Příspěvky

166

Bazar / Re:Pronájem coworking space

« kdy: 18. 03. 2016, 22:45:25 »

Nejsou tam žádné zóny. Parkovat se tam dá všude a klidně přímo před budovou. Kolem desáté tam určitě nebude problém zaparkovat, ale navečír to bude horší no.

167

Bazar / Re:Pronájem coworking space

« kdy: 17. 03. 2016, 16:35:12 »

Internet se dá domluvit i jiný. Bude se zapojovat až příští měsíc, takže záleží na domluvě.
Možná jsem neuvedl, že pronájem by byl cca od začátku-půlka měsíce(záleží, jak rychle stihnou udělat stavební úpravy) a nejlépe aspoň na rok.
A určitě plánujeme nějaké NASky popřípadě servery, takže kdyby potřeboval někdo nějaké developerské prostředí, tak je to jen a jen na domluvě.

168

Bazar / Pronájem coworking space

« kdy: 17. 03. 2016, 16:26:27 »

Ahoj,
s kamarádem máme od příštího měsíce pronajaté prostory na Praze 10 - Estonská 6.
Hned vedle je zastávka Ruská, takže je to 5 minut na Náměstí Míru a 6 minut na I.P.Pavlova.
Navíc vedle zastávka busů 135(Florenc-Chodov), 101(Hostivař) a tak o 100 dalších metrů dál 139 a 124.
Jsou to velké prostory 100m2, kde je záchod, sprcha, vzduchotechnika, jedna velká kancelář pro cca 6 lidí a poté konferenční místnost, která kdyby se nepoužívala, tak by se z ní udělala další kancelář.
Jsou tam tabule na kreslení.
Je tam bar a barové stoličky.
Z elektroniky tam je: mikrovlnka, lednice, sporák.
Plánujeme objednat jednou týdně uklízečku.
Plánujeme internet od upc 240/24Mbit.
Bude určitě nějaká možnost si tam dát nějaké servery.
Jinak jsme zatím tři: Linuxák(python), frontenďák a node.jsák
Cena by byla max 3500Kč měsíčně se vším. Pokud se nás sežene víc, tak by cena byla nižší.
Prostory jsou vybavené nábytkem. Jsou tam pracovní stoly. Židle teď nevím, jestli tam jsou, ale u nich myslím, že není problém si přinést nějakou. Jsou tam navíc nějaké myslím 22" monitory, které tam můžou zůstat.
Fotky zde: http://uloz.to/xU5MLkQo/estonska-tar-gz

169

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 20:44:16 »

Tohle bylo ještě před tím a lognul se přes usera:
Mar 10 16:23:00 server postfix/smtpd[11754]: 0838322A05F6: client=unknown[176.111.254.59], sasl_method=PLAIN, sasl_username=

170

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 20:34:42 »

Musí to být dovecotem. Od té doby, co jsem ve firewallu povolil 993 jen pro lokální síť, tak to přestalo dělat.
Navíc se ten člověk připojoval přes SASL.

Není to vnitřní síť. Relay zakazaná. Dá se tam dostat jen z localhostu nebo přes imap.

171

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 20:20:34 »

To máme md5.
Já myslel, že tady máme plain:
auth_mechanisms = plain login

172

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:58:16 »

Já bych tam taky plaintext nedal, ale kdybych to chtěl zmigrovat na md5, tak bych musel předělat celou db ne?
Jinak ale ten plaintext se mi zdá ok, když se posílá přes SSL ne?
Když se podívám do db, tak heslo je hasovaný a začíná s $1$.

173

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:51:09 »

OS je Debian 7, dovecot je verze 2.1.7
10-auth.conf:

Kód: [Vybrat]

##
## Authentication processes
##

# Disable LOGIN command and all other plaintext authentications unless
# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
# matches the local IP (ie. you're connecting from the same computer), the
# connection is considered secure and plaintext authentication is allowed.
disable_plaintext_auth = yes

# Authentication cache size (e.g. 10M). 0 means it's disabled. Note that
# bsdauth, PAM and vpopmail require cache_key to be set for caching to be used.
#auth_cache_size = 0
auth_cache_size = 10M

# Time to live for cached data. After TTL expires the cached record is no
# longer used, *except* if the main database lookup returns internal failure.
# We also try to handle password changes automatically: If user's previous
# authentication was successful, but this one wasn't, the cache isn't used.
# For now this works only with plaintext authentication.
#auth_cache_ttl = 1 hour
auth_cache_ttl = 1 hour

# TTL for negative hits (user not found, password mismatch).
# 0 disables caching them completely.
#auth_cache_negative_ttl = 1 hour

# Space separated list of realms for SASL authentication mechanisms that need
# them. You can leave it empty if you don't want to support multiple realms.
# Many clients simply use the first one listed here, so keep the default realm
# first.
#auth_realms =

# Default realm/domain to use if none was specified. This is used for both
# SASL realms and appending @domain to username in plaintext logins.
#auth_default_realm = 

# List of allowed characters in username. If the user-given username contains
# a character not listed in here, the login automatically fails. This is just
# an extra check to make sure user can't exploit any potential quote escaping
# vulnerabilities with SQL/LDAP databases. If you want to allow all characters,
# set this value to empty.
#auth_username_chars = abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890.-_@

# Username character translations before it's looked up from databases. The
# value contains series of from -> to characters. For example "#@/@" means
# that '#' and '/' characters are translated to '@'.
#auth_username_translation =

# Username formatting before it's looked up from databases. You can use
# the standard variables here, eg. %Lu would lowercase the username, %n would
# drop away the domain if it was given, or "%n-AT-%d" would change the '@' into
# "-AT-". This translation is done after auth_username_translation changes.
#auth_username_format = %Lu

# If you want to allow master users to log in by specifying the master
# username within the normal username string (ie. not using SASL mechanism's
# support for it), you can specify the separator character here. The format
# is then <username><separator><master username>. UW-IMAP uses "*" as the
# separator, so that could be a good choice.
#auth_master_user_separator =

# Username to use for users logging in with ANONYMOUS SASL mechanism
#auth_anonymous_username = anonymous

# Maximum number of dovecot-auth worker processes. They're used to execute
# blocking passdb and userdb queries (eg. MySQL and PAM). They're
# automatically created and destroyed as needed.
#auth_worker_max_count = 30
auth_worker_max_count = 100

# Host name to use in GSSAPI principal names. The default is to use the
# name returned by gethostname(). Use "$ALL" (with quotes) to allow all keytab
# entries.
#auth_gssapi_hostname =

# Kerberos keytab to use for the GSSAPI mechanism. Will use the system
# default (usually /etc/krb5.keytab) if not specified. You may need to change
# the auth service to run as root to be able to read this file.
#auth_krb5_keytab = 

# Do NTLM and GSS-SPNEGO authentication using Samba's winbind daemon and
# ntlm_auth helper. <doc/wiki/Authentication/Mechanisms/Winbind.txt>
#auth_use_winbind = no

# Path for Samba's ntlm_auth helper binary.
#auth_winbind_helper_path = /usr/bin/ntlm_auth

# Time to delay before replying to failed authentications.
#auth_failure_delay = 2 secs
auth_failure_delay = 5 secs

# Require a valid SSL client certificate or the authentication fails.
#auth_ssl_require_client_cert = no

# Take the username from client's SSL certificate, using 
# X509_NAME_get_text_by_NID() which returns the subject's DN's
# CommonName. 
#auth_ssl_username_from_cert = no

# Space separated list of wanted authentication mechanisms:
#   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi otp skey
#   gss-spnego
# NOTE: See also disable_plaintext_auth setting.
auth_mechanisms = plain login

##
## Password and user databases
##

#
# Password database is used to verify user's password (and nothing more).
# You can have multiple passdbs and userdbs. This is useful if you want to
# allow both system users (/etc/passwd) and virtual users to login without
# duplicating the system users into virtual database.
#
# <doc/wiki/PasswordDatabase.txt>
#
# User database specifies where mails are located and what user/group IDs
# own them. For single-UID configuration use "static" userdb.
#
# <doc/wiki/UserDatabase.txt>

#!include auth-deny.conf.ext
#!include auth-master.conf.ext

#!include auth-system.conf.ext
!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

174

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:34:48 »

Prosím někdo normální?
Navíc jsem zjistil, že posíláním těch spamů přišlo spoustu mailů z yahoo těm userům a oni pak odesílali zpátky na yahoo.

175

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:26:40 »

Na každý účet se připojili z jiné IP a připojení bylo tohoto typu:
Mar 10 17:26:15 server postfix/smtpd[21007]: Anonymous TLS connection established from unknown[143.255.144.109]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mě by hlavně zajímalo,
jak je možné, že když to máme zabezpečené přes SSL/TLS, tak že se někdo dostal k našim heslům.
Navíc je zajímavé, že když jsem změnil z plain na login auth metodu, tak se útočník dokázal přihlásit a naši uživatelé se tam nemohli dostat.

176

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:22:03 »

A nějaký člověk, co není troll, by tu nebyl?

177

Server / Re:Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:18:42 »

Jak to zabezpečit, aby se to příště nestalo a jak se to mohlo stát...

178

Server / Hacknutý Dovecot SASL imap

« kdy: 10. 03. 2016, 19:17:19 »

Ahoj,
já už si nevím rady, ale hackli nám dneska tři mailové účty, ze kterých odesílali spam maily.
Webmail máme přes tls a to samé se vzdáleným přístupem. Jde to jen přes port 993 a 465.
Přihlašování bylo přes plain auth, ale to by neměl být problém, když připojení jsou zabezpečená?

179

Vývoj / Re:Zabezpečení backendu v pythonu pro klienty

« kdy: 29. 02. 2016, 00:58:39 »

Ale budou moct prodávat. To spojení bude vyžadováno akorát po restartu, který bude automaticky jednou týdně. Jinak budou pořád fungovat.

180

Vývoj / Re:Zabezpečení backendu v pythonu pro klienty

« kdy: 29. 02. 2016, 00:11:50 »

MITM mi to zahlásí ne? Nebo se to odvíjí pouze od souboru known_hosts?
Není to nic supertajného...Jen to prostě backend, který má zajistit podnikům elektronickou evidenci tržeb, ale zase nechci, aby nám ten backend někdo zkopíroval.