1891
Server / Re:GDPR - servery - sifrovani disku
« kdy: 10. 03. 2018, 09:42:50 »Admini budou fasovat ampule s kyanidem?
Jak pohlídáte, aby ji měli u sebe a opravdu rozkousli?
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
Jak pohlídáte, aby ji měli u sebe a opravdu rozkousli?
1892
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 09. 03. 2018, 21:41:03 »Bez stanovené metodiky jaksi nejde mít jakékoliv porovnatelné výsledky.
To je ale jen jedna část toho, jak se to má dělat.
Má být stanovený cíl - ten cíl má být obecný, nevázaný na metodiku.
Pak má být stanovena metodika, ale s tím, že není jediná, kterou se bude měřit. Tedy: zavedu metodiku měření na stroji simulujícím provoz. Když zjistím, že simulační běh není blízký realitě, změním metodiku. Stále se bude měřit ale tatáž veličina: tedy např. hmotnost škodlivin na kilometr.
Výrobce tedy bude ve vlastním zájmu hledat nikoliv cesty, jak projít testem, ale naopak bude sám hledat slabiny v měření, aby snížil svá rizika, že se zjistí, že neplní stanovený cíl.
Tedy běžný princip objektivní odpovědnosti s možností liberace.
Když řeknete, že rozhodující je metodika A, pak se výrobci zcela logicky vykašlou na to, aby se snažili snížit emise, ale budou se soustředit na splnění testovacího běhu.
(O podvodu s detekcí ani nemluvím, tam je zcela mimo diskusi nelegálnost takového chování).
1893
Server / Re:Jak zavřít porty na firewallu
« kdy: 09. 03. 2018, 20:35:37 »
Nenapsal jste na jakém systému, a jestli chcete blokovat jen příchozí, nebo i odchozí provoz.
Pokud chcete mít systém bezpečný, je potřeba provádět mnoho opatření, ne jen zavírat porty.
Pokud se jedná např. o webový server, je vhodné ho mít puštěný za reverzní proxy.
Reverzní proxy je vhodné mít zcela oddělenou. Je dobré mít blokované i vešekrá spojení směrem ven (je to sice nepohodlné na správu, ale vyplatí se to).
V linuxu zapnout SELinux, na FreeBSD MAC.
Pokud máte webový server na ostro na internetu, nejlépe na něm běžíte PHP a zároveň poštovní server a možná ještě další služby, je to nejlepší cesta k průšvihům.
Pokud jde o firewall, měl by existovat ještě jeden předřazený. Softwarový firewall na samotném serveru je až last resort ochrana.
Pokud chcete mít systém bezpečný, je potřeba provádět mnoho opatření, ne jen zavírat porty.
Pokud se jedná např. o webový server, je vhodné ho mít puštěný za reverzní proxy.
Reverzní proxy je vhodné mít zcela oddělenou. Je dobré mít blokované i vešekrá spojení směrem ven (je to sice nepohodlné na správu, ale vyplatí se to).
V linuxu zapnout SELinux, na FreeBSD MAC.
Pokud máte webový server na ostro na internetu, nejlépe na něm běžíte PHP a zároveň poštovní server a možná ještě další služby, je to nejlepší cesta k průšvihům.
Pokud jde o firewall, měl by existovat ještě jeden předřazený. Softwarový firewall na samotném serveru je až last resort ochrana.
1894
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 15:20:56 »zadání bylo nějaké (emise atd.).. když to neuměli, neměli to dělat.. prostě podváděli jak zloději a chytli je..
To není tak jednoduché. ŘJ motoru mění profil palivové mapy podle zahřátí, zatížení, zpětné vazby z lambda sondy. I kdyby přímo nepodváděli, tak emise na zkušebním stroji vyjdou úplně jinak, než ve skutečném provozu. Jenže: celý problém byl, že EU nestanovila jen cíle ke splnění, ale ještě určila metodiku, jakou se to měří. Tím pádem dala všem do ruky zbraň: když projdete tímto testem, dostanete razítko. Druhá vlna dieselgate není o tom, že automobilky mají přímo detekci testovacího běhu, ale o tom, že i auta bez tohoto podvodu stejně ve skutečnosti normu nemění.
Každý nadřízený (ať už je to osoba nebo orgán) by měl stanovovat pouze cíle. Podřízení by měli ty cíle plnit a umět si obhájit svůj postup. Tak to funguje v USA a proto automobilky v USA musí odškodňovat. U nás se úspěšně hájí tím, že jen splnily to, co jim bylo určeno.
Technické opatření NIKDY nenahradí odpovědnost na jedné straně, a správní uvážení na druhé straně.
1895
Software / Re:Linuxový souborový systém pro zálohy s kompresí a deduplikací
« kdy: 08. 03. 2018, 15:15:29 »
Asi jediný použitelný je ZFS. ZFS má ale velké nároky na RAM při deduplikaci. Doporučení se pohybují od 5 GB RAM + 1 GB RAM na každý 1 TB disku až po 5 GB RAM na každý 1 TB disku. Je možné, že během zálohování by Vám mohlo stačit i méně, pokud nebude na překážu horší výkon zápisu (já to tak v jednom případě mám a v pohodě).
ZFS bych asi spouštěl na FreeBSD, než na Linuxu.
Ale co zvažte víc:
1. Dokážete udělat zálohu dedup friendly? Tedy aby byla stejná šance, že stejná data "přistanou" zarovnána na stejné počátky bloků? Pokud totiž stejná data vyjdou jinak na bloky, nic nezdeduplikujete. V tomto směru vím, že dedup friendly zálohuje Veeam Backup, ale ten se týká jen vSphere a Hyper-V.
2. V kombinaci s Veeam Backup má dobrou a paměťově málo náročnou deduplikaci Windows Server. Tam dosáhnete s kompresí skoro až neuvěřitelných výsledků, které na Linuxu/FreeBSD nevím jak dosáhnout.
Na komentář Rhinoxe bych nebral velký ohled. Na deduplikaci je 16 GB jakš takš, pokud nechcete velký výkon. ARC u zálohovacího serveru nepotřebujete vůbec a lze ji vypnout.
ZFS bych asi spouštěl na FreeBSD, než na Linuxu.
Ale co zvažte víc:
1. Dokážete udělat zálohu dedup friendly? Tedy aby byla stejná šance, že stejná data "přistanou" zarovnána na stejné počátky bloků? Pokud totiž stejná data vyjdou jinak na bloky, nic nezdeduplikujete. V tomto směru vím, že dedup friendly zálohuje Veeam Backup, ale ten se týká jen vSphere a Hyper-V.
2. V kombinaci s Veeam Backup má dobrou a paměťově málo náročnou deduplikaci Windows Server. Tam dosáhnete s kompresí skoro až neuvěřitelných výsledků, které na Linuxu/FreeBSD nevím jak dosáhnout.
Na komentář Rhinoxe bych nebral velký ohled. Na deduplikaci je 16 GB jakš takš, pokud nechcete velký výkon. ARC u zálohovacího serveru nepotřebujete vůbec a lze ji vypnout.
1896
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 10:24:17 »... to je problém těch dodavatelů že ty smlouvy podepíšou..
do té doby než je právníci sejmou - ale je fakt že l2 a l3 taový likvidační věci podepsaný obvykle nemívaj...
Jasně, ale takový stav společnosti moc neprospívá. Automobilky se tváří, že o ničem takovém ANI NETUŠÍ
.Ale to už jsme hodně off topic.
1897
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 10:17:52 »určitě:-)
tak si založ jinou firmu a ukaž všem že to dělají blbě :-)
zatím ty miliardy zisku mají automobilky a ne ti co tvrdí že to dělají blbě (osekání skladů, jit, ždímání dodavatelů)...
To jste mě špatně pochopil. Mě nevadí, že to tak dělají, ale to, že se tváříme, že je vše super sluníčkovaté. Vznětové motory také do předminulého roku plnily ty nejpřísnější normy, které se daly ve vesmíru vynalézt, ale byla jen otázka času, kdy se to zhroutí. A nemáme ani dost velké koule na to, abychom řekli: tak, milá automobilko, nadrobila sis, tak teď vyměň všem lidem auta či motory tak, aby byli všichni spokohjení. To né, my hledáme s automobilkou politický kompromis!!!
Daleko bližší je mi USA, kde je méně pravidel, méně se kecá o tom, jak se všechno plní, ale to, co se plnit má, tak se plnit opravdu musí, jinak je to schopné položit (třeba i tu automobilku) na kolena.
Kdyby byla automobilka opravdu odpovědná i za své subdodavatele (čistě teoretiky!), viděl byste, jak by si raději vše vyráběli sami.
1898
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 10:04:25 »jak může firma 300 lidí plus v nonstop rpovozu která dodává do automotive a má podepsaný brut sankce nemít zpracovaný analýzy rizik, mít recovery a disaster plany, TO mi hlava nebere (ne kvůli gdpr..)
Mimochodem, celý obor automotive je krásná ukázka reálného rozmělnění neodpovědnosti. Automobilky dávno zjistily, že udržet vlastní výrobu a splnit všechny tyto jakostní požadavky je nepředstavitelně drahé. A tak draží a kontrahují subdodavatele, požadují dodávky just in time a zavádějí brutální saknce při nedodržení. Jenže zde je jeden okamžik hodný zamyšlení: automobilka VÍ, že subdodavatel nemůže být ve skutečnosti levnější, než by byla jejich interní výroba. Automobilka VÍ, že subdodavatel může dodávat levněji jedině za té okolnosti, že sice brutální smlouvu podepíše, ale interně rizika nemá zpracována na patřičné úrovni.
...jenže, když se stane průser, tak automobilka má vždy na každý díl dva dodavatele, takže JIT dodá to samé ten druhý... A všichni v tomto řetězci se navenek tváří, jak se rozdělením té samé práce z jednoho subjektu na tři! (automobilka+dodavatel 1+doavatel 2) šetří peníze, což je samozřejmě pitomost...
No a tak se tu všichni tváříme, jak je vše OK, ale ve skutečnosti ti, kteří to vedou, vědí opak, ač to NIKDY nepřiznají.
1899
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 09:32:40 »Sifrovat cele disky ci raidy je zbytecny. Akorat si tim hazite polena pod nohy pri pripadnem recovery. Postaci zasifrovat LVM partisnu kde mate data ci databazy.
I to je nesmysl, pokud máte zajištěnou fyzickou bezpečnost. To se provádí jen v případech, že data jsou takové hodnoty (resp. tak citlivá), že ani fyzická bezpečnost není dostatečná. Obecně platí, že zajistit fyzickou bezpečnost je levnější a spolehlivější, než to dohánět šifrováním - např. vybudováním bezpečnostních dveří do serverovny, nebo klec na servery je jednorázová investice a není potřeba udržovat žádné recovery plány, zamýšlet se nad uložením a distribucí klíčů a hesel, ...
Tedy, pokud šifrujete (jakýmkoliv způsobem), stejně musíte řešit a pravidelně kontrolovat kde jsou klíče, kde jsou recovery klíče, kdo k nim má přístup, jak často se mění - a aby se změněné dostaly i do místa, kde máte uložené recovery atd. Recovery klíče se dost často ukládají v bankovních schránkách - protože pokud si je odnese majitel domů a strčí si je za pološtář, tak zavádíte hi-tech technologii na to, aby nejslabším článkem bylo uložení klíčů. (Málokterá firma má taky nonstop ajťáka, aby po každém rebootu zadával klíče - a dát klíče každému, je nesmysl).
Po zavedení šifrování zase v analýze rizik musíte počítat jak se snížením výkonu (riziko = vyšší náklady i na hardware do budoucna), tak s umenšením spolehlivosti (rizika při recovery poškozeného oddílu).
Na konec budete muset se stejnou pečlivostí, ale jiným způsobem zajistit, aby byla šifrována i data na zálohách - tedy se vším, co k tomu patří, tedy správa klíčů a recovery klíčů.
Takže, pokud nestačí na data obyčejná zamykaná a třeba střežená kancelář, pak bych uvažoval v prvním kroku na napojení alarmu na PCO (nejjednodušší, co se dá udělat), v druhém kroku nad stavebními úpravami (drátěná klec nebo místnost s bezpečnostními dveřmi) a teprve nakonec nad nějakým šifrováním.
1900
Server / Re:Šifrování serverových disků kvůli GDPR
« kdy: 08. 03. 2018, 09:24:43 »2root redaktor:
Nebylo by lepší udělat článek řešící danou EU směrnici + ČR legislativu jenž ji implementuje? Obsahem článku by byl podrobný popis paragrafů, výkladů apod..
Zjevně zde chodí na root i lidé co jsou líní nebo neschopní to najít a přečíst.
To by byl podle mě tak rozvláčný článek, že by nikomu nepomohl. V každé firmě je potřeba GDPR uchopit úplně jinak. Zatím jsem našel jediné průnikové téma ve firmách, a to jak hospodařit se mzdovou agendou a účetními doklady - tím myslím nejedn v elektronické podobě, ale i v hmotné.
1901
Server / Re:GDPR - servery - sifrovani disku
« kdy: 07. 03. 2018, 22:25:50 »Sifrovanej disk na nb je ti opet khovnu, kdyz ten nb je porad zapnutej(a maximalne uspanej) a tudiz disk desifrovanej. Funguje to uplne stejne jako cedule "kradez notebooku se zapovida" nalepena na viko.
Právě proto se dělá analýza rizik. Není cílem eliminovat rizika do nuly, ale mitigovat je na dobrou úroveň za přijatelnou cenu. Patrně velmi složitě se budete bránit cílené krádeži notebooku pro data. Na druhou stranu, docela lehce se dá bránit náhodnému ukradení (nějakým loserem), který notebook hned vypne (aby nebyl vystopován) a už data nerozšifruje. Tedy, dvě různá rizika, jedno je mitigovatelné lehce, druhé obtížně. K druhému riziku patrně přibudou politiky domény na vypnutí obrazovky po X minutách nečinnosti a povinně zadané heslo.
A hopla, prakticky s nulovými náklady a pár kliknutími do politik domény máte na světě poměrně účinnou ochranu.
Na co ochranu nevymyslíte je např. loupežné přepadení a vydírání k zadání hesla. Tam už nemáte jinou možnost, než snižovat datovou nálož, kterou si zaměstnanec s sebou nosí, přístup k datům mít přes systémy bránící rychle stažení objemu dat (např. DMS) a auditování přístupů, případně vyhodnocování podezřelého chování. Ale myslím, že zrovna toto riziko se moc firem netýká.
1902
Studium a uplatnění / Re:Kolik za mě inkasuje zaměstnavatel, když moje mzda je 35 tisíc?
« kdy: 07. 03. 2018, 14:45:35 »tak argumentaci s tím, že vím, kolik za mě dostávají, budu muset vytáhnout .... nedá se svítit. Samozřejmě dodám, že u konkurence mi ty peníze bez problémů dají.
Blbý nápad. Jestli jste programátor, měl byste umět aspoň základy logiky. Pojďte to projít:
1. Pokud místo Vás někoho najde, tak Vám nepřidá a raději Vás vymění. Na tom nic nezměníte argumentem o tom, kolik za Vás dostává. Jediné, co můžete zvažovat je, jestli se mu vyplatí platit odstupné (nevím, jestli máte smlouvu na dobu neurčitou a jak velké odstupné Vám náleží - viz zákoník práce).
2. Pokud ví, že místo Vás najde někoho - třeba za 60 tis. Kč - pak Vám dá raději ty samé peníze, protože je pro něj velmi rizikové měnit zaměstnance.
3. Pokud je pravdivá varianta ad 2. a vy při tom prozradíte, že víte a používáte jako argument to, kolik za Vás je peněz, tak naopak nakládáte na pomyslné misky vah argumenty proti Vám, ne pro Vás. Zaměstnavatel totiž začne zvažovat rizika, jestli něco podobného neřeknete kolegům. Nebo, jestli za 3 měsíce nepřijdete zase a se stejným argumentem.
Jestli víte, kolik za Vás má, je to dobrá informace pro Vás, abyste věděl, že svým požadavkem nezaháníte zaměstnavatele do kouta. Větší hodnotu ta informace nemá, její užití je pro další vyjednávání toxické.
1903
Studium a uplatnění / Re:Kolik za mě inkasuje zaměstnavatel, když moje mzda je 35 tisíc?
« kdy: 07. 03. 2018, 14:34:25 »Mně to přijde férové. Jen pak narazí na to, že zákazník není blbec a že pokud by chtěl mít lopaty interně, tak je tam dávno má. Takhle si je jen půjčí a možná i ví, že jsou k ničemu. Ale dnes pro ně má využití. Takže jít jinam má daleko větší smysl, protože tady je ten vztah už jasně nastavený.
Ano, není to nic protizákonného. Zákaz konkurence si zaměstnavatel může sjednat, ale musí platit za každý měsíc po skončení pracovního poměru aspoň průměrný výdělek před rozvázáním. Takže z tohoto pohledu to férové je. Ale je to ubohé.
Osobně si myslím, že takoví "zaměstnanci" moc dobře nekončí, protože zaměstnavatelé rychle pochopí jeho lidské kvality. Tedy, říkat si o peníze podle zisků firmy (kterou ale nevybudoval na svá rizika), nebo i schopnost dělat takovéto morální podrazy.
Naprosto čisté ve všech ohledech by bylo prostě jít pracovat jinam, ale ne k zákazníkovi svého původního zaměstnavatele. Uškodí si sám.
1904
Studium a uplatnění / Re:Kolik za mě inkasuje zaměstnavatel, když moje mzda je 35 tisíc?
« kdy: 07. 03. 2018, 14:31:28 »Miroslav Šilhavý : a co si ako o nom myslis? Bud je to Trol aleby cisty 100% nahoneni kkt.
Nevím, váhám. Podle mě na trolla je až moc opravdově přesvědčený.
1905
Studium a uplatnění / Re:Kolik za mě inkasuje zaměstnavatel, když moje mzda je 35 tisíc?
« kdy: 07. 03. 2018, 14:26:01 »když nepřidáš, vynechám se zákazníkem zcela zbytečného prostředníka - firmu. Dokonce mu nabídnu, že jakmile mě zaměstná napřímo on, budu chtít o 20 tisíc méně, takže já všichni vydělají, krom šéfa a firmy, kde určitě dostane klepec od ředitele za takovou botu ...
Tohle je ale pěkně velká prasárna. Udělat to samozřejmě můžete, ale jste ubožák, pokud potřebujete jednomu ukrást zakázku, do které vidíte zevnitř a nenajdete si sám práci jinou.
