Příspěvky

211

Odkladiště / Re:Nefunční zabezpeční Alza.cz

« kdy: 01. 07. 2022, 17:05:18 »

Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?

Pěkná trefa. Je to tak, IP adresa je poměrně citlivá, YourDog to sám ví, jinak by jí po té Alze ani tak moc nechtěl. Doufá, že podle ní bude schopný dál rozpoznat, co se asi s jeho účtem děje a kým. Kdyby sama o sobě IP adresa nebyla citlivý údaj, který může sloužit k identifikaci, asi by pak nebyla tak užitečná...


nula: ano, tohle jsem také radil a dá se tím to odmítnutí Alzy pěkně obejít.

212

Server / Re:iSCSI - perspektivní protokol dnes (2022?)

« kdy: 01. 07. 2022, 15:40:14 »

to je stálice, pořád většina storage v enterprise světě je připojena přes iSCSI z diskového pole. Občas teda člověk najde iSER, ale to je hodně podobné. Začínáme ale pomalu testovat nvme-of, ale iSCSI to zatím nenahradí.

Když u serveru nechceš mít disk lokálně, tak příliš moc jiných možností jak připojit vzdáleně block device nemáš, iSCSI je nejuniverzálnější.

Osobně to používám i doma, většina HW mi běží v diskless režimu a data tahají přes iSCSI.

Trochu s tím mávají cloudy, ty totiž implementaci schovávají nebo se masivně používá na data HTTP api, ale uvnitř tam bude pořád něco na způsob iSCSI.

213

Software / Re:Google Authentificator pouze pro uživatele root

« kdy: 01. 07. 2022, 14:43:06 »

v tom případě tam ten tam ten řádek nech a uprav sshd_config, tam přidej (či uprav) řádek PermitRootLogin yes, možná tam máš něco jako prohibit-password.

Podle toho návodu ta proměnná $(HOME) tam asi funguje, to nevím, nepoužívám. Zároveň bys pod rootem tedy neměl mít soubor ~/.ssh/google_authenticator. Máš to tak?

Tyhle různé podmínky a pravidla je opravdu lepší řešit přes nějakou službu a nikoliv přímo v pam.d a sshd_configu, tam ty možnosti nejsou tak velké a vše se blbě testuje.

214

Software / Re:Google Authentificator pouze pro uživatele root

« kdy: 01. 07. 2022, 12:42:55 »

teda ty to chceš obráceně, takže nech soubor .ssh/google_authenticator jen pro roota a pro ostatní ho měj smazaný, neexistující. Mělo by to fungovat.

215

Software / Re:Google Authentificator pouze pro uživatele root

« kdy: 01. 07. 2022, 12:41:04 »

a proč nenapíšeš, co jsi zkoušel, co ti nefungovalo a proč. Máš tam nullok flag, ten způsobí, že pam_google_authenticator.so skončí jako success v momentě, kdy uživatel nemá soubor ${HOME}/.ssh/google_authenticator a tady máš chybu, pam.d soubory se nespouští pod kontextem uživatele, ale běží pod rootem, nemůžeš tam používat takhle proměnné (nezkoušeno, ale myslím si to). Osobně bych tam dal raději ~/.ssh/google_authenticator

Pokud to chceš zapnout pro všechny ostatní, vygeneruj všem uživatelům nějaký klíč, ať už správný nebo špatný, zároveň u uprav template home složky pro nové uživatele a také tam nechat nějaký náhodný klíč.

Raději tohle nastavení řeším o trochu dál na nějakém IDM/ldap serveru, mohu totiž dávat locky při bruteforce, tady to nelze snadno. Uživatele si pak klíče a hesla mohou spravovat sami přes rozhraní, nemusím jim to dělat nějak složitě přímo na serveru.

216

Odkladiště / Re:Nefunční zabezpeční Alza.cz

« kdy: 01. 07. 2022, 09:12:34 »

hlavně z pohledu Alzy nikdo neví, jestli znalost IP adresy může vést ke ztotožnění či nikoliv. Nezapomeň, takže logicky se jí zdráhají prozradit. Wikipedia si s veřejnění poradila trochu jinak a jsou na hraně, ví ale co dělají. Alza se ale nejspíš řídí doporučením ÚOOÚ (https://www.uoou.cz/desatero-omylu). Neměl bych jim to za zlé, jdi na to ale opačně, nepožaduji IP adresu domnělého útočníka, ale podle GDPR si vyžádej výpis svých osobních údajů vč. historie přihlášení, to by ti měli dát.

217

Odkladiště / Re:Nefunční zabezpeční Alza.cz

« kdy: 30. 06. 2022, 14:16:40 »

Osobně bych spíše řekl, že to někdo kliká z jejich podpory, mohou totiž kdykoliv přiřadit objednávku komukoliv, takže možná nějaká chyba párování. Je nepravděpodobné, že při změně hesla se ti objednávka okamžitě objeví znovu.

Alza poslední dobou hodně šetří a propouští, asi stavět růst na loňských covidových číslech, kdy jako jedni z mála fungovali bylo dost odvážné.

Stejně tak je dost nepěkné, když společnosti pořád tvrdošíjně používají validace přes sms ač si nastavíš cokoliv jiného.

218

Odkladiště / Re:Je v něčem iperf3 -c 127.0.0.1 relevantní benchmark

« kdy: 29. 06. 2022, 22:04:52 »

v podstatě k ničemu. Testuješ s tím rychlost contextswitche a přesun dat po TCP mezi user space a kernel space. Dá se občas takhle ladit nastavení kernelu, scheduleru, tcp window size atd.

219

Server / Re:Jak funguje na webhostinzích firewall a ochrany

« kdy: 29. 06. 2022, 10:49:17 »

drop je krajní řešení a co vidím u sebe, používá se až, když probíhá nějaký útok a potřebuji ochránit služby, zpravidla se děje na hraniční firewallu nebo agregátorů a hlavně z důvodu vytížení linky, k ničemu jinému drop není užitečný.

Běžný webhosting začíná s rate limitováním, tak aby neomezoval služby a zároveň je ochránil. Když někdo dává příliš požadavků, prostě ho zpomalím na firewallu.

Obrana proti různým typům útoků na aplikace a používáním známých zranitelností se řeší různě, opět je tady lepší to prostě na straně infrastruktury neblokovat a přidávat ad-hoc dočasná pravidla až podle toho, jestli se nějaká věc masivně zneužívá (např. nedávno log4shell zranitelnost jsme takhle fixlovali než byl update). Ono to je totiž dvousečné, ty nevíš co je legitimní provoz a co je zranitelnost aplikace, můžeš mít speciální filtry pro nějaké krabice jako wordpress, ale dá dost práce je připravit a udržovat a zároveň něco nerozbít.

Samozřejmě je velice vhodné provoz logovat a analyzovat, v případě kdy rozpoznáš nebezpečné chování, informuješ uživatele, pokud jeho aplikace masivně nebezpečně dotazuje jiné aplikace či oťukává infrastrukturu, můžeš přistoupit k blokování, ale opět tady platí, že dělat to automaticky je nebezpečné a mělo by se to používat jako krajní řešení. Tvoje infrastruktura musí být záplatovaná a bezpečná, nemělo by jít skenování či oťukávání ohrozit, pokud již je penetrovaná, přichází na řadu blokování a izolace, je ale těžké to dělat automatizovaně a neomezovat služby platícím zákazníkům. Je to něco jiného než, když jako firma provozuješ infrastrukturu pouze pro sebe, tam si můžeš blokovat poměrně snadno a dělá se to tak.

K různýmu podezřelýmu chování ještě nezapomeň i variantu, že to může být legitimní provoz, různé bezpečnostní či skenovací nástroje mohou zkoušet jak je aplikace zabezpečená, může si takovou službu i platit sám zákazník. Je těžké mezitím rozlišovat a automaticky něco blokovat na vyšší vrstvě.

220

Server / Re:Přibližná cena serveru+elektřiny na AI

« kdy: 29. 06. 2022, 08:52:20 »

Na amazonu na tohle používáme ec2-p3, občas se spotově použije 24xlarge (asi 800 Kč na hodinu) na velké trénování. Prakticky ale věšina modelů vzniká na dvousocketových xeonech, protože to je k dispozici a ne vždy je tolik dat, aby ten rozdíl byl tak obrovský a nešlo přes noc počkat.

Paradoxně se ukazuje, že pro domácí potřeby vypadá nejvhodněji počítač od apple s m1/m2 procesorem, už to tady vývojáři kolem mě mají a reálně používají, sice to je pořád pomalejší než na xeon serverech, ale pro většinu potřeb to je dobře použitelné, hlavně na ty začátky.

Pokud s tím začínáš, tak nemusíš pracovat s terebajkty vstupních dat, ale s něčím menším a můžeš na některé úkony použít již natrénovaný model, nepotřebuješ inkrementálně trénovat každý den a můžeš si občas pár hodin počkat.

221

Server / Re:Přibližná cena serveru+elektřiny na AI

« kdy: 27. 06. 2022, 19:35:19 »

server koupíš asi do 20 tis, něco takovéhoto by ti mělo stačit https://www.czech-server.cz/servery-hp-proliant-dl360-gen8_c20.html#cls=spresenttrees&strid=20&sps_v_1615=10-Core%201.70%20GHz%20E5-2650L%20v2

Zvaž to, potřebuješ na to místo, servery jsou dost hlučné. Náklady na spotřebu jdou teď opravdu do jednotek tisíc měsíčně. Tady si nevybereš? https://www.soyoustart.com/en/

222

Server / Re:Performance MongoDB

« kdy: 26. 06. 2022, 20:28:05 »

Mongo je fakt pomalé, na datové kostky to není, ale těch 40k snad není až tolik

mongo na zápis používá semafor pro každou kolekci/databázi, dát 40k rps je strašně moc, to máš 0,025ms na jeden zápis, to je přibližně o dva řády více než zvládne jedna instance mongodb. Takže, aby ti tohle cluster dal, potřebuješ asi 100 sharedů (nebo kolekcí) a rovnoměrný zápis mezi nimi, to je prostě strašně obtížné. Se shardy pak jsi na minovém poli a kličkuješ mezi nestabilitou, ztrátou dat a nepodporou řady funkcí.

V praxi to řešíme bufferem před mongem, který pak dělá bulk operace třeba jednou za vteřinu, pokud je ale ten bulk příliš velký, mongo to morálně neunese a má tam šílené latence (i ve vteřinách), nastavá read uncommit, stale indexes a jiné voloviny. Je to těžká databáze na provoz a doporučuji se jí vyhnout obloukem, je blbě navržená, má velice dobrý marketing, ale ve větším měřítku nefunguje vůbec dobře.

223

Server / Re:Performance MongoDB

« kdy: 25. 06. 2022, 13:18:43 »

řekl bych, že bude jednodušší to mongo prostě nepoužít a vzít vhodnější databázi.

Zas až tolik od toho nechce...
Vždycky to na něčem visí.
Kdyby měl jednojádro PIII/800MHz a 128 GB RAM, tak chceš použít něco, co potřebuje málo systémových prostředků.
Jenže teď mají i souborové servery 16/24core a 32 GB RAM, za pět let se budou prodávat souborové servery a 32/64core...

Odladit = 5 hodin
Přepsat na ?xx? = ?xx? hodin, otestovat ?xx? hodin, udržovat různé systémy ?xx? hodin, řešit problémy na systému, který neznám ?xx? hodin, licence ?xx? peněz, dohoda týmu ?xx? hodin....

ne, mongo řeší nevhodně zápisy, 40k požadavků za vteřinu je skoro nereálné, můžeš to rozdělit na shardery, ale tím jsou spojené jiné problémy.

Takhle vysoký zápis na mongu lze docílit pouze přes bulk operace a sdružovat to třeba přes kafku.

224

Server / Re:Performance MongoDB

« kdy: 24. 06. 2022, 23:13:37 »

řekl bych, že bude jednodušší to mongo prostě nepoužít a vzít vhodnější databázi.

Zvedni počet shardů, ale se shardery zase riskuješ, že příjdeš o data, s mongem prostě blbě řešitelné, má raději čtení než zápis.

225

Hardware / Re:Reklamace notebooku

« kdy: 24. 06. 2022, 17:36:53 »

reklamovat může vadu výrobku, v čem je notebook vadný, když oficiálně linux nepodporuje?

Prakticky můžeš zkusit použít novější kernel, může to být problém v upstreamu opravený, stejně tak se vyplatí zapátrat, jestli to již někdo z komunity nevyřešil.