Příspěvky

2386

Software / Re:Prikaz na vypis uzivatelu v linuxu

« kdy: 19. 11. 2017, 21:18:35 »

Uzivatelska privetivost linuxu v praxi.

Myslím, že i v rozsáhlých windows sítích musí admin vědět, co dělá. Zrovna v tomto se linux neliší od ostatních systémů.

2387

Sítě / Re:iptables

« kdy: 19. 11. 2017, 19:19:25 »

Okey, len potom stav = RELATED, je tam vo finale na co?

Některé protokoly mají víc než jedno spojení a to může být dokonce otevírané z druhé strany. Příkladem je klasické (aktivní) FTP. Tam je otevíráno ftp-control spojení od uživatele k serveru, ale server otevírá zpět druhé spojení k uživateli (ftp-data). V případě pasivního FTP se pak otevírá druhé spojení od klienta k serveru, ale na dynamicky určeném portu. A pro toto je právě ono RELATED. Je to tedy, správně, NEW spojení, ale aby se dalo propustit, má speciální příznak zpřízněnosti - RELATED.

Podobně třeba fungují PPTP VPN, ty otevírají spojení na tcp/1723, ale data pak tečou protokolem GRE.

Na to, aby nějaké spojení mohlo být RELATED, musí na firewalu být jakýsi pumprlík, kterému se říká "helper", který špehuje to první spojení, a z dat, které vykutá ví, které další spojení je RELATED.

2388

Sítě / Re:iptables

« kdy: 19. 11. 2017, 15:00:25 »

Mně na linuxu vadí, že se stateful / stateless ovládá konkludentně, tedy tím, jak se poskládají pravidla, případně konkrétní kombinací ESTABLISHED + konkrétní spojení.

OpenBSD to má daleko přehledněji v jejich pf - tam se na konec pravidla dá buďto no state (pak je to stateless), nebo se tam prskne keep/modulate/synproxy state - podle toho, jak moc paranoidně chcete spojení kontrolovat (jen sledovat, nebo  ho modulovat, nebo dokonce syn-proxovat).

2389

Sítě / Re:iptables

« kdy: 19. 11. 2017, 14:35:03 »

Firewall může být buďto stateful nebo stateless.

Třetí příklad je stateless. Každý paket dorazí na firewall je posoudí se pouze to, jestli sedí cílový port.
Ve skutečnosti ale paket může být chybný (v důsledku nezáměrné chyby, ale i jako cílený útok na nějakou slabinu. Např. se může tvářit, že se jedná o určitý paket (Ntý paket) ze spojení, ačkoliv tomu tak není.

Stateless firewall se nestará o to, jestli spojení je navázané, funkční, jestli sedí sekvenční čísla, ..., .... Prostě jen porovná číslo portu (22, 80) a paket pustí.

Statefull firewall oproti tomu spojení začne sledovat a od prvního do posledního paketu kontroluje, jestli všechno sedí.

První dva příklady jsou statefull, třetí je stateless. První dva příklady, zrovna tyto konkrétně, budou na linuxu fungovat totožně. Druhý příklad je trochu správnější, protože podle portu se porovná jen první paket ve spojení (state=NEW), další pakety už projdou hned prvním pravildem (state=ESTABLISHED).

V linuxu je to trochu chaotické na pochopení.

2390

Studium a uplatnění / Re:Job snů a nebo peklo na zemi, aneb flákárna v práci

« kdy: 19. 11. 2017, 08:46:32 »

To si delas zadek... Vazne?

Naprosto vážně.

2391

Server / Re:sharepoint proxypass za pomocí nginx

« kdy: 19. 11. 2017, 07:03:07 »

v nginx to asi nikdy nefungovalo, lebo asi podporovali stale HTTP standardy na 100%.

Opak je pravdou: http://nginx.org/en/docs/http/ngx_http_upstream_module.html#ntlm

2392

Server / Re:sharepoint proxypass za pomocí nginx

« kdy: 18. 11. 2017, 21:10:40 »

NTLM nie je stateless, HTTP je stateless protokol, cize to principialne nejde. Ono to nie je zlozite rozbehat, len si to vyzaduje narusenie bezstavovosti HTTP protokolu a prinutit proxy aby ten NTLM handshake robila stale cez rovnaky source port voci backend servru. A toto nikto z opensource komunity robit kvoli microsoftu nebude Prave preto to podporuju len komercne riesenia, kde im je jedno ci nieco dodrzuje nejake RFC, hlavne z klienti platia

To je trochu zjednodušené. Pravověrná OSS komunita má jen velmi malý překryv znalostí s komerčními platformami. Zjednodušeně řečeno: v OSS komunitě je jen zlomeček lidí, kteří znají a mají přístup k těmto technologiím. To není věc jejich zásadovosti, ale spíš izolovanosti. Prosím nechytat za slovo, vím, že existují profesionálové, co znají oba "světy". Ti bohužel, bezcharakterní prevíti, dávají přednost dobré mzdě u komerčních projektů, než živoření OSS contributora.

2393

Studium a uplatnění / Re:Job snů a nebo peklo na zemi, aneb flákárna v práci

« kdy: 18. 11. 2017, 21:07:12 »

Stává se vám to taky v tolika pracích, že upadnete do rutiny, flákárny, a pak to má negativní dopad i na váš soukromý život. Fakt nechci každý rok nebo dva měnit práci, zaměstnavatelé mě kvůli tomu nemají rádi, ale teď tak nějak cítím, že každý mi závidí pohodičku a že nic nedělám, a jak to mám super, a já se cítím nepotřebný a v zadeki.

Můj kamarád, admin, se takto děsně nudil a postupoval podobně. Pak začal ze Silk Road objednávat různé "dobroty". Dnes je už třetím rokem na heroinu, má kompletně rozpadlou osobnost a velmi snížené šance návratu do běžného (nebo aspoň zravého) života.

Bacha na to.

2394

Server / Re:sharepoint proxypass za pomocí nginx

« kdy: 17. 11. 2017, 20:10:50 »

Děkuji, vyzkouším snad pomůže co máš prosím ještě nastavené v té autorizaci ..? Jsou tam možnosti buď NTLM, Negation a Negation:Kerberos a Negation:PKU2U ..

Podle mě se tam musí ručně narvat basic, ale už si nevzpomenu, jestli to bylo přes powershell nebo jak.
NTLM ani Negotiate neprojdou, a NTLM na tutti přes nginx free nenastavíte. Omouvám se, víc pomoct nemůžu, aktuálně bych mohl kouknout leda na Exchange, kde se to nastavuje podobně.

Tady je něco pro 2013, víc jsem nehledal, bude to asi podobné: https://technet.microsoft.com/cs-cz/library/gg576953.aspx.

M.

2395

Odkladiště / Re:Do čeho investovat hotovost

« kdy: 17. 11. 2017, 11:06:08 »

zatímco USA poskytuje dlouhodobě významně stabilnější a bezpečnější prostředí.

Jde nějak investovat na strmý pád USA?

Jistě, "sell on short".

2396

Server / Re:sharepoint proxypass za pomocí nginx

« kdy: 17. 11. 2017, 10:54:32 »

NTLM Vám přes nginx neprojde, to jde jen s komerční variantou Nginx Plus.
Musíte na IIS vypnout NTLM (úplně) a pak mám nastavení (je možné, že je něco nadbytečné, nezaručuji):

Kód: [Vybrat]

proxy_buffering off;
proxy_request_buffering off;
proxy_ignore_client_abort off;
proxy_http_version 1.1;

proxy_pass_request_headers on;
proxy_headers_hash_max_size 1024;
proxy_headers_hash_bucket_size 128;

proxy_pass_header Date;
proxy_pass_header Server;

proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Accept-Encoding "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

more_set_input_headers 'Authorization: $http_authorization';
more_set_headers -s 401 'WWW-Authenticate: Basic realm="$host"';

Základem je však vypnutí NTLM na IIS.
Obdobně se řeší Exchange, tam se ještě musí navýšit timeouty a max sizes apod.

2397

Sítě / Re:Centralni logovani windows + linux + netflow GDPR

« kdy: 17. 11. 2017, 07:04:28 »

Jen malé upozornění - ale to asi víte. GDPR není o logování a zpětném dohledání, ale GDPR vyžaduje zavést procesy (nejen v IT, ale v celém fungování firmy), o kterých lze říci, že prokazují maximální úsilí vyvinuté k ochraně citlivých údajů.

GDPR definuje tzv. objektivní odpovědnost. Firma nese plnou odpovědnost za veškeré důsledky (byť je např. sama obětí hackera nebo vynesení informací nezodpovědným zaměstnancem), a této odpovědnosti se zprostí jedině tím, že prokáže, že se to stalo i přes veškerá opatření. To je hlavní, ale podstatný rozdíl proti stávající zákonné úpravě.

Co mnoho lidí nerozumí např. tomu, že citlivou informací není jen rodné číslo. Citlivou informací může být i zdánlivě nevinný údaj - např. když řeknete "to je Jarda, ten co pracuje ve firmě X a žije ve vesnici Y". V konkrétním případě to totiž může být už dostatečně přesná informace, která vede k identifikaci osoby. Stejná informace je citlivá, pokud se jedná o menší firmu a menší obec, ale není už citlivá ve velké korporaci a ve velkém městě.

U lékaře je např. naprostým prohřeškem proti GDPR to, že sestřička má na stole položené karty pacientů či vytištěné recepty se jmény. Může být i prohřeškem to, že pacienty volá z čekárny jménem - bude se to opět lišit podle toho, o jaký obor půjde. Citlivěji to budou lidé vnímat u lékařů, kteří jsou spíš obvodní (spádoví) a u citlivých oborů (onkologie, kožní, ...), méně citlivé to bude např. u stomatologa, ke kterému navíc jezdí lidí i přes celé město.

Bohužel, zákazníci se dotazují na jasná pravidla, konkrétní opatření, jak GDPR vyhovět. To bez analýzy konkrétní situace nejde.

Mezi opatření pak patří zejména revize fyzických procesů, oběhu dokladů, omezení kompetencí a přístupu k informacím (nejen k digitálním). Samotné IT je také až na chvostu GDPR.

2398

Sítě / Re:Centralni logovani windows + linux + netflow GDPR

« kdy: 17. 11. 2017, 06:49:54 »

System Center Operations Manager (SCOM)

2399

Software / Re:Náhrada za DSM

« kdy: 17. 11. 2017, 06:47:21 »

Lze to prosím rozvést?
Co se má nastavit atd?

To se právě liší podle hardwaru, jestli je to 1 GbE nebo 10 GbE a podle typu karty.
Změnilo se to mezi verzemi 9 a 10, takže po upgradu bylo potřeba vše ladit znova.

Oni doporučují použití disků bez HW RAID, ale se ZFS, ale to je pro iSCSI nevhodné (nevýkonné).
Monitorování zdraví HW RAID nemají hotové ani pro nějběžnější řadiče (ex-LSI, ex-3ware, Areca, ...).

Prostě jsou tam mouchy, se kterými si FreeBSĎák poradí, ale laik jen těžko. Ne každý taky počítá s tím, že si má vystavět lab a před ostrým provozem to půl dne testovat a ladit.

To prosím ale opravdu není pomluva, jen čistě reakce na to, jestli je, či není FreeNAS vyladěný. Vyladěný není, vyladitelný je.

2400

/dev/null / Re:Proč nejít dělat vedoucího do Lidlu za 60000,- ?

« kdy: 16. 11. 2017, 22:00:33 »

Trh práce nic nepotřebuje. Potřebují to zaměstnavatelé, aby si minimalizovali své náklady. Proti tomu stojí zájmy zaměstnanců, protože jim to přináší velkou nejistotu a problémy.

Jenže je zjevné, že současná úprava ve skutečnosti zaměstnance nechrání a jediné, co to přináší je, že žijeme v neustálém utvrzování se, že zákony respektovat nejdou (a ani se nemusí, neb prokázat zlý úmysl je těžké, a objektivní odpovědnost se uplatňuje málokde (a ještě v méně často přežije bez zásahu Ústavního soudu)).

Trh práce to jistě potřebuje, možná už se nastartoval, nebo se náhle nastartuje proces migrace zaměstnavatelů do jiných zemí. Naši zaměstnanci pak budou sice chráněni, ale už nebudou zaměstnanci.