Příspěvky

2371

Server / Re:Existuje příkaz / funkce která začíná podtržítkem?

« kdy: 21. 11. 2017, 17:59:28 »

Ahoj, je možný, že existuje v bash nějaký příkaz/funkce, který by začínal podtržítkem? Díky

Minimálně s instalací balíku bash-completion:

Kód: [Vybrat]

_allowed_groups                 _get_pword                      _init_completion                _rl_enabled
_allowed_users                  _gids                           _insserv                        _root_command
_available_interfaces           __git_eread                     _installed_modules              _service
_cd                             __git_ps1                       _ip_addresses                   _services
_cd_devices                     __git_ps1_colorize_gitstring    _kernels                        _shells
_command                        __git_ps1_show_upstream         _kernel_versions                _signals
_command_offset                 __grubcomp                      _known_hosts                    _split_longopt
_complete_as_root               __grub_dir                      _known_hosts_real               _subdirectories
_completion_loader              _grub_editenv                   _longopt                        _sysvdirs
_configured_interfaces          __grub_get_last_option          __ltrim_colon_completions       _terms
_count_args                     __grub_get_options_from_help    _mac_addresses                  _tilde
_debconf_show                   __grub_get_options_from_usage   _minimal                        _uids
_deborphan                      _grub_install                   _modules                        _update_initramfs
_dkms                           __grub_list_menuentries         _mtx                            _upvar
_dvd_devices                    __grub_list_modules             _ncpus                          _upvars
_expand                         _grub_mkconfig                  _parse_help                     _usb_ids
__expand_tilde_by_ref           _grub_mkfont                    __parse_options                 _user_at_host
_filedir                        _grub_mkimage                   _parse_usage                    _usergroup
_filedir_xspec                  _grub_mkpasswd_pbkdf2           _pci_ids                        _userland
_filename_parts                 _grub_mkrescue                  _pgids                          _variables
_fstypes                        _grub_probe                     _pids                           _xfunc
_get_comp_words_by_ref          _grub_script_check              _pnames                         _xinetd_services
_get_cword                      _grub_set_entry                 _quote_readline_by_ref
__get_cword_at_cursor_by_ref    _grub_setup                     _realcommand
_get_first_arg                  _have                           __reassemble_comp_words_by_ref

2372

Hardware / Re:Jak a čím čistit komponenty počítače

« kdy: 21. 11. 2017, 17:39:06 »

...

Nejdřív vysavač a čištění štětcem s dlouhými štětinami.
Pak foukání vzduchem, případně zase štětec.

Na neelktronické části jsou různé pěnové čističe, v kuřáckém prostředí se používají i spreje na čištění konvektomatů.
Citlivější části isopropyalkoholem (IPA).

2373

Sítě / Re:Centrální logování Windows + Linux + netflow GDPR

« kdy: 21. 11. 2017, 17:02:32 »

Zpět k GDPR. Moje praxe mě vede k tomu neustále vysvětlovat, že GDPR není o IT. Citlivá informace totiž může vypadat i úplně nevinně. Např.: "kolegyně Jana má dvě děti". Pokud sama neuzná za vhodné to říkat, je to její soukromí, a zejména zaměstnavatel musí dbát, aby se tato informace nedostala ze mzdové účtárny ven. Nejde jen o data na počítačích, ale i o školení a neustálé doškolování zaměstnanců a úprav předpisů nejnovějším poznatkům. Dalším příkladem citlivé informace, která vypadá na první pohled nevinně je: "To je Jiří, ten co pracuje u firmy ACME Tools, a bydlí v Radlicích" - taková informace už vede (často) k identifikaci konkrétní osoby a je tedy chráněná. Neměla by se např. objevit na webu zaměstnavatele, jakkoliv vypadá neškodně.

...a to vše nemůže hlídat IT manažer...

2374

Sítě / Re:Stavové filtrování s iptables

« kdy: 21. 11. 2017, 14:22:26 »

-A INPUT -m state --state INVALID -j DROP

Podle mě by na prvním místě mělo být odchytávání nevaldiních kombinací TCP flagů, to bezstavové a početně jednodušší. Na druhém místě terpve stavové INVALID.

2375

Sítě / Re:Centralni logovani windows + linux + netflow GDPR

« kdy: 21. 11. 2017, 14:08:24 »

...

Ale to je přesně, jak píšete. IT-lidé rádi posuzují zákony binárně - pravda/nepravda. Ale tak to není. Zákony se aplikují podle situace. Když pojedete autem a dostanete smyk a vyletíte do pole, dostanete maximálně pokutu. Pokud ale budete mít smůlu, a zrovna v tu chvíli a v tom místě půjde po krajnici chodec a Vy ho zabijete, dostanete podmínku nebo si půjdete sednout. Stejná chyba => jiný důsledek (stochasticky) => (pro stejný důsledek = +/- stejný trest | pro jiný důsledek = jiný trest). Soud pak posuzuje, jak moc to bylo zaviněné, na kolik hraje roli náhoda a jestli jste jednáním nešel průseru vstříc.

Pak je tu něco, čemu se říká objektivní odpovědnost. To je zákonem poměrně řídce využívaný institut, který v případech, kdy běžné posuzování / prokazování viny/zavinění (vs. presumpce neviny/břemeno důkazní) není dostatečné k ochraně zájmů společnosti. Pak se zavádí něco, co by se v trestním právu nazvalo "presumpcí viny", ve veřejném právu pak "přenesením důkazního břemene". Současný zákon na ochranu osobních údajů se ukázal jako nedostatečný. Ku příkladu, lidé jsou spamováni a nemají obranu. Proto bylo usouzeno, že je vhodnější (a praktikovatelnější) přenést toto břemeno na ty, co s informacemi hospodaří. Na tom není nic nelogického, jen musíte přemýšlet mimo soustavu 0-1.

Účel zákona je pak jednoznačný. Nemáte se pouštět do činností, kde pracujete s citlivými údaji, a nemáte zakalkulovanou jejich ochranu. To, že informace lze chránit, je zřejmé. Banky či velká zdravotnická zařízení to praktikují a zvládají. Nyní jde o to, že si to musí uvědomit i ti menší.

Peníze nejsou měřítkem. Pokud ochrana informací není ekonomicky realizovatelná, neměl by pak takový byznys patrně existovat.

Z Vaší reakce je zřejmé, že patříte k těm, kteří od zákonů očekávají jasně stanovené postupy.

2376

Sítě / Re:Centralni logovani windows + linux + netflow GDPR

« kdy: 21. 11. 2017, 11:40:20 »

Kdyz ti nekdo slohne auto, a zjisti se, ze nebylo zamceny, nebo ze si dokonce nechal klicky v zapalovani, tak prvni kdo dostane pokutu budes prave TY. Tohle je stejny.

Když nezamknu auto, a do auta sedne moje nezletilé dítě, a někoho přejede, tak nezaplatím jen pokutu, ale dokonce ponesu odpovědnost i za ten následek. Protože mezi nezabezpečením auta a přejetým člověkem je nezpochybnitelný řetězec příčiny a důsledku (kauzální nexus). (V případě prosté krádeže převáží příčinná souvislost se zločinem krádeže, maximálně bude část spoluviny).

2377

Sítě / Re:Centrální logování Windows + Linux + netflow GDPR

« kdy: 21. 11. 2017, 11:16:41 »

Už se těším, jak bude soud řešit, jestli zaplatit 1M za změnu interních procesů bylo "rozumné" nebo nebylo.

Soud rozhodně nebude řešit, jestli by to bylo ekonomicky smysluplné - od toho má každá firma mít spočítanou svoji ekonomiku. Soud vyjde z předpokladu, že nesete odpovědnost, a na Vás bude prokázat, že jste víc nemohli udělat. Trochu drsně řečeno, je jen Váš problém, že máte firmu organizačně tak špatně nastavenou, že zavedení GDPR bude stát tolik peněz.

Důvodem pro liberaci je nepředpokladatelnost následku. Např. neponesete odpovědnost, pokud Vám zdi archivu / spisovny naruší zemětřesení a v důsledku toho se lejstra dostanou volně na ulici. Naopak ponesete odpovědnost, pokud je nezabezpečíte přiměřeně. Pokud to budou méně důvěrné informace a v malém množství, bude stačit třeba jen zabezpečení dveří. Pokud by šlo o spisovnu advokáta nebo zdravotnického zařízení, tam už by soud asi očekával zabezpečení pomocí PCO, případně hlídací agentury apod.

Ještě nutno poznamenat, že GDPR neklade o moc větší požadavky na ochranu informací, než současné zákony. Jediné, co se změnilo je, že byla stanovena objektivní odpovědnost. Tedy firmy, které braly vážně i dosavadní zákony, jsou z větší části připravené. Firmy, které podle současných zákonů dělali vyčůraně jen nutné minimum, mají teď problém.

2378

Sítě / Re:Centrální logování Windows + Linux + netflow GDPR

« kdy: 21. 11. 2017, 07:26:38 »

Nebo ještě jinými slovy: Vaše firma si musí určit, nebo najmout osobu, která bude za GDPR zodpovědná. Tak projde procesy a definuje požadavky na IT oddělení. V první fázi bude asi chtít popis systémů, uložení a zabezpečení dat. Pak ta osoba vytvoří první nástřel požadavků na IT úpravy tak, aby to sedělo do procesů firmy a zabezpečení se zlepšilo. Teprve v ten moment nastupuje práce IT oddělení.

Nevím, jestli je to případ i u vás, ale setkávám se s obrovskou mýlkou, že firmy si myslí, že GDPR je něco, co má řešit IT oddělení. Nikoliv.

2379

Sítě / Re:Centrální logování Windows + Linux + netflow GDPR

« kdy: 21. 11. 2017, 07:12:35 »

Dekuji, za vsem komentare. Zaver z logovani win : bez nainstalovaneho sw treti strany logy do Elk nedostanu.  K Gdpr:  nevite o nejakych pripravenych vzorech procesu ci smernic. Nebo nejakem foru?

) to je to, co jsem se Vám snažil vysvětlit. Celá podstata GDPR je o tom, že nemůže existovat nic připraveného, to tzv. nutné minimum.

Existuje spousta školení, ale na reálnou implementaci si musíte buďto sednout, nebo najmout odborníka. Ten začne mapováním firmy, nikoliv IT. K IT se dostane až na konci svého procesu.

2380

Sítě / Re:Stavové filtrování s iptables

« kdy: 20. 11. 2017, 21:13:21 »

Coz je pochopitelne taktez blabol, protoze icmp (napriklad) je ten spravnej priklad. A zadnej helper na doruceni odpovedi nepotrebuje.

Máte pravdu, ICMP error mi nedošel. Ale nic dalšího, co by nevyžadovalo helper, mně nenapadá.

2381

Sítě / Re:Stavové filtrování s iptables

« kdy: 20. 11. 2017, 14:45:39 »

Kód: [Vybrat]

modinfo nf_conntrack_ftp

filename:       /lib/modules/4.9.0-0.bpo.4-amd64/kernel/net/netfilter/nf_conntrack_ftp.ko
alias:          nfct-helper-ftp
alias:          ip_conntrack_ftp
description:    ftp connection tracking helper
author:         Rusty Russell <rusty@rustcorp.com.au>
license:        GPL
depends:        nf_conntrack
intree:         Y
vermagic:       4.9.0-0.bpo.4-amd64 SMP mod_unload modversions
parm:           ports:array of ushort
parm:           loose:bool

Pokud Vám ftp neběží na portu 21, pak je potřeba helperu předat parametrem ports čísla portů, kde má "šmírovat".

2382

Sítě / Re:Centrální logování Windows + Linux + netflow GDPR

« kdy: 20. 11. 2017, 14:31:42 »

Tazatel IMHO spise narazel na zdejsi foklor, kdy v pripade bezpecnostniho incidentu je spilano a vysmivano temer vyhradne osobe odpovedne za bezpecnost systemu, samotnym utocnikum nikdy.

Tomu rozumím, ale proto je zde institut vyvinění se - liberace. Odpovědnost nenesete, i když je zákonem stanovena jako objektivní, pokud prokážete, že jste udělal veškerá vhodná opatření, aby škodlivý důsledek nenastal. V případě zbraně, jak jsem již psal, až dvě nemusíte mít ani v trezoru. Ale když Vám je někdo odcizí, nesete objektivní odpovědnost. Pokud je však budete mít v dobrém trezoru, a i přesto se tam někdo vloupe, pak Vaše odpovědnost padá.

V případě GDPR je to stejné. Osoba odpovědná za bezpečnost systému nemá dělat jen nutné minimum opatření (což je nejběžnější praxe), ale naopak možné maximum.

A to je také zdejší folklór, že každý hledá, jak smysl zákona občůrat tak, aby na něj nikdo nemohl, ale přitom se moc nenadřít.

2383

Sítě / Re:iptables

« kdy: 20. 11. 2017, 10:21:30 »

FTP je zrovna blbej priklad, protoze na to aby ti FTP prelezlo pres nat potrebujes spesl modul (helper) a related ti nepomuze. To obecne plati o vsech protokolech, ktery si vymenujou nejaky informace o navazovanym spojeni v ramci vlastniho protokolu.

FTP je právě ideální příklad. RELATED naopak vždy vyžaduje helper.
Pokud nepoužíváte žádný protokol, který by potřeboval helper, pak můžete RELATED z konfigurace firewallu vynechat.

2384

Sítě / Re:iptables

« kdy: 20. 11. 2017, 07:31:00 »

vsimni si, ze ESTABLISHED a RELATED mas stale ako prve v tabulke keby si tam mal len new, tak ti kazdy packet musi prejst celou iptables tabulkou kym zisti ktoremu pravidlu patri, ale co , skus si to, bude ti to fungovat aj len s NEW pravidlami, ale uvidis ako ti pojde vykon dole, resp CPU zataz hore.

Já bych to takto negeneralizoval. Jsou typy provozu, u kterých je zbytečné vůbec plýtvat prostředky na stateful firewall. Např. pokud to není poslední firewall v řadě, nebo pokud je provoz opravdu dobře zpracováván v aplikaci. Příkladem je celý protokol UDP, který je z podstaty stateless.

Takže pokud šetřit prostředky tak v tomto pořadí:
1. určit, k jakému provozu potřebuji (vyžaduji) stateful zpracování,
2. pravidla pro rozpoznání poškozených paketů (např. nepřípustné nebo neočekávaní kombinace TCP flagů),
3. první pravidla pro stateless provoz,
4. druhá pravidla pro established,
5. určit, jestli vůbec potřebuji RELATED, pokud ne, nezavádět toto pravidlo (málokdo dodržuje),
6. pravidla pro stateful firewall (NEW)
7. cílové REJECTY a DROPY.

Co jsou podle mě prohřešky (zbytečné) proti síťové etice:
1. zakazovat úplně ICMP,
2. z LAN mají být nastaveny REJECTY, ne DROPY,
3. z WAN mají být nastaveny DROPY, příp. TARPIT.

Bohužel, většina firewallů založených na linuxu (i dalších free systémech) funguje podle primitivních příkladů na netu, kde se nepracuje dobře ani se statefull / stateless provozem, dost často se ICMP zakazuje by default (prasárna!), a zbytek provozu se bez přemýšlení DROPUJE.

2385

Sítě / Re:Centralni logovani windows + linux + netflow GDPR

« kdy: 20. 11. 2017, 07:20:58 »

Kdy bude odpovědný ten, co ta data ukradne? Kdy se začne přemýšlet tak, aby to nekomplikovalo práci. Kdy se přestane mrhat prostředky?

Lidská hloupost nezná mezí. Ach jo.

Ale to se přeci nevylučuje. Odpovědní jsou oba. Podobně objektivní odpovědnost funguje např. u držení zbraně. Prostě je na legálním držiteli, aby zbraň zajistil před zneužitím a odcizením. Při držení do dvou zbraní je ještě na něm, aby určil, jak je zabezpečí. Od třetí zbraně dál už zákon klade požadavky na úroveň bezpečnosti trezoru. Obdobně máte povinnost zajistit vozidlo proti zneužití, jinak nesete spoluodpovědnost (málokdo ví, ale všichni naštěstí auta zamykají - v Německu ale dostanete pokutu i za pootevřené okýnko).

GDPR je naprosto správná direktiva. Doposud se děje, že na internetu Vám "někdo" prodá databázi e-mailů ke spamům a dá Vám k tomu "prohlášení", že to jsou lidé, kteří vyjádřili souhlas s komerčním oslovování. Nakupující jedná v dobré víře, prodávající často taky (nebo to vždy aspoň tvrdí). Obětí je spamovaný uživatel, který se nemá jak domoci práva - všichni jsou "nevinní" a on má schránku plnou spamů.

GDPR např. přinese to, že koncový "rozesílač" si musí být jistý, jinak se k údajům musí chovat jako k citlivým.

GDPR je sice pro hodně firem složitá směrnice na pochopení (každý očekává, že zákon dá jasná pravidla, ne jenom cíl), ale z mého pohledu je to krok správným směrem. Každý by měl přemýšlet a vykonat rozumné maximum, co může.

V IT znám firmy, které si o průšvih přímo koledují. Např. 10-15 lidí, sehraná parta, znají se 10 let. Všichni mají práva všude, i když je ve skutečnosti nepotřebují. Majitel do toho nechce zasáhnout, protože by narušil důvěru v kolektivu. Ale ono stačí málo - stačí se s jedním zaměstnancem pohádat, nebo může zaměstnanec začítí mít osobní problémy (rodinné trable, závislost na něčem, nemoc), a informace už v ohrožení jsou.

Pravidlo best effort se praktikuje v mezinárodním právu např. u autorských děl. Autorské zákony jednotlivých zemí jsou prehistorické a z velké části neslučitelné. Jsou psané ve světle toho, že dílo má hmotnou podobu, existuje originál a reprodukce. Úmluvy, které se snažily autorské právo sjednotit - Bernská (1886) a Ženevská (1952) ve svých dobách pomohly, ale dnes už jsou překonané. Např. dílo podléhá autorskému zákonu v zemi, kde bylo poprvé uvedeno. Jaká je to země v případě internetu? Jak je to v případě děl, které na internetu zveřejní někdo pod pseudonymem? Pak není ani jasný domicil autora. Originál fotografie (high res) koupíte z fotobanky, ale ve skutečnosti nevíte, jestli ho fotobanka opravdu koupila, a jestli ho koupila od autora - i jí ho mohl prodat podvodník. To se v době diapozitivů stát nemohlo (nebo jen obtížně). Proto v případě autorského zákona se vynakládá best effort a praktikuje fair use - tedy stav, kdy není postižitelné užití v dobré víře a zároveň za předpokladu, kdy sami poskytnete kontaktní údaje a mechanismy, aby Vás mohl autor oslovit ke zjednání nápravy (např. tlačítko "nahlásit nelegální obsah").

Tím vším jsem chtěl říct, že někdy není dohledatelné, ale ani jasné, kdo je "viník", a proto je potřeba zavádět zákony takové, které k zodpovědnému chování vedou na všech úrovních. Mně, když někdo bez poplatku zveřejní fotografii, nebo rozdá můj e-mail k rozesílce spamů, jde mi hlavně o to, aby byla zjednána náprava. Teprve v druhé fázi mě zajímá (nebo možná ani nezajímá), kdo to zavinil.

A proto máme GDPR.