Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - kvas

Stran: 1 ... 4 5 [6] 7 8 9
76
Server / Double SSH tunelling
« kdy: 21. 04. 2020, 14:02:15 »
Ahoj,

poradili by ste mi prosim s tymto?

mam desktop D a server S, na serveri bezi databaza nabindovana na localhost only a ja sa chcem s desktopu D pripojit na databazu na serveri S.

Robievam som to tak, ze som na serveri vytvoril lokalny tunel z localhost:3306 (mysql) na public_ip:5678 (whatever)  a potom som si vytvoril 2. tunel z desktopu (localhost:1234) na server (public_ip:5678) koli tomu aby connection do DB bolo sifrovane a nasledne sa pripojil do databazy (na 1234) z desktopu. po praci som tunel zrusil.

Je mozne takyto "dvojity SSH tunel" urobit jednorazovo (jednym prikazom/scriptom), t.j podporuje to SSH? Ak  nie, tak by mi aspon pomohlo to, ako nakonfigurovat SSH aby sa na ten serverovy port 5678 mohol pripojit iba konkretny jeden klient, teda moj desktop.


77
Server / Re:Doporučte zahraniční hosting
« kdy: 06. 04. 2020, 10:50:33 »

78
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 01. 04. 2020, 17:45:04 »
Na devel stanici bych udělal něco hodně podobného.
1. Firewall output => reject (kvůli timeoutům je to vhodnější než drop)
2. Firewall output user=[můj pracovní účet] => accept (osobně bych preferoval i pro svého usera proxy)
3. Aplikaci povolit přístup ven jen přes (dopřednou) proxy (a toto bych měl i na produkci)

ano, to by asi bolo idealne ale priznam sa, ze takto dokladne to nakonfigurovane nemam. Ja sa vo vacsine pripadov spolieham na to, ze cely "standardny" Ubuntu desktop stack je "jakz-tak" bezpecny.

Ale k otazke zo zaciatku tohoto vlakna: tak trochu som predpokladal, ze to dopadne presne ako to dopadlo. Ani jeden clovek tu nenapisal, ze si preveril aspon jednu OSS aplikaciu a s kludnym svedomim moze spavat:) - jasne, ked je spravne nakonfigurovany firewall, riziko je blizke nule ale minimalne podla tohoto vlakna zistujem, ze pocit bezpecia z OSS (typu "musi to byt bezpecne, ved je to OSS a urcite sa niekto nasiel, kto ten kod overil") je len fatamorgana - aj ked pocet citatelov vlakna asi nebude dostatocna reprezentativna vzorka.

BTW: a co ked je bezpecnostna diera v spominanom firewalle? sme tam, kde sme boli :) - ale to nie je otazka do plena, len take odlahcenie od temy na zaver.

79
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 01. 04. 2020, 12:40:32 »

Mám pocit, že si nerozumíme. Navrhované řešení řeší NOVÁ spojení ze serveru do světa. Nevyřeší se tím to, aby se zablokovaly přístupy zvenčí (to se zase řeší jinak, ale to jsme tu nediskutovali). Možná si pletete pojem "odeslat data" (nějaký script aktivně něco odešle) a "odpovědět na požadavek" (což je nejběžnější činnost, co dělá http server).

Každopádně, pokud jde o Tomcata, toho bych nikdy nespouštěl na přímo, ale vždy zřetězený až za reverzní proxy. Jako reverzní proxy může sloužit nginx, haproxy, apache. Na proxy pak můžete nejlépe ovládat kdo smí přistupovat k službě.

(Zbytek naší diskuse výše se týká situace "odeslat data").

urcite si rozumieme. Ja tu neriesim pripad komunikcie "odpovode na pozadavek z venku". stale sa bavime o desktope a nie serveri, ktory je na internete. tam by samozrejme tomcat nebezal napriamo ale za apachom, kdezto na devel stanici na to nevidim dovod (ak odhliadnem od testovania) z pohladu bezpecnosti. ta "nebezpecna aplikacia" je bindovana iba na localhost, takze z vonku nedostupna.

80
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 13:54:13 »
Kvas se zeptal poměrně jednoduše na oblast, která je řešitelná velmi namáhavě a liší se situace od situace. Proto na to nejsou žádná howtos.

aby sme sa nepohybovali v celom spektre moznosti uvadzam teda konkretny vymysleny priklad, ktory "akoze" potrebujem vyriesit:

1) povedzme ze neverim, ze je Tomcat (ktory bezi u mna na lokale/devel stanici) bezpecny.
2) vytvorim uzivatela ferko a nastavim iptables tak ako popisujem hore
3) ked spustim tomcat resp. catalina.sh (tusim tak sa ten script vola, nechce sa mi to hladat/overovat) pod userom ferko, tak mozem s tomcatom komunikovat z localhostu ale Tomcat ziadnu moju java classu neposle do sveta.

suhlas? za tomcat si mozno dosadit mysqld/svnserve/keepassx/python whatever......




81
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 13:46:06 »
Ale na destkopu je to to samé. Běží vám PHP pod uživatelem www-data a tím pádem to pravidlo se nevyhodnotí a projde to.

suhlasim, ved to ani nerozporujem v mojej odpovedi:)

82
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 13:23:08 »
Ano, takto by to mohlo fungovat, ale z hlediska bezpečnosti je to tzv. "na vodě". Bezpečný postup je DROP ALL (pro všechny uživatele) a poté jedno po druhém povolovat. Nikdy nevíte, které spojení se skryje pod jiného uživatele. Např. odchozí pošta se skryje pod uživatele MTA (např. postfix).

Ze stejného důvodu musíte spustit i nginx/apache a php-fpm pod userem ferko, protože jinak se to skryje (nejčastěji) pod uživatele www-data.

Rozumiem. Ale teraz mi ide o zabezpecenie len jednej aplikacie na desktope takze totoby asi mohlo stacit. samozrejme, keby to bolo  nejake php CMStak by bolo potrebne mat pod ferkom spusteny  apache/nginx + php.

83
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 13:05:14 »
Jednoduchý postup na to nemám, jsou to hodiny práce. Internetové návody toto vůbec neobsahují (ostatně stejně jako jakékoliv opravdu dobré postupy), předpokládá se, že odborník už umí svojí diskrecí pokračovat v nastavení.

nie som si 100% isty, ale zda sa, ze toto by mohlo fungovat takto:

1) vytvoril som usera "ferko"
2) nastavil pravidlo do iptables
3) ked zavolam ping, tak to nema dovolene :)

Kód: [Vybrat]
sudo adduser ferko
sudo iptables -A OUTPUT -o NAZOV_NET_INTERFACE -m owner --uid-owner ferko -j DROP
su ferko -c 'ping google.com'
ping: sendmsg: Operation not permitted

takto by to mohlo fungovat, nie?

zdroj:
https://www.cyberciti.biz/tips/block-outgoing-network-access-for-a-single-user-from-my-server-using-iptables.html

84
Odkladiště / Re:Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 12:40:19 »
nerad by som to stocil k diskusii o CMS a pod. Mne momentalne skor ide o bezpecnost na desktope, resp. chcem zabezpecit len jednu aplikaciu.

najviac ma zaujal bod:

3. Na firewallu nefiltruji jen provoz dovnitř, ale i provoz ven. Aplikace nemá co komunikovat ven ze serveru, když o tom nevím. (Tím se také značně omezí možnosti šíření (D)DoS a červů.


co som googlil, tak by to malo fungovat nasledovne:
1) aplikaciu spustal len pod userom ABC
2) na firewalle zakazat outgoing pre usera ABC
stacia zabezpecit tieto 2 body pre "pocit bezpecia a istoty"? mate link na jednoduchy postup ako to nastavit? zatial som ziadny pre mna rozumny nenasiel.

jo, a zabudol som poznamenat ze bezim na ubuntu 16.04
dik




85
Odkladiště / Bezpečnosť Dockeru, KeePass a OSS obecne
« kdy: 30. 03. 2020, 10:50:23 »
Ahoj, potrebujem izolovat jednu aplikaciu od internetu, ale tak, aby bola dostupna z mojho desktopu/hostu - koli bezpecnosti. Najskor ma napadol VirtualBox ale ten je trochu tazkopadny, potom som uvazoval o Dockeri ale nejako mi nesedi - neva to teraz nie je podstatne. Skor ma napadlo toto: uvazujete nad bezpecnostou OSS aplikacii, ci im je naozaj mozne na 100% verit, napr. ci nejake CMS (wordpress, joomla) alebo iny OSS projekt (KeePass, tomcat, mysql, SVN, git, nejaka wiki a milion dalsich) neposiela vase data(zdrojaky/dokumenty), zakaznicke data(!!!) z produkcie niekam prec do ciny/ruska/whatever?

jasne, je to open source, mozem si to skontrolovat, ked som paranoik, ale robite to niekto alebo slepo verite komunite?

Co sa tyka "serioznych" projektov, ako napr. mysql/postgres/apache/git/svn tak by to "snad" bolo OK, ale co taky NodeJS a jeho milion balickov, tam je dost velka pravdepodobnost, ze si nieco "zavadne" dotiahnem, podobne image pre Docker(tusim sa tam tazili nejake bitcoiny), alebo rozne pluginy pre CMS, tam je tiez vysoka sanca nieco chytit.

Hladam proste nejaky mechanizmus aby aplikacia X nekomunikovala so svetom mimo toho, na co je primarne stavana. Nebojim sa, ze by mi zasifrovala data a potom vydierala, ale aby mi nic neuslo von/prec.

86
Vývoj / Re:Algoritmus výplně gridu
« kdy: 05. 03. 2020, 08:17:25 »
Nevím, jestli jsem zadání pochopil úplně správně, ale připadá mi to jako Multi-dimensional knapsack problem a jaké to má důsledky, to už se dočteš na wikipedii.
... a pre upresnenie, jedna sa o klasicky 2D cutting stock problem - vid google. Je to dost komplexna problematika, hoci na prvy pohlad to nevyzera velmi zlozito.

pokial hladas algoritmus, ktory ti najde optimalne riesenie, tak to bude dost problem (google: NP-hard), ak by si stacila heuristika, doporucujem tieto odkazy:

https://codeincomplete.com/posts/bin-packing/
https://blackpawn.com/texts/lightmaps/
https://github.com/juj/RectangleBinPack/blob/master/RectangleBinPack.pdf
https://github.com/juj/RectangleBinPack

87
Vývoj / Re:JS canvas 2D knihovna
« kdy: 09. 09. 2019, 11:57:30 »
to co potřebujete umí konvajs

dakujem, ta konva vyzera dobre:)

88
Vývoj / JS canvas 2D knihovna
« kdy: 09. 09. 2019, 11:31:27 »
Ahoj, doporucili by ste mi niekto javascriptovu kniznicu, ktora je user-friendly a dokaze vykreslit obdlzniky, ktore by vypadali podobne ako "stacked bar charts"? Proste obdlnik, rozdeleny na niekolko mensich (vnorenych) obdlznikov s textovym popiskom.

nieco podobne ako je canvasjs.com, ale to je priliz zamerane na grafy, mne ide cisto len o ten "bar" bez x/y-osy a ich popiskov a pod.
https://canvasjs.com/javascript-charts/stacked-bar-100-chart/

musi to byt responsivne a ak by to este vedelo podobnu "on hover" popiskovu bublinu bolo by to idealne.

dik za tipy.

89
Vývoj / Re:Facebook API - zobrazení příspěvku ze skupiny
« kdy: 04. 06. 2019, 22:44:51 »
obavam sa, ze cez app review by to asi nepreslo. v podstate potrebujem proxy sluzbu na facebook. Este ma napadlo, ze  mozno by to slo urobit cez Selenium, resp. nieco podobne, co sa dokaze prihlasit a prejst na nejaku definovanu stranku. - len dufam, ze pri prihlaseni nemaju nejako osetrene prihlasovanie robotov.

zdar

90
Vývoj / Facebook API - zobrazení příspěvku ze skupiny
« kdy: 04. 06. 2019, 07:00:20 »
Ahoj, prosim o radu, ci je nasledovny scenar mozne naimplementovat.

Facebook nepouzivam, ale zial existuje neverejna skupina, ktorej obsah ma "musi" zaujimat. Ide o info z kruzku pre deti. Mam na facebooku fake ucet, na ktoreho email mi chodili notifikacie o novych prispevkoch z uvedenej kupiny - ktorej som clenom, ale par mesiacov dozadu tieto notifikacie prestali chodit. Podla vsetkeho (aj manualu k facebooku) by som mal mat vsetky notifikacie emailom povolene na svojom ucte a aj na skupine, ale aj tak nechodia. - BTW: Neviete nic o zmene s notifikaciami?

Moja predstava scenaru je nasledovna:
Mam k dispozicii verejny server, na nom bezi java/php/node.js. Idealne by bolo, keby facebook poskytuje API, s pomocou ktoreho by som sa dostal k prispevkom tejto skupiny a tie by som si but online prehliadol na stranke toho mojho servera, alebo by sa periodicky ukladali do db a nasledne ak by som potreboval, tak by som si ich zobrazil na nejakej vlastnej stranke. Staci mi read-only pristup, ja do tej skupiny prispevky nepisem a ani to nie je nutne. Potrebujem len vediet, co sa v skupine deje.

Proste nieco, aky som sa nemusel prihlasovat na facebook a taktiez to musi fungovat len na strane servera - (ziadne clientske API) pretoze v /etc/hosts mam facebook-like domeny nastavene na localhost.

dik za rady.

Stran: 1 ... 4 5 [6] 7 8 9