reklama

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Miroslav Šilhavý

Stran: 1 ... 106 107 [108] 109 110 111
1606
Sítě / Re:Mikrotik, Mangle a intervlan routing
« kdy: 19. 09. 2017, 11:14:47 »
Pokud je cílem, aby vlan30 spolu s LTE zůstala oddělena od mezi sebou fungujícího zbytku, tak bych zvážil použití VRF.

Také toto řešení doporučuji. Jen ještě doplním, že pokud samotný Mikrotik má své služby poskytovat i v rámci VRF (např. DNS dotazy, nebo sám přistupovat na internet skrz VRF), je nutné ještě doplnit příslušné lookupy na routovací tabulku VRF.

1607
Sítě / Re:ipv6 a blacklisty
« kdy: 19. 09. 2017, 09:24:09 »
To jsme se ale dostali jen z deště pod okap – fail2ban nepovažuju za obranu, nýbrž za nesmysl, který nezabrání ničemu, maximálně odřízne oprávněného uživatele. To jste popsal jak se to snadno nasazuje, ale z toho vůbec neplyne, že by to byla obrana nebo dokonce že by to byla výhodná obrana.

Ale jo, má své místo. Musíte uvažovat, že každý typ ochrany má svůj přínos, svoje nevýhody, ale taky svoji cenu za nasazení a údržbu. Když si vezmu přínosy (zastavení útoku na počátku), nevýhody (false positives) a cenu (velmi nízká - jsou to dnes už de facto samočinné systémy), pak mi black listy i fail2ban smysl dávají.

Já pořád na blacklistu nevidím nic, co by něčemu bránilo. Jak se něco dostane na blacklist? Teprve po detekovaném útoku. Takže tomu útoku blacklist rozhodně nezabrání. A přidávat něco na blacklist vychází z předpokladu, že útočník bude příště útočit ze stejného místa. Je ten předpoklad oprávněný? Podle mne ne, protože útočníkovi nic nebrání příště zaútočit odjinud. Takže podle mne blacklist není obrana, protože novým útokům nedokáže zabránit z principu a při opakovaných útocích je jednoduché ho obejít.

Tady nesouhlasím. Velká část útoků probíhá ze stejné IP. Máte naprostou pravdu, že to obejít lze. Ale nikdo netvrdí, že je to jediná a 100% ochrana. Je to jen střípek ochrany bránící efektivně proti určitým typům útoků. Jsou místa, kde mám např. nastavené blacklistování i na několik dní, pokud s jistotou rozpoznám port scan. TCP spojení pak i tarpituji. Zjednodušeně řečeno, ochráním tím prakticky bezpracně síť zejména od DoS útoků, neochráním ji od DDoS.

Fail2ban považuji až za nouzové opatření. Jeho výhoda je ale v tom, že např. dokáže vyhodnocovat logy z mod_security. Ty už jsou někdy velmi, velmi přesné, a efektivita je pak obrovská.

1608
Sítě / Re:ipv6 a blacklisty
« kdy: 19. 09. 2017, 08:10:13 »
Stejně jako dnes. Blacklist není obrana. Je to jako kdybyste chtěl dům „bránit“ tím, že vytvoříte seznam jmen těch, kteří vás vykradli.

Podle mě blacklist obrana je. Už samotný mechanismus fail2ban je formou blacklistu s dynamickým listingem a deslistingem.

Blacklisting má tu výhodu, že se dá poměrně jednoduše offloadovat, předsadit na technologii před chráněným prvkem. Chráněný prvek pak může být jednodušší, jednodušeji konfigurovaný, nebo i třeba méně výkonný, protože ušetřen o peaky nevhodného provozu.


S IPv6 bude potřeba vyvinout nové metody detekce a obrany. Bude se muset rozlišit situace, kdy je potřeba zablokovat jedna IP (například s nakaženým PC), a kdy je potřeba zablokovat celý delší prefix. Je také možné, že se zjistí, že forma blokování (blacklistingu) je už méně účinná, než jiné metody ochrany.

1609
Odkladiště / Re:Čichací robot
« kdy: 19. 09. 2017, 08:05:01 »
PS: Já sa sprchujem 2 až 3 krát denne (ano plytvám) ale aspoň raz denne by sa mal osprchovať každý

Já taky 2x, ale je pravda, že odborníci to považují za přehnané, v určitých ohledech i neprospěšné pro organismus. Podle statistik z civilizovaných zemí, někde jsem četl, je průměr POD 1x denně, a Češi (a asi i Slováci) jsou prý nadprůměrní v četnosti hygieny. Takže bych asi úplně nevynášel soudy, co by měl dělat každý, rozhodně to není jednoznačné.

Jinak k Vašemu názoru, někomu říkat, že byly vynalzeny sprchy, znám lidi, kteří se sprchují 2x denně a přesto jsou cítit. Někdo nemůže za to, že jeho tělo reaguje jinak. Asi by mi přišlo takové hodnocení jako urážlivé.

1610
Odkladiště / Re:Čichací robot
« kdy: 19. 09. 2017, 08:01:02 »
Znáte to, řada kolegů to s hygienou prostě nepřehání.
Kolikrát si vezmou stejné onuce i druhý den.
Myslím, že je to řešení.

Moje zkušenost je z pozice vedoucího. Když se v týmu objeví někdo takový, okolí se mu to nejdřív snaží naznačit. Začnou kupovat osvěžovače vzduchu, větrat, k narozeninám nebo svátku dotyčný dostává deodoranty.

Nic z toho nefunguje.

Jediná možnost je, dotyčnému to říct přímo. Z mojí zkušenosti je nejlepší, když si s daným promluví právě vedoucí, protože jeho nemůže poslat do zadele. Reakce pak bývají rozdílné. Někdo se diví, že to sám necítí, a nechá se ujistit, že to fakt je cítit. Někdo se krátkodobě urazí, ale stejně to zlepší. Někdy třeba řeknu vlastní zkušenost, co mně vyhovuje při hygieně - ani ne tak jako radu, ale spíš na odbourání bariér, že toto téma nemusí být tabu.

Na takový postup je samozřejmě potřeba mít na pracovišti dostatečně dobré vztahy. Je to velmi citlivé téma, protože postižený pak samozřejmě uvažuje, jestli tím neříkáte, že jsou doma čuňata, nebo je také konfrontovaný s tím, co si má myslet o vlastních rodičích, když ti to nikdy neřešili.

Na konec je nutné si připomenout, že vztah k tělesným pachům je velmi, velmi subjektivní a daný kulturou a stavem společnosti. Před 30 lety deodoranty nepoužíval skoro nikdo. Ani ženy, natož muži, si neholili ani podpaždí. Bylo daleko větší zastoupení dělnických profesí. To vše vedlo k tomu, že např. v dopravních prostředcích byl odér naprosto běžný, a už nikdo ho vlastně nevnímal. Stejně jako nikdo nevnímal pachy z cigaret, které byly přítomné všude, včetně kancelářských budov (běžně na chodbách bývaly popelníky). Vlažnější přístup k eliminaci pachů mají i ti, kteří jsou zvyklí, ať už sami, či v jejich rodině, pracovat fyzicky. Z toho důvodu je potřeba mít dávku pochopení, a možná si i sám sobě si maličko připomenout, jestli naše citlivost k pachům není taky určité přehánění, jen na opačnou stranu.

1611
Toto jsem ve firmě řešil víckrát, nakonec jsem vedl úvahu o rozdělení projektů:

1. Projekty, které jdou neustále dopředu, a které mají speciální požadavky.
U takových mám v rozpočtu zahrnuto, že jedou na vlastní VPS (případně aspoň FreeBSD jailu). Těm udržuji prostředí, jaké si řekne programátor a počítám s tím, že to něco stojí. Nepodařilo se mi nikdy nakombinovat na stejný server projekt se speciálními požadavky a "běžné" projekty.

2. Projekty "vyrob a zapomeň".
To jsou projekty, kde zákazníkovi předáte verzi, a nepočítá se s dalším (průběžným) vývojem. Někdy je to dáno typem projektu (jednorázovka, k určité příležitosti), jindy je to dáno budgetem nebo přístupem (očekáváním) zákazníka. V tom případě mají programátoři k dispozici server, kde je aktuální Debian / FreeBSD, který udržím až do konce životnosti ve své verzi.

Tím mi historicky vznikly servery s Debian 7, 8, 9, které udržuji.

3. Udržované projekty
Ty vznikají ze skupin 2 tím, že se na nich aspoň čas od času pracuje, a je tedy časová dotace na to, tyto projekty aspoň pomalu migrovat na vyšší verze prostředí.

4. Databázové servery
PostgreSQL a MySQL, resp. MariaDB mám vždy na oddělených strojích, výjimkou jsou projekty ve skupině 1. Tím si mohu dovolit, že se nemusí dělat změny v práci s databází, i když povýším zbytek prostředí.

5. Využívání FreeBSD a jailů
Dobře se mi osvědčilo pracovat v jailech na FreeBSD. Tím můžu mít s poměrně malou režií k dispozici víc kombinací prostředí.


Summa summarum: nejprve je potřeba rozdělit projekty podle toho, na co je budget. Pak je jistě potřeba trochu držet zpátky programátory, ne vždy a všude je možné jim dělat custom prostředí. Instalovat z neoficiálních repozitářů lze, ale o to více je problematická otázka udržitelnosti prostředí. Často tyto repozitáře uhynou, nebo podporují jen nejnovější debian, a pak jste nahraný. Naopak, tam kde je budget, lze jít stále dopředu. Pak je docela zajímavé zvážit FreeBSD, jeho systém instalace z portů má nesporné výhody v těchto situacích. Lze tam nakombinovat verze daleko volněji, než u Debiana.

1612
Odkladiště / Re:Alza nechce uznat reklamaci telefonu
« kdy: 18. 09. 2017, 11:25:35 »
Vis ty BLBE co je to OBJEKTIVNI ODPOVEDNOST? Vis o tom lautr hovno.

Náhodou vím, heč.

Objektivní odpovědnost je takový druh odpovědnosti, kterého se nedá zbavit jinak, než liberací. Liberace je pak institut, při kterém ten, kdo je odpovědný, musí prokázat, že nemohl škodě zabránit ani při maximálním úsilí, které vynaložil / vynaložit mohl.

Příkladem objektivní odpovědnosti je např. odpovědnost při držení zbraně. Další příkladem je odpovědnost provozovatele vozidla za vybrané přestupky, byť to zákonodárci natextovali jako "správní delikt", obsahově se jedná o běžné přestupky s možností liberace.

Objektivní odpovědnost se nařizuje (předpisuje) tam, kde nelze dosáhnout uspokojivého či uspokojivě účinného (rychlého) výsledku jinými způsoby, nebo tam, kde potenciální škoda výrazně převyšuje tento zásah do subjektivních práv (např. ochrana života, státních zájmů, majetků obrovských hodnot atp.).

Objektivní odpovědnost se zcela jistě netýká odpovědnosti za vady.

1613
Odkladiště / Re:Problem s reklamaciou v alze
« kdy: 17. 09. 2017, 21:18:49 »
Tak pozor, to je rozsireny a zcela nepodlozeny omyl, ktery jen jedinkrat zminil nejaky advokat (nebo radoby kocourek?) pri navrhu zakona, pritom ani v navrhu to nebylo. Realita je samozrejme takova, ze jako nepodnikatel mas 24 mesicu zaruky, jako podnikatel 12 a kdyz jde o bazarove zbozi, tak 6. Pro klasickeho nepodnikatele je smerodatnych 24 mesicu, zadnych 6 nikoho zajimat nemusi, nicmene tenhle mytus je stale z nepochopitelneho duvodu rozsirovan dal.
Druha vec je, zda ma ten clovek ciste svedomi a telefon si nerozbil sam, pokud ne, tak bych trval na bezplatne oprave a taky ji dostal. Pokud ano, no tak to zkusil, nevyslo to a dal bych nad tim nebrecel.
Nicmene bych se priklanel k druhe variante, protoze jiste mu neprisla zadna faktura na opravu, to by znamenalo, ze uz byl opraven a on s opravou a zaplacenim souhlasil.
Navic je to android, dva roky stary, cili davno zraly do sberneho dvora s nulovou hodnotou, takze bych nad tim opravdu moc nepremyslel. A navic, IMHO, si jej rozbil sam.

Omlouvám se, ale nemáte pravdu, patrně jste kolem toho moc nepřečetl. Záruka je vždy 24 měsíců (vyjma použitého zboží, zboží prodaného jako vadného, se slevou atd.). Je stejná i pro podnikatele. Během prvních 6 měsíců má kupující o to lepší pozici, že ho nechrání jen záruka (odborně právo z vadného plnění), ale navíc ještě i ustanovení o jakosti při převzetí. V minulosti, ve starém Občanském zákoníku skrývalo totéž právo pod pojmem shoda s kupní smlouvou, obsah však zůstal prakticky stejný i v novém Občanském zákoníku.

Pokud tedy chcete mluvit opravdu exaktně, pak v prvních šesti měsících je pro spotřebitele uplatnit právo na jakost při převzetí, před uplatněním práva z vadného plnění. V praxi se to nerozlišuje, protože Občanský zákoník pamatuje na to, že všechny právní úkony se posuzují podle jejich věcného naplnění, nikoliv podle jejich formální stránky. Tedy, pod pojmem reklamace, uplatnění záruky a i dalšími pojmy se vždy skrývá úkon buďto uplatnění práva na jakost při převzetí, nebo na uplatnění práva z vadného plnění. Je zřejmé, že obchodník nemůže předřazovat méně výhodné právo z vadného plnění před právem na jakost při převzetí, takovým postupem by krátil práva kupujícího (pak by bylo ustanovení o jakosti při převzetí v zákoně k ničemu). Takže, zcela automaticky, obchodník ví (měl by vědět), že v prvních 6 měsících vyřizuje reklamaci jinak. Jako spotřebitel si toho nemusíte vůbec všimnout, prostě bez problémů vyřeší Vaši reklamaci.

Dále důležité odstavce z Občanského zákoníku:

Citace: Zvláštní ustanovení o prodeji zboží v obchodě
§ 2158
(1) Je-li prodávajícím podnikatel, platí pro prodej při jeho podnikatelské činnosti kromě obecných ustanovení o kupní smlouvě i ustanovení tohoto pododdílu, ledaže je kupujícím také podnikatel a při uzavření smlouvy je z okolností zřejmé, že se koupě týká také jeho podnikatelské činnosti.
(2) Plnění, která se při prodeji věci obvykle neposkytují, je třeba zvláště ujednat.

Citace: Práva z vadného plnění
§ 2165
(1) Kupující je oprávněn uplatnit právo z vady, která se vyskytne u spotřebního zboží v době dvaceti čtyř měsíců od převzetí.

[/b]
Citace: Jakost při převzetí
§ 2161
(1) Prodávající odpovídá kupujícímu, že věc při převzetí nemá vady. Zejména prodávající odpovídá kupujícímu, že v době, kdy kupující věc převzal,
[...]
(2) Projeví-li se vada v průběhu šesti měsíců od převzetí, má se za to, že věc byla vadná již při převzetí.


1614
Odkladiště / Re:Alza nechce uznat reklamaci telefonu
« kdy: 17. 09. 2017, 14:47:00 »
Ale dyt je fuuurt dokola. Alza je proste takova, uz mraky let. Ani hrebik - lidi neblaznete, vzdyt je kolem mraky obchodu, ktere se takto nechovaji!!!
 Jednou jedinkrat jsem se nechal ukecat na zbozi, ktere jinde nebylo - ac jsem o problemech vedel - a ? A ano! Nezklamali - nikdy, nikdy , nikdy!!!!!
Jsou to smej.di!

Určitě jste toho nakoupil srovnatelného desítky a stovky kusů v alze a jinde, že? :-)
Ono je to všude stejné, obchodník se spotřební elektronikou dělá tak, jak mu káže dodavatel / výrobce. Samotné Alze je to jedno.

Horší zkušenost, co jsem sesbíral od svého okolí, mají lidé s tzv. šedým dovozem, kde nelze uplatnit záruku v síti autorizovaných středisek. Tam pak obchodník, který je často zároveň i dovozcem, musí opravdu dělat první, poslední, aby reklamaci nemusel uznat. Protože, na rozdíl od Alzy, která náklady přenese na dodavatele, dovozce je zaplatí z vlastního zisku.

1615
Windows a jiné systémy / Re:Nahlášení chyby MS
« kdy: 17. 09. 2017, 10:01:58 »
Nevím, jak Microsoftu nahlásit chybu v jeho aktualizaci, proto prosím, kdo máte možnost, o sdělení následující chyby.
Aktualizace KB4011086 pro již historický MS Outlook 2007 jej částečně přeloží do norštiny nebo nějakého jiného ugrofinského jazyka.

Zejména by to chtělo nejdřív ověřit, že už to není hlášený problém - samozřejmě je. BTW jedná se o švédštinu.
Info + info o hotfixu: https://social.technet.microsoft.com/Forums/office/en-US/72037dce-f8bb-475f-8f2d-4af6b3a9ea88/latest-outlook-2007-security-patch-kb4011086-is-wrong-patch-is-change-app-language-to-swedish?forum=officeitprolegacy

1616
Fotoaparát podporuje jen FAT32 a NTFS.
FAT32 nemumí větší soubory než 4GB, které chci na kartu dávat.
OS X umí pracovat s NTFS jen v režimu čtení.

Odpověděl jste si sám:
1. Všechny podmínky zároveň nelze splnit.
2. Fotoaparát nenaučíte jiný filesystém.
3. FAT32 nepřesvědčíte přijmout soubor > 4 GB.
4. Jediné řešení je podpora zápisu NTFS v MasOXu, ale to, pokud vím, jde jen s podporou software třetích stran.


1617
Je tedy ,pravda, že předsazený firewall logicky nemůže být statefull nebo že nemůže mít informace, jakému procesu, stream/paket patří?

To co popisoval jirsák,  bych chtěl ,pro windows a linux, hlavně to, aby to třeba uťalo komunikaci, podle délky tcp streamu nebo tak

Statefull může být i předsazený FW, ten bude mít informaci o spojení, ale samozřejmě ne o jménu procesu na jiné mašině.

TCP nemá stream, ale spojení. Pokud řešíte délku TCP spojení, jsou na to v linuxu v iptables filtry. Na to jistě potřebujete statefull firewall, stateless nemá ponětí o tom, kolik dat už ve spojení proteklo.

1618
Server / Re:Zálohování virtuálních strojů za chodu
« kdy: 14. 09. 2017, 11:15:19 »
Jeste k tem virtualizovanym DB - tam se to trosku komplikuje. Pokud se udela zaloha VM pres hypervizor, tak ten vetsinou neumi vyloucit adresare uvnitr VM. Takze datovy disk treba pro postgre to resi. Jenze zase...pokud dam jako PGHOME oddeleny disk, ktery se nezalohuje pres hypervizor, tak ten PGHOME obsahuje i ssh/config soubory :/ Coz pak znamena explicitne urcit dane adresare/soubory do filebackup systemu...Proste mismas.

Proboha, PostgreSQL je Postgres, ne Postgre :( (První jméno bylo Postgres 95).
Pokud se zálohuje VM, tak tam stačí quiesce a maximálně přijdete o poslední segment WAL.
Zálohovat uživatelský ~/.ssh/ mi nepřijde jako žádné riziko, k zálohám se stejně nesmí dostat nikdo nepovolaný.

U mne rozhodne teda ted plati, ze na hypervizorech je nedostatek CPU, ale backup masina se nudi vetsinu casu.

Pokud se dívám do statistik, a LZO mi šetří cca 70 % přenosu, tak raději odlevím switchi. Taky se mi lépe monitoruje zdroj problémů, vyskočí mi to na konkrétním VM. To je ale opravdu věc koncepce, software podporuje obě možnosti, právě proto.

Chápu vše, co mi říkáte, ale nějak nerozumím Vašim tezím.

1619
Ale nevím, jak dnes vypadají možnosti konfiguraci Windows firewallu, to bude podle mne podstatnější omezení.

Souhlas. Windows Advanced Firewall je statelfull (na rozdíl od Basic Firewall). 100% to tvrdit nedokážu, ale jsem přesvědčený, že jakmile spojení pravidlem projde, celý jeho zbytek už doběhne i po změnách. To už lze lehce vyzkoušet.

1620
Server / Re:Zálohování virtuálních strojů za chodu
« kdy: 14. 09. 2017, 10:32:01 »
Zajimave. Ja jsem dump postgre pres jednotlive databaze zrusil, protoze to pak vyzaduje i dumpovat uzivatele extra atd...Takze to pouzivam jen vyjimecne. Za zaklad povazuji zalohovani pres WAL, ale je to zrout mista, takze to nelze bez extra nastroju drzet takovou dobu, jako kompresovane dumpy - ale ty jsou pouze nouzova zaloha.

Na to je jednoduchý script, který zazálohuje i globaldata:
for I in `/usr/bin/psql -d template1 -q -t -c "SELECT datname FROM pg_database WHERE datname NOT IN ('template0') ORDER BY datname;"`; do
        /usr/bin/pg_dump -F t ${I} | /usr/bin/lzop -1 > ${TEMPDIR}/${DATE}${I}.tar.lzo
done


S tou nedostatecnou deduplikaci souhlasim, ale zase se da udelat Always Incremental, k cemuz se snad taky nejak dostanu casem.

To ano, ale stejně musíte dělat full zálohy, mít dlouhý řetěz inkrementů není bezpečné.

S tou lzo kompresi, predpokladam, ze to vyzaduje LZO na klientech. Je mi milejsi, kdyz se o kompresi stara zalohovaci server, nez client, ale zatim co jsem videl, tak uspesnost komprese mi pripada lepsi na strane klienta, ale mozna se pletu, exaktne to zmerene nemam.

Bareos umí obojí, ale vycházím z toho, že úzké hrdlo je CPU bareosu a síť. Naopak na hypervizorech mám přebytek CPU. Proto LZO na straně klienta vychází lépe.


Stran: 1 ... 106 107 [108] 109 110 111

reklama