Příspěvky

121

Studium a uplatnění / Re:Práce Linux administrátora

« kdy: 18. 12. 2018, 12:02:46 »

Este nikto tu nezmienil, ze na VS okrem titulu ziskas aj vela kontaktov. [...] a v buducnosti moze prist nejaka ta zaujimava ponuka aj od nich.

Tím chceš říct, že v práci žádné kontakty nezískáš nebo od těch kontaktů žádná nabídka nemůže přijít?

Ziskas a aj pride.. Ale ziskas lokalne kontakty.. Zatialco spoluziaci po VS sa rozlezu po celej republike/svete a sanca, ze pride zaujimava pracovna ponuka od nich je vacsia a budu to kontakty viac globalne ako ked sa pohybujes v jednej firme.

122

Studium a uplatnění / Re:Práce Linux administrátora

« kdy: 18. 12. 2018, 10:18:32 »

Este nikto tu nezmienil, ze na VS okrem titulu ziskas aj vela kontaktov. Kamarati, ktori za tych par rokov spoznaju Tvoje skilly a v buducnosti moze prist nejaka ta zaujimava ponuka aj od nich.

Za dalsie: Zalozis si firmu, lebo si povies ze chces nieco dosiahnut.. A prides na jednanie ako Ferda Mravenec.. No tak sa na Teba budu pozerat ako na Ferda Mravenca. Nejaky lempl nam tu rozprava o tom ako dizajnovat siet.. Ked prides ako Ing. Ferda Mravenec tak uz hned je prvy dojem iny.. Ano, podstatne je co vyjde z Tvojich ust potom ako ich otvoris, ale aj tak.. Titul o niecom svedci.

Tych 5 rokov za to urcite stoji aj keby to k praci nebolo vyslovene nutne.

123

Studium a uplatnění / Re:Práce Linux administrátora

« kdy: 17. 12. 2018, 11:14:23 »

Vysoka skola nic nezarucuje, ale ak ju nemas tak zaklada urcite podozrenie ze Ti chyba nejake koliesko v hlave..Tak to proste je..

Hlavne dnes ked ma VS kazdy druhy clovek. A zo zivota takisto viem, ze s VS vzdelanymi ludmi sa omnoho lepsie komunikuje  a riesia problemy ako s ludmi bez VS.  Ak nemas na tuto VS, tak si sprav nejaku lahsiu ale ked ju nebudes mat vobec som si isty, ze v buducnosti budes lutovat.  Jasne, ze dobreho linux admina mozes robit aj bez VS, ale ak sa budes chciet v buducnosti niekam posunut s VS mas otvorene viacere dvere ako bez nej..

124

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 15. 12. 2018, 19:05:11 »

Kratky bruteforce.. Bruteforce riesim iptablami a ratelimitom..

Napriklad haslimit je na to vhodny..

Hashlimit is an iptables module that allows one to define rules that in effect will limit traffic speed (bytes / time unit) or frequency (connections / time unit) per target or origin ports / IPs. DoSy  riesim tiez iptablami a optimalizaciou
 kernelovych parametrov.

To mam poriesenu sietovu vrstvu a zakladny bruteforce kde si urcim kolko paralelnych spojeni alebo kolko novych spojeni v definivanom casovom okne je klientovi dovolene spravit.. To je ochrana na "paketovej" urovni..

Nad tym este chranim samotnu sluzbu moznostami ktore su dostupne nativne v danej sluzbe (napriklad web pomcou mod_security).  Takze ano stojim si za tym, ze pokial vies co robis nic ine ako iptables a spravne nakonfigurovana sluzba nie je potrebne..

Fail2ban pre domace pouzitie OK, do produkcneho prostredia je to trochu tragikomicke..

125

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 13. 12. 2018, 13:03:35 »

Jasne dalsi supportak prisiel. Hlavne fail2ban, otvorene sshcka do netu a neustale zvatlanie security through obscurity su dokaz vysokej profesionality a odbornych znalosti.

126

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 13. 12. 2018, 11:18:23 »

Pre tvoje dobro dufam, ze nerobis na vyssej pozicii ako na 1st level support.

127

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 12. 12. 2018, 15:06:03 »

Abych to tedy sesumiroval: security by obscurity je proste pro tebe silny argument. Ok.

Aby som to zosumarizoval aj pre pomalsich. Pri VPNke bude ten kto sa o nieco pokusa odpaleny hned pri prvom pakete pretoze nebude sediet HMAC paketu. Cize tvojim spojenim sa server nebude ani zaoberat cim setris vypoctovy vykon a ciastocne sa branis pred DoSom. Ako si nakonfis VPNku a ci budes pozadovat 48 klucov a hesiel , alebo len 1 heslo  a 1 kluc je na tebe.

Oproti tomu ked si otvoris tcp port tak tvoj otvoreny port zistim velmi rychlo a mozem sa zacat o nieco pokusat. Alebo ta zafloodujem a nepripojis sa (hlavne pokial nemas synproxy a ine ficury).

128

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 12. 12. 2018, 05:56:26 »

....

Dobre tak si to zhrnieme..
otvoreny port ssh = detekujem obycajnym telnetom a ked mam tvoj certifikat (okej sanca ho ziskat je mala) tak som u teba pripojeny (pripadne este aj heslo).

Vpn = udp otvorene detekujem len ak viem o linuxe a sietach trochu viac ako pouzivat telnet a k tomu aby som sa do tej VPN pripojil potrebujem presne 2kluce + 1 certifikat + mozem chciet aj heslo. Ked sa pripojim do Vpn tak potrebujem dalsi kluc/dalsie heslo na login cez ssh na ktore mi nebudu liezt script kiddies, pretoze cez vpnku sa nedostanu.

Obidve riesenia su funkcne a asi aj maju malu sancu na prelomenie, ale pri tom druhom je to akosi principialne lepsie.. To je vsetko co som chcel povedat.

Nech si kazdy vyberie co uz a za vhodne, ale potom sa tu hrame s hlupostami ako fail2ban, ktory pri spravne nakonfenej sluzbe (akejkolvek) nema na serveri opodstatnenie.

129

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 11. 12. 2018, 19:42:37 »

Pretoze na ssh, http prebieha najviac automatizovanych utokov.

Dalej detekovat otvoreny tcp port je jednoduche. Detekovat otvoreny UDP port je mozne, ale nie kazdy vie ako..

Dalej napriklad openVPN Ta posle do zadeke hned ako nebude sediet prvy paket (tls-auth) a nebude sa tvojim spojenim ani zaoberat este predtym ako vobec pride ku kontrole certifikatu a hesla..

Cim usetris vypoctovy vykon servera, a znizis sancu ze sa tam niekto dostane..

Teda vpnkou znizis sancu na DoS,auspesne lognutie alebo to ze vobec niekto pride na to, ze Ti tam nieco bezi o 99.9 percent.. Nevidim ani jeden rozumny dovod na to zbytocne cokolvek otvarat do netu.

A ked ano a ma to byt spravene nejak takto (k comu mam ja vazne vyhrady) tak miesto fail2banu by som zvolil asi radsej port knocking a tu kombinaciu portov pravidelne menil.

Takcitak ten postfix bude treba poriesit nejak rozumne.

130

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 11. 12. 2018, 18:06:36 »

Chcel by som vedieť, či to už niekto skúšal, prípadne má fungujúce riešenie, čoho sa vyvarovať a podobne.

Ano a ja som odpovedal, ze fungujuce riesenie je nakonfigurovat to spravne s VPNkou a riadne nakonfenym postfixom + iptablami. Cokolvek ine je vizitka hodna tak 1st level support junior admina.

Ale ked sa bavime o tom dotiahnut tuto prasacinu k dokonalosti tak ano , obycajny skript, ktory sa sshckne na router a zada tam command iptables -I INPUT -i  eth0 -s 1.2.3.4 -j DROP a zaroven napriklad pomocou "atd"  vyhodi toto pravidlo o nejaky cas z iptablov tak to bude funkcne.

131

Server / Re:Fail2ban na serveri, iptables na routri

« kdy: 11. 12. 2018, 16:34:17 »

postfix a ssh

Iba blazon ma otvorene ssh do internetu..Jedine ak stavias honeypot To sa riesi VPNkou. A postfix treba riadne nakonfigurovat aby nebol open relay + mozes pouzit hashlimit alebo nieco na ten styl.. Fail2ban a podobne prasaciny na normalne nakonfigurovanom serveri nemaju vobec opodstatnenie..

132

Sítě / Re:OpenVPN server - Na smerovaci alebo RPi

« kdy: 10. 12. 2018, 10:13:09 »

Akekolvek RPi bude stacit.

133

Sítě / Re:Mikrotik firewall

« kdy: 05. 12. 2018, 06:57:30 »

Nuz.. tazko budete obmedzovat traffic na 3tej vrstve (routing), ked vase zariadenia sa kontaktuju cez 2 vrstvu (switch - MAC adresa)..
Takze riesenia su 3.

1.Private VLAN
2. Pridat subnet pre to 1 zariadenie, nastavit proper routing a potom sa bude matchovat Vase forward pravidlo.
3. Nastavit lokalny firewall na zariadeniach

134

Server / Re:Jak surfovat na webu, který nemá doménu, ale jede na VirtualHost

« kdy: 04. 12. 2018, 15:57:03 »

Podla mna sa bude zobrazovat ten ktory je v konfiguraku prvy (resp. podla abecedy, ako spominal vyssie) a k tomu duhemu sa nedostane.
Nemam to odskusane, ale myslim si to.

Ano budu sa zobrazovat oba. Preto sa VirtualHost vola VIRTUAL host, lebo dokazes na 1 apachy hostovat viacero domen. Rozlisuje sa to podla toho co dorazi v hlavicke Host (aj ked to dorazi na rovnaku cielovu IP). Treba zapnut tcpdump a otestovat.. Alebo curl -v

135

Sítě / Re:Automatická instalace systému přes PXE

« kdy: 03. 12. 2018, 14:09:22 »

Na instalaciu centos/RHEL som pouzil kickstart file. Je to proprietarna vec priamo od redhatu a velmi dobre zdokumentovana. Overene a je to funkcne bez jedineho stlacenia tlacidla. Tymto nainstalujem basic filesystem s par balickami.

Pre dokonfigurovanie a  zlozitejsie konfiguracie pouzivam uz puppet alebo iny deployment tool. Ked to ma robit hotovy webserver a ma robit tych webserverov vela a dynamicky menit veci v konfigurakoch odporucal by som prave tento tool.