řídit se zrovna Debianem.

1794

Software / Re:Jak standardne ma fungovat instalovani sw ze zdrojoveho kodu?

« kdy: 13. 06. 2020, 10:01:13 »

Instalování softwaru ze zdrojového kódu nemá fungovat nijak standardně. Je to hodně nestandardní operace a dělá se podle postupu pro ten konkrétní software, případně ještě upraveného pro vaši distribuci.

Co se týče Javy, není dobrý nápad binárku přejmenovávat – spousta aplikací s tím pak nebude umět fungovat. Resp. bude vám to fungovat asi jen pro přímé spuštění Javy z příkazové řádky, pro nic jiného. Je běžné mít Javu nainstalovanou ve více verzích, třeba v IDE si pak v konfiguraci projektu vybíráte, které JDK se má použít. Pro přepínání toho, která Java se použije na příkazové řádce, se pak obvykle používá wrapper, který podle konfigurace proměnných prostředí (obvykle přímo JAVA_HOME) spouští tu správnou verzi Javy. Např. v Gentoo se pro to používá eselect (resp. existuje speciální příkaz java-config).

1795

Sítě / Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

« kdy: 10. 06. 2020, 11:13:47 »

K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu si nemůžou vyhovět.

DNSSEC slouží k tomu, aby útočník nemohl v DNS podvrhnout falešné údaje (což je přesně to, co teď dělá váš ISP). Nedokáže ale nijak zabránit tomu, že se nedozvíte žádnou odpověď – když se dotaz nebo odpověď někde „ztratí“, DNSSEC s tím nic neudělá. A pro blokování hazardních webů stačí, aby se adresa nepřeložila. Obvykle se sice při blokování hazardního webu uživateli zobrazuje informační stránka, že byl přístup na základě zákona zablokován. Ale pokud se místo toho zobrazí uživateli chybová zpráva, že adresa neexistuje, zákon to také splní – jenom to není tak komfortní pro uživatele.

1796

Sítě / Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

« kdy: 10. 06. 2020, 11:09:51 »

Jak vyzkouším funkčnost DNSSEC? Ale podle tohoto to vypadá že to funguje. https://dnssec-analyzer.verisignlabs.com/matejckovi.eu

Tenhle test to ale ověřuje z internetu. Vy to musíte ověřit z vaší sítě – v ní nebudou ty záznamy podepsané. Můžete si např. zapnout DNSSEC validaci na úrovni systémového resolveru – to závisí na tom, jaký operační systém používáte.

1797

Sítě / Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

« kdy: 10. 06. 2020, 10:49:59 »

Jestli se nepletu, tak doména bude fungovat, protože je to ohnutý přes tu jejich dns, ale ip adresa fungovat nebude, protože zde problém zůstal.

Přesně tak.

Navíc bych vám doporučil u Forpsi u té domény vypnout zabezpečení přes DNSSEC, protože váš ISP nemůže ty podvržené DNS záznamy správně podepisovat, tudíž pokud by nějaká aplikace ve vaší síti validovala DNSSEC, adresu nepřeloží.

1798

Vývoj / Re:Business logika

« kdy: 09. 06. 2020, 19:10:54 »

Berte to slovo „byznys“ v tom širokém anglickém významu, tj. „to, čím se někdo zabývá“. Do češtiny se dostalo např. „to není můj byznys“ (to není moje starost). Takže byznys logika je ta aplikační logika (algoritmy, procesy), která se zabývá tím hlavním účelem, co má aplikace dělat. Byznys logika e-shopu tedy bude výpis produktů, filtrování, naskladňování, vytváření objednávek, správa uživatelského profilu, napojení na účetnictví apod. Prostě ty procesy, které vás napadnou, když se řekne e-shop.

Vedle toho je v aplikaci kód, který nesouvisí přímo s tím, co e-shop dělá e-shopem, často ten kód může být univerzální. Třeba ovládání UI, ukládání a načítání dat, validace vstupů.

1799

Sítě / Re:Z domova, se nedostanu na svou doménu, která má směrovat ke mě domu

« kdy: 09. 06. 2020, 13:12:10 »

Co to tady kecáte? Prodal-li poskytovatel zákazníkovi veřejnou IP (a je úplně buřt, zda routovanou, nebo překládanou) a nemá ve smlouvě výluku, jakože nejspíš nemá, jinak by se na ni místo nesmyslných odpovědí odvolal, tak je jeho povinností zajistit, aby se k ní všichni mohli dostat, takže i z jeho vnitřní sítě. Jak to udělá, už je jeho problémem. Jestliže navržené koncepční řešení, které by ale měl znát, nedokáže ani zavést, nejspíše ani pochopit, tak asi nemá na to, aby nějakého poskytovatele vůbec mohl dělat. O čem tady chcete diskutovat?

Problém je, že ISP o té veřejné IP adrese nikde nic nemá – ve smlouvě, ve VOP, v technických podmínkách. Veřejnou IP adresu najdete akorát v ceníku – poplatek za zřízení a měsíční poplatek. Za ty ceny by to mělo fungovat pořádně. Ale páku na ISP asi h4kuna nemá. Maximálně by mohl reklamovat, že si pod pojmem „veřejná IP adresa“ představoval něco jiného, než co mu ISP dodal. A vzhledem k tomu, že to ISP nikde nemá specifikované, pravděpodobně by ve sporu s reklamací (a vrácením instalačního poplatku) uspěl. ISP by mu službu veřejné IP adresy služby zrušil s tím, že zákazníkem požadovanou službu nenabízí. A tím by to skončilo.

Tohle bohužel nemá rychlé řešení, pokud do toho nevstoupí stát nebo nějaká silná organizace, která by donutila ISP služby alespoň pořádně pojmenovávat. Protože ne spoustě míst se zdaleka ještě nesoutěží kvalitou poskytované služby, ale tím, jestli ISP má vůbec nějakou přístupovou infrastrukturu nebo nemá, v lepším případě tím, jestli je hodně špatná nebo jenom špatná.

1800

Server / Re:Uzavření uživatele v domovském adresáři

« kdy: 09. 06. 2020, 09:56:45 »

To, že se pro SFTP komunikaci má používat interní SFTP nakonfigurované máte?

Kód: [Vybrat]

Subsystem   sftp    internal-sftp