Příspěvky

181

Studium a uplatnění / Re:Placení času na onboard školení

« kdy: 02. 08. 2022, 16:13:54 »

ocividne si  vubec nepochopil, vo co go.
co to onboarding je. nebo "meeting with client" v pripade architekta.

Diky za tvou analyzu logiky.

pokud pracuji jako podnikatel je přece naprosto běžné, že mi klienti neplatí školení, zaučování nebo certifikace, které pro danou zakázku potřebuji, vše to je běžné, že si platím sám. To vše musí pokrýt moje marže a klientovi vykazuji jen práci, kterou jsem pro něj dělal za částku, kterou jsem si dopředu dohodl.

Řešením je asi se nechat zaměstnat, kde zákony jasně specifikují, za co musí zaměstnavatel platit. Jít podnikat a pak si stěžovat, že se mnou partneři nezacházejí jako se zaměstnanci? Co to je logiku?

tak mi to vysvětli. O typu pozice jsi se nezmiňoval, najednou argumentuješ architektem.

Onboarding? To je něco jako přebrání vstupní kartičky a bezpečnostní školení? Opět, tohle je činnost, která by měl být tvoji řežijí pokud nejsi zaměstnanec.

Pokud děláš něco jako solution architect a tvojí náplní je právě koordinace a komunikace se zákazníky, tak pro tebe asi nedává smysl dělat práci defakto zdarma. Pokud jsi něco jako enterprise architect, tak nejspíš u zákazníků na schůzkách nemáš co dělat, tak ti to tvůj klient nechce platit povídání si.

V českém prostředí u kontraktů v enterprise se ale může potkat s ještě většími nesmysly (pokuty, non-stop dostupnost atd.), a ano některé agentůry tam mají podobné podmínky, ale to pořád nemění nic na tom, že jako kontraktor proti nim vystupuješ jako podnikatel a podmínky jsou na vzájemné dohodě. Byla jen otázka času, než ti silnějšího toho začnou zneužívat.

182

Hardware / Re:Výber UPS k PC domov

« kdy: 02. 08. 2022, 13:31:45 »

Tolik různých příspěvků na obyčejnou UPS za 3 tisíce?!
Kup si APC Back-UPS BXM 950VA (520W), AVR, USB.
Má to vše co potřebuješ.
Po zkušenostech vím, že nemá cenu kupovat nic jiného než APC.

Prostě chci aby to fungovalo, chci aby to fungovalo všude stejně a jak si přeji a kde si přeji a zároveň aby byla nízká poruchovost, a ev. aby fungoval servis a byly k dispozici originální baterie.
Ono jde o to, že jde UPS připojit ke kotli, k televizi a tam je to vše šumák, nicméně připojit ji k NAS a řídit ji je už dost velká loterie zda to bude podporováno, na počítači se to jeví jako baterie (bez nutnosti software), nicméně software od APC je plně podporovaný a plně funkční, na rozdíl od alternativ, které mnohdy vyžadují JAVA apod. a vůbec není jisté že to u nich bude fungovat.

tahle věc umí generovat 200W odpadního tepla při plném zatížení, hlučné to je podle toho. mrmh požaduje ethernet 1Gb/s, tohle umí jen stovku.

183

Studium a uplatnění / Re:Placení času na onboard školení

« kdy: 02. 08. 2022, 13:27:03 »

pokud pracuji jako podnikatel je přece naprosto běžné, že mi klienti neplatí školení, zaučování nebo certifikace, které pro danou zakázku potřebuji, vše to je běžné, že si platím sám. To vše musí pokrýt moje marže a klientovi vykazuji jen práci, kterou jsem pro něj dělal za částku, kterou jsem si dopředu dohodl.

Řešením je asi se nechat zaměstnat, kde zákony jasně specifikují, za co musí zaměstnavatel platit. Jít podnikat a pak si stěžovat, že se mnou partneři nezacházejí jako se zaměstnanci? Co to je logiku?

184

Hardware / Re:Výber UPS k PC domov

« kdy: 02. 08. 2022, 09:45:36 »

Společnost Furman dělá UPS bez větráků, viděl jsem při jedné realizaci. Jinak špatně na tom nejsou ani Greencell z Polska, dělají také online s dvojitou konverzí a mají pěknou sinusoidu na výstupu, sám od nich jeden doma mám, ale hlasitost jsem musel vyřešit výměnou větráků za vodní chlazení, šel slyšet i přes zavřené dveře.

185

Hardware / Re:Velikost SSD Macbooku pro programátora (Air vs Pro)

« kdy: 31. 07. 2022, 12:25:35 »

větší disk znamená více dat k zálohování. Tak 10 let mám 256GB, 100 GB volného, programuji, navrhuji, dělám kontroly, kompiluji, stačí mi to, jsem zvyklý využívat servery, CI/CD, málokdy kód spouštím u sebe, statická analýza mi odchytá většinu chyb. I tak to jde.

Na jiném pc dělám fotky, tam mi jsou 4TB málo.

Primárně bys to měl ale rozhodovat podle sebe, každý má trochu jiný styl práce a na tyhle dotazy dostaneš spousty odpovědí, ale ani jedna nemusí být správná.

186

Hardware / Re:Velké zdražování

« kdy: 30. 07. 2022, 13:10:05 »

klient vloni byl nucen ukončit v Číně provoz během jednoho kvartálu. 8 let jsem jim tam pomáhal nakupovat servery a vybavovat DC a až rozhodla vláda a sebrali jim povolení podnikat, a to není zrovna malá společnost. Od letošního roku mají vyjmenované obory, kde musí být většina investic a kapitálu z Číny, zrovna polovidiče tam spadají, tím skončila řada podniků. Stejně tak od letošního roku jsou přísnější limity na výrobu a dovoz potravin, už tam začíná být také papírování.

Chceš-li snadnější možnost něco vyrábět, myslím, že v každé rozvojové zemi ti výjdou vstříc úplně stejně. U nás to je holt složitější, ale snad to je jen dočasně.

187

Hardware / Re:Velké zdražování

« kdy: 29. 07. 2022, 21:36:16 »

Z mých informací za to může přeorientace Čínského exportu na produkty s vyšší přidanou hodnotu, viz jejich plány pro 2021-2025, s tím je spojené ukončení hrazení dopravy a přímých pobídek exportérům, stejně tak vyšší papírování pro vývoz. Změny na straně EU (doprava, CLO/DPH) tak obrovský vliv nemají.

Na Čínském trhu se toho ale mění víc i uvnitř, trochu se ukazuje, že ty masivně produkované elektroniky vlastně byly dotované a cena sotva stačila na výrobu. Myslím, že časy, kdy si spotřebitel na Ali koupil věci levněji než firma, která si je tam nechala vyrobit jsou už pryč.

188

Vývoj / Re:Smazání seznamu souborů se spec. znaky

« kdy: 29. 07. 2022, 10:17:04 »

smaž přes inode.

ls -il, v první sloupci máš inode id, pak smaž přes rm -i <inode>

189

Server / Re:dnsmasq a round-robin balancing

« kdy: 29. 07. 2022, 10:03:36 »

pro resolver nebo myslíš, aby ti vrátil jen dostupný A záznam? Dnsmasq neumí zjišťovat, jestli vrácené záznamy jsou funkční, hlavně nemá to jak zjišťovat (stačí route? Nebo ping? Co když je icmp zakázané? Nebo má dotazovat nějakou službu na L7?).

Pokud to chceš jen pro sebe, udělej si na localhostu reverzní proxy (nginx, haproxy) a tam nastav  více backendů, pak se ti vrátí jen ten, který je dostupný na http (či podle nastaveného checku).

Případně můžeš využít nástroje jako consul, mít agenta na jednotlivých hostech a přes jeho DNS službu vrací poté pouze aktivní IP podle dostupnosti agenta (a případně jeho checků).

Pokud to chceš mít veřejně, tak je asi nejlepší (vzhledem k ceně a složitosti) mít nějakou jednoduchou službu, která bude kontrolovat dostupnost serverů a podle toho přes api upravit DNS záznam. Tak to dělám pro menší klienty, výpadek je vesměs vždy pár minut (při TTL 60) a pro hodně situací to je přijatelné.

190

Server / Re:Rsyslog - oddělení lokálních a vzdálených logů

« kdy: 26. 07. 2022, 20:06:56 »

je to dokumentované tady, https://www.rsyslog.com/storing-and-forwarding-remote-messages/, je ti na tom něco nejasné?

191

Odkladiště / Re:Web tracking od Google, Facebooku apod.

« kdy: 24. 07. 2022, 15:41:23 »

Proč ne? Reklama (stejně jako měřící kód, Like/Share tlačítko atp.) je Javascript. Který se navíc tahá ze stránek třetí strany, která jej může libovolně aktualizovat. A přečíst Javaskriptem hodnotu libovolného prvku na stránce je školní úloha.

A nejsou toto zakázané metody prohlížečem? Stejně jako čtení cizích cookies apod.

skript bezici na vasi domene muze cist obsah vasich formularu a cookies, skript bezici na domene google, treba v iframu, muze cist cookies google.

google reklamy a podobní ale neběží přece v iframe, že?

192

Studium a uplatnění / Re:„Kopírování“ z poznámek při nastavování

« kdy: 20. 07. 2022, 11:19:37 »

drtivou většinu správy sítí a serverů z hlavy, ono tak, když je člověk někde v DC nebo v servisní místnosti, není moc k dispozici internet nebo počítač, na textový terminál se to moc nedá kopírovat.

Dneska to takhle ale už neděláme, vše se snažíme automatizovat, každý zásah má dopředu daný checklist a postup. Příkazy z hlavy se ale hodí na debugování, urgentní zásahy. Mám poznámky v texťáku, dnes už cca 15000 řádků, kde si zapisuji poznámky. Pročítání githubu, man pages, případné dohledávání na googlu je běžná část přípravy. Než něco jde na produkci, mnohokrát si to odzkouším/odzkoušíme bokem, takže pak to člověk opravdu v té hlavě má.

Neboj se, že si něco nepamatuješ či neznáš nazpaměť, měl bys mít ale aspoň povědomí jak postupovat, co děláš a jak dosáhneš cíle. Měl bys mít načtený dokumentace a man pages, samotné příkazy z hlavy ti sice práci urychlí, ale nejsou tím stěžejním bodem.

193

Windows a jiné systémy / Re:Skusit BSD?

« kdy: 13. 07. 2022, 11:53:19 »

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.

AppArmor, ale není součástí jádra, je to externí aplikace. LSM si jen tak sám nemůžeš ovládat (nebo jsi zkoušel psát injectovaný kód do syscallů?), to není api, to je hook inject.

Ne, řeč byla přímo o tomhle tvrzení, které jsi začal nesmyslně rozporovat přes AA, který to neřeší:

pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám.

Stejná situace je i s Mac OS, poskytuje api pro integraci bezpečnostních aplikací a mohou vzniknout věci jako little snitch, také je pro tebe děravý? Jak na Linux zajistíš alternativu k UAC nebo Privacy preferences (u Mac OS) pro desktopové aplikace? Sudo a spouštět aplikaci s právy root? Opravdu? Nebo jaké je alternativu na linuxu k memory exploit mitigation (nebo využívání anonymous executable memory aka ROP exploity), což je třeba kritické při přehrávání videí v prohlížeči? Množství úspěšných útoků a malwarů pro linux roste meziročně o desítky procent i v CZ prostředí (jsem z oboru), objevují se čím dál více fileless malwary (proti tomu AA nechrání v podstatě vůbec).

Ono to jde i dál, ochrana jádra před superuživatelem, u Windowsu ani Mac OS nejsem schopný jednoduše jádro napadnout, ikdyž jako nějaký zákeřný program dostane práva (např. tím, že jsem přibalený k nějakému legitimnímu programu). Na Linuxu máš díky AppArmor otevřený LSM, což jsou zadní vrátky do celého systému (stejně jako eBPF). Pokud zapneš direktivu kernelu SECURITY_LOCKDOWN_LSM_EARLY, ztratíš možnost měnit AA profily za běhu systému a pro každou změnu musíš dělat restart, v opačném případě jsi náchylný k řadě útoků. Kdyby v tomhle byl Linux v pořádku, nemusí vznikat projekty jako https://github.com/linux-lock/bpflock, však si přečti odůvodnění, to nejsou pohádky, ale reálné problémy.

Linux lze dobře zabezpečit pro spouštění kontrolovaného provozu, AA a jiné nástroje jsou strašně silné, ale znamená to, že znám dobře každou aplikaci, mohu hledat anomálie v logách. Tohle ale už dobře nefunguje pro desktop, kde přes AA není možné chránit aplikace mezi sebou, mezi tím, aby si navzájem šahali do paměti nebo si posílali signály, AA tohle neřeší, řeší to třeba cgroup, ale u toho neexistuje distribuce, která by všechny aplikace spouštěla ve vlastní cgroupě (ano,  cgrules.conf si musím dělat sám a nachystat pro vše, co spouštím, nelze vynutit pro všechny aplikace striktně).

Sám si musíš být vědom, kde AA má svoje limity a co vlastně vůbec neřeší.

194

Windows a jiné systémy / Re:Skusit BSD?

« kdy: 13. 07. 2022, 09:02:49 »

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

A co je appArmor pro Linux jiného než externí program? Už 14 let na něj práva vlastní společnost Canonical, ta ho i dále rozvíjí. Zapomeň na antivirus a jejich heuristiku pro vyhledávání známých virů, jde o schopnost reagovat na údálosti v systému a jejich běh povolit nebo zakázat, Linux takové informace neposkytuje v dobře integrovatelné podobě, zmíněné LSM je nedostatečný, dnes se zkouší tohle řešit přes eBPF, ale to zatím považuji za divnou to cestu.

195

Windows a jiné systémy / Re:Skusit BSD?

« kdy: 12. 07. 2022, 20:16:41 »

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

nepsal jsem, že to přímo neumí, jen že Win/Mac jsou v těch ochrannách dál a že na linuxu si musíš řadu věcí ošetřit sám, není to připravené na to, abys byl chráněný bez toho, abys musel implicitně používat dané technologie a udržovat k nim pravidla, to považuji za zásadní problém pro někoho, kdo se ptá, jestli systém X je bezpečnější než Y. AA je skvělej, ale jak chrání proti IPC, může ho povolit nebo zakázat, ale to je vše? X server není řešen vůbec, u LSM nemáš možnost alokace dat, aktualizace pravidel a držení historie, eset to řeší přes user space proces, který ty data drží, to ale není optimální).

A jak myslíš, že na Windows fungují antiviry? Blokují přístup na soubory, syscally a síť. Nikde jsem nepsal, že to má být uživatel pod kontrolou, ale jestli OS tu možnost nabízí, abych tam k tomu mohl mít specializované aplikace, na linuxu takové api chybí, LSM je dost low-level, hookuje přímo volání do kernel kódu a je nutné to pečlivě testovat na každou verzi kernelu, neumožňuje držet stav a context. Windows třeba dneska mají i Windows sandbox, to je určeno pro uživatele. To je i důvod proč na linux v podstatě neexistují antiviry, které by dělali realtime ochranu, velká část antivirů je asynchronních a do řady provozu se vůbec nedostanou snadno (např. zajistit kontrolu stahovaných souborů přináší problém, jak se dostat k zdrojové url).

Máš pravdu v tom co píšeš, AA je mocný, umí toho hodně, pokud ho používáš správně a výlučně, máš velice dobře systém pod kontrolou, ale to můžeš tak akorát používat u sebe, nelze tím říct, že linux je díky tomu bezpečný, není, protože žádná linux desktop distribuce tohle nemá zapnutý automaticky (Tails na to jde trochu jinak a není to uživatelsky zrovna přívětivé).