Zobrazit příspěvky

391

Sítě / Re: Lokální sít s web serverem - školní projekt..

« kdy: 03. 05. 2011, 17:59:36 »

Pokial je ten server aj router... A ma na jednom IF priamo tu verejnu IP, tak mozes aj z vnutornej IP pristupovat na verejnu bez toho aby si to urobilo nejaky zbytocny round trip.

392

Sítě / Re: Lokální sít s web serverem - školní projekt..

« kdy: 03. 05. 2011, 17:40:23 »

GNU/Linux, IP Tables, DHCPDv3, Bind9

Ked do toho projektu napises tieto komponenty, nic nepokazis.

393

Server / Re: Apache: zobrazování blank page

« kdy: 01. 05. 2011, 23:17:37 »

Ako su na tom u teba v php funkcie ala exec()? Jeden zly eval() a pokial nemas paranoidne php nastavenia tak rootnutie servera uz vacsinou pojde bez problemov. Vzdy sa najde nejaky exploit.

Inak popozen uzivatelov na SFTP. Nakolko OpenSSH snad od verzie 5.2 ak sa nemylim bezporblemov podporuje konfihuraciu typu force command internal sftp a jail do adresara per usera bez toho aby si musel vytvarat realny jail.

Cize pre php treba spravit list disablovanych funkcii, kazdy web ine UID/GID, etc, etc... a aj ked niekto ziska FTP/SFTP pristup ci uz legitimne alebo nie, nezmoze sa na nic.

394

Sítě / Re: Server a veřejná vs neveřejná IP

« kdy: 01. 05. 2011, 23:09:19 »

Pokial ten server bude mat priamo na jednom interface tu verejnu IP, nie je dovod ju extra routovat. Staci IP forwarding.

395

Server / Re: Reverzní proxy na druhý server

« kdy: 29. 04. 2011, 17:44:54 »

Reakcia dotazujuceho (14:53) ale uz LB zmienuje.

396

Server / Re: Reverzní proxy na druhý server

« kdy: 29. 04. 2011, 16:24:15 »

Citace: alfi . 29. 04. 2011, 15:14:05

pokud se má opravdu vše z A:80 posílat na B:80.. nestačí obyčený port forward na úrovní iptables? :-)

Nie pokial ide o loadbalancing.
Na http -> http je uplne dostacujuci HAProxy alebo Ldirectord
Na https -> http je idealne nginx

397

Server / Re: Reverzní proxy na druhý server

« kdy: 29. 04. 2011, 15:05:35 »

Loadbalancing cez HAProxy je na L3 urovni ak sa nemylim... Cez NGX, Apache, etc sa riesi load balancing na L7.
Si zober napriklad session stickness... U nas moze konkretna sesna smerovat len na konkrent pool serverov. Ako vzdy je vsetko SSL a HAProxy ho neterminuje a teda netusi o aku sesnu sa jedna. Preto je celkom idelane riesenie --> request --> Firewall --> L2 loadbalancer --> L7 loadbalancer --> App server

Kedze tu asi netreba riesit moc, stacilo by L7 LB. Sample config ngx:

upstream xxxxxxxx {
server xxxxxxxx:80 weight=300 srun_id=xxxxxxxx;
server xxxxxxxx:80 weight=400 srun_id=xxxxxxxx;
server xxxxxxxx:80 weight=400 srun_id=xxxxxxxx;
server xxxxxxxx:80 weight=500 srun_id=xxxxxxxx;
server xxxxxxxx:80 weight=500 srun_id=xxxxxxxx;
#
jvm_route $cookie_JSESSIONID reverse;
}

# Main HTTP redirect
server {
listen 80;
server_name _;
access_log /var/log/nginx/http.access.log;

server_name_in_redirect off;

location / {
rewrite ^(.*) https://$host$1 permanent;
}

}

# xxxxxxxx HTTPS loadbalanced
server {
listen xxxxxxxx:443;
listen xxxxxxxx:443;
server_name _;

ssl on;
ssl_certificate /etc/nginx/ssl/wc.xxxxxxxx.crt;
ssl_certificate_key /etc/nginx/ssl/wc.xxxxxxxx.key;

ssl_session_timeout 30m;

ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

access_log /var/log/nginx/https.access.log;

location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Server $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-FORWARDED_PROTO https;
proxy_pass http://xxxxxxxx/;
}
}

398

Server / Re: Reverzní proxy na druhý server

« kdy: 29. 04. 2011, 14:25:33 »

Nginx je na tento ucel uplne skvele. Tiez sa na nom oplati terminovat ssl spojenia. Jeho konfiguracia je uplne straight forward.

399

Sítě / Re: route add

« kdy: 18. 04. 2011, 18:04:50 »

Ak su tie siete routovane tak nevidim dovod preco by si sa z jednej nemal dostat do druhej. Ale asi mi nie je jasna otazka...

Ide ti proste o forward/prerouting/postrouting tak aby sa z jednej siete dalo dostat aj smerom na default gw a z druhej nie?

400

Vývoj / Re: Licence IDE a komerční vývoj

« kdy: 13. 04. 2011, 15:17:03 »

Pokial je pouzita vanilla GPL alebo BSD licenicia, mozes skutocne produkt vyuzit na co len chces... jedine ze by tam mali explictne povedane nieco ine.

401

Odkladiště / Re: bezpečnost asymetrického šifrování

« kdy: 12. 04. 2011, 12:54:35 »

Hlavne by data sifrovane asymetricky mali byt mensie ako samotny kluc. Cize zasifrujem maly kluc k symetrickej sifre asymetricky a dalej pokracujem symetricky na data.

402

Hardware / Re: Označení síťové karty

« kdy: 11. 04. 2011, 13:00:46 »

Tak tak. Debian derivates pouzivaju MAC ako identifikaciu karty. Staci vyhodit dany riadok z configu spomenutom v 2. prispevku.

403

Server / Re: Vzdálená plocha pro více uživatelů

« kdy: 10. 04. 2011, 23:39:35 »

Naposledy co som pouzil xvnc malo presne toto spravanie ako default na debian etch?/lenny?.
Odporucam vyskusat xvnc.

404

Odkladiště / Re: Synovec objednal placené služby

« kdy: 08. 04. 2011, 21:15:54 »

LoL... Ani captcha. Uz mi bezi for cysklus s curlom.

Je pekne ze to spoplatenie maju tak jasne vsade napisane... Uplne koreknt business... ved dnes ani neexistuju ludia co by sa po pod 4 vseobecnych podminenok nedocitali.

//Edit: Skoda. Nieco zmenili. Moj reg poster nefunguje :|

405

Odkladiště / Re: Synovec objednal placené služby

« kdy: 08. 04. 2011, 18:06:46 »

Kym fungovali tie slovenske medializovane portali, backovane offshoreovymi firmami... Registroval som si tisice accountov

Ani captcha im nepomohla.

A aby to bola vacsia sranda, vsetky z jednej a tej istej IPcky ktorej PTR record obsahuje moje priezvisko

Ze je staticka je snad skoda hovorit. Aj maily sli do domenoveho kosa tej domeny.

=> Ignorovat ich a robit si z nich srandu.

Za toto zakaz pc je cisty terorizmus.
Tieto spolocnosti len vyuizvaju strach ludi.