31
Hardware / Re:Staré baterie z notebooků
« kdy: 25. 01. 2015, 14:40:01 »
Kazdopadne kdyz sem nedas adresu, tak ti nebudou mit lidi kam baterky posilat...
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
32
Hardware / Re:Staré baterie z notebooků
« kdy: 25. 01. 2015, 14:36:01 »
V clanku by mel byt odkaz na hotovy web, at lidi vidi, ze to myslite vazne. Muzete pridat i doporucujici odstavec od ucitele 
33
Hardware / Re:Staré baterie z notebooků
« kdy: 25. 01. 2015, 14:24:13 »
Co se zkusit pozeptat v nejaky firme, ktera se zabyva recyklaci baterek? Jinak dva ci tri packy muzu poslat.
Nebo se dohodnete treba s zive.cz, nebo technet.cz nebo vlastne i s roootem, at o vas napisou clanek a pridaji vyzvu, at lidi posilaji... Resp. ten clanek napiste vy, o projektu, te diagnostice... Jeste muzete za clanek dostat zaplaceno
Nebo se dohodnete treba s zive.cz, nebo technet.cz nebo vlastne i s roootem
, at o vas napisou clanek a pridaji vyzvu, at lidi posilaji... Resp. ten clanek napiste vy, o projektu, te diagnostice... Jeste muzete za clanek dostat zaplaceno
34
Hardware / Re:Starý 19" CRT monitor vs LED a LCD
« kdy: 08. 01. 2015, 18:10:58 »
Joo, když se mi před lety podělal 19" Sony Trinitron a já přešel na levné LCD, tak jsem z toho zvracel. Dneska mám sice už trochu lepší levné LCD, ale stejně to není ono. Člověk ale opravdu musí srovnávat srovnatelné. Ten Trinitron stál tehdy asi 25 tis. Když se ale dneska podívám na obraz třeba na iMacu (měli jsme v práci) tak si na Trinitrona ani nevzpomenu. Za stejný nebo nižší peníze je dneska podle mě víc muziky než dřív.
35
Odkladiště / Re:Buducnost informatiky za 5-10 rokov
« kdy: 03. 01. 2015, 00:42:45 »
A proč jsem to takhle napsal? Protože si myslím, že vyloženě špičkovej v nějakým oboru dost možná nebudeš nikdy. Tím nemyslím nic zlýho, jen mi přijde, že bys jinak už tu svou cestu měl. Ale z logiky věci nemůže být špičkovej odborník každej. A ani to není pro spokojenej život potřeba. Čili na tom není nic špatnýho. Zdá se mi, že nestavíš peníze na úplně první místo. Což je z mýho pohledu sympatický. Proto jsem radil, aby ses zaměřil na něco, co tě bude bavit a čímž zároveň dokážeš vydělat peníze, který ti budou stačit. Myslím si, že tady na fóru žádnou konkrétní odpověď na svůj dotaz nedostaneš. Jako že za tebe samozřejmě nikdo nerozhodne. Ale odpovědi ti můžou pomoct si urovnat vlastní priority a zájmy. A tak to má být Držím palce, aby sis vybral to, co bude tobě konkrétně vyhovovat.
Jinak já osobně jsem odborník na bezpečnost Windows technologií. Ač to spousta lidí, zvlášť na serveru o Linuxu, bude považovat za oxymorón.
Držím palce, aby sis vybral to, co bude tobě konkrétně vyhovovat.Jinak já osobně jsem odborník na bezpečnost Windows technologií. Ač to spousta lidí, zvlášť na serveru o Linuxu, bude považovat za oxymorón.
36
Odkladiště / Re:Buducnost informatiky za 5-10 rokov
« kdy: 03. 01. 2015, 00:23:14 »
Dej se na to, co tě bude bavit. Peníze nejsou všechno. A odhadnout, co bude frčet za 5-10 let, nedokáže nikdo tady na fóru. Na tom si vylámou zuby jiné kapacity. Důležitý je chtít se učit. Teď můžeš dělat něco a za pět let něco úplně jinýho. Takovej už je dneska svět technologií.
37
Odkladiště / Re:Jak by ovlivnil výbuch jaderné bomby na Ukrajině IT sektor?
« kdy: 18. 12. 2014, 20:53:32 »a par stovek az tisicu slovaku nam slo pomoct.
Pěkný srovnání, akorát trochu pochybuju, že by jim k tomu slovenská armáda půjčila tanky, raketomety a podobně.
38
Server / Re:Chlazení serveru bez klimatizace
« kdy: 09. 09. 2014, 22:46:22 »
Teda Intel mluví o špičkách 33 stupňů, který při dlouhodobým testování neměly žádný negativní vliv na spolehlivost serverů. Čili bych se v létě nebál ani nějakých 35 stupňů, i když se to zdá jako kacířský myšlenka.
39
Server / Re:Chlazení serveru bez klimatizace
« kdy: 09. 09. 2014, 22:38:31 »
Jediný opatření, který bys měl udělat, je rack otevřít (pokud je uzavřený). A dál nemusíš dělat vůbec nic. Mrkni na článek http://www.datacenterknowledge.com/archives/2008/10/14/google-raise-your-data-center-temperature/
Mluví se tam o teplotách až 29 stupnů. Prostě můžeš úplně v klidu spát, server se ti nepřehřeje, ani se nesníží jeho životnost.
Mluví se tam o teplotách až 29 stupnů. Prostě můžeš úplně v klidu spát, server se ti nepřehřeje, ani se nesníží jeho životnost.
40
Server / Re:Řešení Windows technologií v Linuxu
« kdy: 09. 09. 2014, 22:18:07 »Citace
Může je na TS vyklikat a vyscreenshotovat, ne? Ale uznávám, že je to pro útočníka větší pruda, než pustit cp. Zajímavé řešení by bylo zkusit server naučit na běžný pattern práce s těmi daty a pak vyhlásit alarm, pokud se to odchýlí. To samozřejmě záleží na povaze dat a práci s nimi, špatně se radí, když nevíme nic o oblasti/povaze. Je velký průser, když útočník ukradne jeden screenshot (např. s klíčem), nebo je to desettisícstránková dokumentace plánu vojenské obrany ČR, kterou musí ukrást celou, aby dávala smysl?
Pro odcizení kritických dat stačí udělat screenshot několika obrazovek, čili třeba i foťákem vyfotit obrazovku. Těm několika oprávněným lidem musíme věřit i proto, že musí mít možnost tisku (pouze na tiskárnách v běžně nepřístupné místnosti). Chráníme se proti ostatním.
Citace
Mně přijde nejlepší strategie tajná data na serveru vůbec nemít, tedy například u komunikačního serveru uživatelům vnutit end-to-end, při sharování dat je šifrovat na klientovi, zákazníkům poskytovat spíš řešení, které si spustí u sebe a data mají na vlastním serveru a tak. Lépe se pak spí, než když se člověk hrozí, kde všude může mít díry. Samozřejmě to opět nemusí jít u tvé aplikace.
Požadavek byl, aby mohli zaměstnanci s daty pracovat i z domova pohodlným způsobem, aniž by je systém nepříjemností ponoukal obcházet bezpečnostní opatření. Jako nejlepší řešení bylo vyhodnoceno mít data na serveru a zamezit (potřebě) jejich kopírování kamkoliv jinam. A vzdálená plocha je podle mě řádově bezpečnější než jakákoliv VPN. SW na transparentní šifrování souborů na klientu jsem zkoušel několik, ale nenašel jsem žádný spolehlivý. Čili jsou kompletně šifrované alespoň file servery, databázové servery a pochopitelně i doménové řadiče.
Citace
Samozřejmě, že by mě zajímalaFurt platí výzva na pivo - střední, severní Čechy
Citace
Není to dobré řešení. Jde obecně o to, že z vnějšího prostředí do vnitřního se dostanešTo byl požadavek, viz výše. Jediná možnost průniku ze stanice je asi "vyklikat si" na té vzdálené ploše potřebné.
Citace
zatímco z vnitřního do vnějšího ne.
Čili nemůže například případný trojan odesílat data ven...
Citace
BTW: máte jen tyhle dvě úrovně tajné/netajné? Nebo používáte nějakou podrobnější klasifikaci?
Úrovní zabezpečení a pravidel nakládání s nimi máme několik.
Citace
Máte označkované jednotlivé soubory, podle toho, do jaké kategorie spadají?
Nejedná se jen o soubory ale i o SQL databáze. Nemáme je označkované, jsou na vyhrazených file/SQL serverech a je pravidly dáno, o které se jedná a jak s nimi nakládat. Uživatelé jsou dvakrát ročně proškolováni.
Citace
Máte pro to nějakou podporu v OS a aplikacích?
Ne, oprávnění uživatelé musí mít možnost tajné soubory třeba i tisknout (pouze na tiskárnách v zabezpečených místnostech), čili jim musíme věřit. Rights Management SW mi přišel kontraproduktivní. Jinak k nejtajnějším datům se dostane zhruba tak 7 lidí ze 100 (a jak jsem psal, není mezi nimi ani majitel ani výkonný ředitel firmy).
Citace
klicova slova GSSAPI, Spnego, pripade stare a derave NTLM... obecne zalezi, co a jak aplikace pouzije (v jave na to existuje JAAS, pripadne Spnego modul do aplikacnich serveru), na webu to tedy problem neni
Ale reálně ... je to u programů na Linuxu běžný (aniž bych musel něco složitě upravovat) nebo spíš výjimečný?
Citace
OpenAltDíky, určitě se na to mrknu.
Každopádně chlapi díky za informace, mám teď materiál ke studiu. Jak jsem psal, nemám okolo sebe zkušenější Linuxáky a žiju tak trochu v zajetí MS, ač bych se rád dozvěděl o možnostech otevřených technologií.
41
Server / Re:Jak lze na Linuxu řešit následující Windows technologie?
« kdy: 07. 09. 2014, 02:14:25 »Citace
Tady mám trochu připomínku k návrhu/zadání: jaký je přesně smysl toho terminálového serveru? Má to být bezpečnější prostředí než ten desktop? Odkud se k terminálu přihlašuješ? Z toho desktopu?
Na TS se uživatelé přihlašují ze stanic nebo z domova (v tom případě přes TS Gateway balící RDP do SSL).
1. Je to bezpečnější prostředí, například proto, že z těch terminálových serverů není přístup na internet. File share s tajnými daty není přístupný ze stanic ale pouze z TS, čili i kdyby si uživatel nějak dokázal na stanici spustit vir/trojan, ten se k datům nedostane. Programátoři vyvíjejí klíčovou aplikaci také pouze na TS, ze stanic nemají přístupné tajné SQL databáze.
2. Psychologická bariéra - protože mají uživatelé tajná data pouze na jiném síťovém disku přístupném pouze z TS, mají jasné odlišení, co je tajné. Pro úplnost dodávám, že se chráníme proti útokům zvenčí nebo od neoprávněných pracovníků. Těm několika oprávněným pracovníkům musíme věřit (vždycky můžou třeba vyfotit obrazovku). Pro zajímavost: k tajným datům se nedostane ani majitel ani výkonný ředitel firmy.
Citace
Pokud by to byl Apache+PHP, tak tam je obvyklejší, že aplikace heslo zná a připojuje se sama, ale taky by to šlo realizovat, třeba přes modul do webového serveru, který bys stejně asi použil, kdybys chtěl connection pooling.
LAMP nedělá by default connection pooling? Já fakt nevím, ptám se. A pokud bych chtěl použít nějaký takový modul zajišťující SSO, jak velký to vyžaduje úpravy aplikace?
Citace
Mimochodem: to heslo až tak hodnotná informace není – stejně do DB nepůjde připojit zvenku a když bude děravá aplikace, tak si útočník vytahá data přes ní, nemusí se připojovat bokem.
Obecně souhlas. Akorát my se snažíme bránit i proti neprověřeným pracovníkům (brigádníci), protože si myslím, že obecně únik dat hrozí spíš od vnitřních lidí, než že by někdo prolomil firewall a někam se naboural (zvlášť když se používají čipové karty). Ale jak jsem psal, nejdůležitější databázové servery nejsou přístupné ze stanic.
Citace
Proveditelné to je. Ale v diskusi na Rootu to nevyřešíme :-) Pokud to myslíš vážně a plánuješ migraci nebo vývoj nového systému na svobodných technologiích, tak držím palce – tohle jsou zajímavé věci a stavět to, bude i zábava.
Migraci neplánujem, jednak k tomu nemáme žádný důvod a druhak by to bylo finančně nerealizovatelné, protože máme MS technologie prolezlé celým IT jako rakovinu
Desítky aplikací v .NET, SQL servery včetně uložených procedur atd., složitá makra v Excelu a Wordu, část frontendů v Accessu...Citace
Jen doufám, že to nemá být jen další nudná diskuse/flame na víkend.
Nemá to být ani flamewar, ani nechci placenou konzultaci. Prostě mě to jen zajímá, protože sice hodně vidím do MS technologií, ale do Linuxu skoro vůbec a ze známých mi nikdo odpovědět nedokázal. Jinak máme jeden Linux server s Baculou, který nám všechny ty Widle servery zálohuje
Citace
Pokud od toho systému nemáš zdrojáky, tak mallware, který tam zabudoval výrobce sotva odhalíš. Stavět na takových chatrných základech systém zaměřený na bezpečnost je s prominutím pitomost.
O bezpečnosti open source vs. closed source jsem se tu bavit nechtěl, tak jen odkážu na jeden výborný starší článek: http://www.pepak.net/bezpecnost/open-source-a-backdoory/ V diskuzi se k němu vyjadřoval i sám Klíma. Každý si určitě vzpomene na dva významné open source projekty zpochybněné během několika posledních měsíců. Jinak zabezpečení našich dat zahrnuje stovky dílčích opatření. Věřím tomu, že zabezpečit podobně Linux je jednodušší než u Windows.
Citace
Jak je tohle spojené s Linuxem? Buďto to umí ta karta nebo neumí, ne? Pokud je operační systém ten, kdo vybírá, který certifikát se použije, tak tam rovnou může být jen jeden.
Asi fakt nijak, máš pravdu.
Citace
Kerberos nebo nějaký SSO modul PAM.
A existují na linuxu programy tohle využívající; kolik jich je? Je to běžná věc? My to máme rozchozené u všech programů, ať už vlastních desktopových/webových, open source/komerčních webových nebo třeba komerčního účetnictví Pohoda.
Citace
Pokud je ta databáze na stejném počítači, tak nejjednodušší je se k ní připojovat přes socket, ke kterému má přístup jenom uživatel, pod kterým běží ta aplikace.
Jak se na Apachi udělá, aby web běžel pod konkrétním uživatelem? Jinak databáze máme na jiných strojích než weby.
Citace
Mimochodem to heslo je stejně k ničemu, pokud ta databáze nepřijímá požadavky odkudkoliv ze světa.
Viz odpověď výš.
A víte o konkrétních situacích/firmách, kde se body 2 a 3 využívají? Jestli jste někdo z Prahy a měli byste čas, tak bych klidně zašel pokecat na pivo. Jsem Win admin, ale nejsem zaslepený obhájce Windoze nenávidějící Linux
Jen s ním nemám zkušenosti a neznám nikoho, kdo by do Linuxu viděl natolik, aby mi dokázal fundovaně odpovědět na dotazy. Já firmu na Win před 10 lety zdědil od předchozího admina. Pravda, od tý doby se počet serverů a aplikací zhruba zdesetinásobil, ale řídím se heslem, že je lepší nemixovat technologie, pokud to nemá zcela jasný přínos. Bacula měla přínos naprosto jasný, ušetřili jsme několik set tisíc Kč za komerční zálohovací soft a přitom jde vlastně o zcela oddělenou věc. Naopak můžu poreferovat, jak se zabezpečují Windows servery a stanice, protože to je posledních několik let moje specializace (nejsem v práci jediný admin). Ani nemám případně problém s odhalením identity firmy, pokud by to někoho zajímalo.
42
Server / Řešení Windows technologií v Linuxu
« kdy: 05. 09. 2014, 23:31:48 »
Ahoj,
jsem Win admin (40 serverů, 150 stanic) ve firmě, kde je na prvním místě bezpečnost dat. Prosím žádný flame war - zabezpečit i proděravět lze každý systém. Zajímalo by mě, jak lze na Linuxu vyřešit následující věci. Do Linuxu nevidím a opravdu mě prostě zajímají možná řešení. Jedním z našich bezpečnostních opatření je téměř úplná eliminace hesel. Uživatel má mít pokud možno jen jedno heslo. Konkrétně jeden PIN k čipové kartě, na které jsou nahrané certifikáty typicky k (minimálně) dvěma účtům (jeden na běžnou práci, druhý pro práci s tajnými daty - přihlašování na terminálový server přes vzdálenou plochu).
Následují moje dotazy - jak lze tyto záležitosti řešit na Linuxu? Možná jsou na Linuxu pro daný účel vhodné jiné postupy, v tom případě prosím upřesněte.
1. Jak lze řešit to, abych měl na čipové kartě certifikáty dvou účtů, na jeden se přihlašuju lokálně na PC, na druhý na terminálový server.
2. Aplikace, ať už desktopové nebo webové, nevyžadují po uživateli žádné přihlášení, ale převezmou si identitu uživatele přihlášeného do Windows. Čili např. v IIS nastavené Windows ověřování.
3. Webové aplikace běží pod doménovým uživatelem, který má přístup k potřebným souborům a databázím. Proto není v connection stringu žádné heslo do SQL databáze (Trusted Connection). Nehrozí proto únik hesla z nějakých kopií skriptů.
Předem díky za informace, jak lze toto řešit linuxovýma technologiema. Pro šťouraly dodávám, že jedna z úrovní zabezpečení je to, že uživatelé samozřejmě nemají adminská práva na PC. Ale hlavně mají povolené (Software Restriction Policy) spouštění pouze schválených EXE souborů (z Program Files, případně podle hashe souboru). Čili neexistuje, že by si uživatel spustil nějaký program z internetu, flasky, vir z mailu...
jsem Win admin (40 serverů, 150 stanic) ve firmě, kde je na prvním místě bezpečnost dat. Prosím žádný flame war - zabezpečit i proděravět lze každý systém. Zajímalo by mě, jak lze na Linuxu vyřešit následující věci. Do Linuxu nevidím a opravdu mě prostě zajímají možná řešení. Jedním z našich bezpečnostních opatření je téměř úplná eliminace hesel. Uživatel má mít pokud možno jen jedno heslo. Konkrétně jeden PIN k čipové kartě, na které jsou nahrané certifikáty typicky k (minimálně) dvěma účtům (jeden na běžnou práci, druhý pro práci s tajnými daty - přihlašování na terminálový server přes vzdálenou plochu).
Následují moje dotazy - jak lze tyto záležitosti řešit na Linuxu? Možná jsou na Linuxu pro daný účel vhodné jiné postupy, v tom případě prosím upřesněte.
1. Jak lze řešit to, abych měl na čipové kartě certifikáty dvou účtů, na jeden se přihlašuju lokálně na PC, na druhý na terminálový server.
2. Aplikace, ať už desktopové nebo webové, nevyžadují po uživateli žádné přihlášení, ale převezmou si identitu uživatele přihlášeného do Windows. Čili např. v IIS nastavené Windows ověřování.
3. Webové aplikace běží pod doménovým uživatelem, který má přístup k potřebným souborům a databázím. Proto není v connection stringu žádné heslo do SQL databáze (Trusted Connection). Nehrozí proto únik hesla z nějakých kopií skriptů.
Předem díky za informace, jak lze toto řešit linuxovýma technologiema. Pro šťouraly dodávám, že jedna z úrovní zabezpečení je to, že uživatelé samozřejmě nemají adminská práva na PC. Ale hlavně mají povolené (Software Restriction Policy) spouštění pouze schválených EXE souborů (z Program Files, případně podle hashe souboru). Čili neexistuje, že by si uživatel spustil nějaký program z internetu, flasky, vir z mailu...
43
Server / Re:Jak odnaučit posílání velkých příloh mailem?
« kdy: 28. 02. 2014, 21:10:11 »kdy M$ konečně pochopí, že ten příšerný binární blob je třeba pravidelně automaticky udržovat a komprimovat. Ani ve verzi 2013 se nic takového neděje.
Zajímavý je, že na http://support.microsoft.com/kb/291645/en-us píšou, že by se to mělo komprimovat samo při iddle. Ale asi to teda nefunguje.
Ohledně bezpečnosti dat, tak na takovéhle řešení přešli i banky
Banka na Google Apps?
Která?
44
Server / Re:Jak odnaučit posílání velkých příloh mailem?
« kdy: 28. 02. 2014, 20:43:24 »
Aha, to mě nenapadlo. My používáme 32bit Outlook 2007 (donedávna 2003) a zhruba 200 schránek na Exchange s limitem 5 GB. Ale máme vypnutý cache režim Outlooku, takže vše jede jen online ze serveru. A sice kvůli bezpečnosti (na stanicích nechci žádná data, i plocha je přesměrovaná na file server). Žádný problém ani s rychlostí není; na serveru je teda pro jistotu RAID10 ze SAS disků.
Ale s těma PST věřím, dík za odpověď.
Ale s těma PST věřím, dík za odpověď.
45
Server / Re:Jak odnaučit posílání velkých příloh mailem?
« kdy: 28. 02. 2014, 19:58:18 »
A jsou v dnešní době rychlých linek a velkých disků vlastně velký přílohy až takovým problémem? Co je "velký" je teda hodně subjektivní. My jsme ve firmě před lety zvýšili limit na 50 MB. Pokud už to nepřijme cílový server, tak to aspoň není náš (adminů) problém a uživateli se to snadno vysvětlí. Interně si lidi posílají zásadně jen odkazy na síťové disky, ne soubory.
