Příspěvky

2821

Hardware / Řešení pro informační tabuli

« kdy: 08. 08. 2016, 11:25:18 »

Ahoj, zákazník mě požádal, abych mu navrhl a zrealizoval informační/PR koutek, požadavky jsou:

• dva monitory/televize, úhlopříčka od 75cm nahoru - nemusí být synchronizované do jedné plochy, spíš se na každém bude zobrazovat něco jiného
• možnost zobrazovat nějaký rozumně hezky formátovaný informační text - spíš statický, úprava obsahu ručně řekněme 1xdenně - "laikem" - musí na to být nějaké polopatické rozhranní
• připojení k (lokální) síti není problém, takže úprava textu přes prohlížeč by byl ideál
• zobrazovat propagační videa a fotky - rotující pořád dokola
• úplně ideální by bylo bezdiskové řešení - jenom s RO flashkou a natahování dat nebo ještě líp celý bootování přes síť  - v lokální síti je unixový server, takže není problém to malém PC použít i jenom jako prohlížeč a nějakou webovou appku dát na ten server

Samozřejmě to zvládnu udělat úpravou nějakého distra, automatickým startem prohlížeče, napsat nějakou drobnou webovou aplikaci pro změnu obsahu stránky atd. O diskusi, jak to zbastlit, mi teď nejde. Spíš bych se chtěl zeptat, jestli jste náhodou něco podobného někdo neřešil a nemáte tip na nějaké (polo)hotové řešení, které by jenom stačilo naplnit obsahem, případně trochu přiohnout a podle vašich zkušeností funguje dobře. Samozřejmě jedině opensource. Ať zbytečně nevymýšlím kolo...

Samostatná kapitola je samozřejmě hardware - líbilo by se mi nějaké malé (průmyslové?) PC. Superodolnost a superstabilita není potřeba - bude to nasazeno v místě, kde by občasný restart nebyl zas takový problém. Prostředí je standardní (řekněme "kancelářské"), žádné průmyslové prostředí, kde by byla extrémní prašnost, teplota apod. PC bude i relativně fyzicky dostupné. Největší problém mi připadá být požadavek na dva monitory - co jsem různá malá PC viděl, dva výstupy na monitor většinou neměly a normální dvouhlavá grafika se do nich dát nedala (rozměrově).

Zatím jsem si žádnou rešerši nedělal, podle webovek stejně moc nepoznám, jak je které řešení dobře udělané, robustní a blbuvzdorné... Docela dost to spěchá, mělo by to být komplet v provozu tak cca za měsíc, takže na žádné velké laborování není prostor Proto vám budu zavázán za jakékoliv vaše zkušenosti ze skutečného nasazení takové věci - z hlediska sw, hw. Pokud bude nutný udělat skládačku, máte tip na nějaký vhodný kejs?

Dík za vaše postřehy!

2822

Studium a uplatnění / Re:Certifikace - kterou?

« kdy: 07. 08. 2016, 20:33:29 »

Nejake typy mam. Jestli chces tak mi napis privatni zpravu a muzeme to probrat.

A proč to nechceš napsat sem? Mohlo by to zajímat víc lidí než jenom OP. Třeba mě

2823

Server / Re:Vzdálené odemykání LUKS partitiony a bezpečnostní rizika

« kdy: 07. 08. 2016, 18:10:25 »

Jinak všechen backend jede na djangu na raspberry. Nám jde o to, aby si člověk sám neodemkl plnou licenci jentak a samozřejmě, aby neukradli kód, ale není to nějaký extra terno. Tudíž chceme to raspberry zabezpečit aspoň proti klasickým uživatelům - barmanům atd. Dále chci mít co nejvíce zabezpečená data databáze, protože přecijen jsou to soukromé věci toho podniku.

No ale to je úplně jiná situace, než jak jsi to doteď popisoval

Takže chcete, aby se zákazník nedostal k funcím, které nemá licencované - na to je snadná odpověď: prostě mu je tam neinstalujte. A když si zaplatí, vzdáleně je tam nahrajete. Problem solved.

A databázi chcete tímpádem chránit úplně jinak a proti úplně jiné hrozbě (jaké? Krádež dat po netu vámi? Třetí osobou? Fyzická krádež média s daty?) Asi bych souhlasil s kolegama, že není potřeba nic vymýšlet - prostě jenom heslo/token, které ví/má jenom personál.

2824

Server / Re:Vzdálené odemykání LUKS partitiony a bezpečnostní rizika

« kdy: 07. 08. 2016, 16:26:45 »

Dobře, v tom máte pravdu, ale já to nemůžu dát k sobě na server, protože potřebuju, aby jim to fungovalo i bez internetu... :/

Jak "fungovalo bez internetu"? Vždyť jsi říkal, že se má LUKS otevřít přes ssh. To jako to zařízení bude chvilku na netu a pak (bez ztráty napájení!) odpojeno?

Tak já už nevím...Leda ten python překompilovat nějak.

A jsme zase u toho: ujasni si, co chceš chránit a proti komu. Chceš chránit kód aplikace? Tak ji hlavně nepiš v pythonu! Nebo chceš chránit nějaký ty data (databázi)?

Hele, pokud s tím chceš fakt poradit, tak napiš naprosto polopaticky, co ta aplikace dělá, kdy je připojená k netu, kam ukládá data, co je v datech/binárkách citlivého, proti komu to chceš chránit. Jinak se tady budeme honit jak kočka s myší pořád dokola...

(Už teď je i tak docela jasné, že nejrozumnější by bylo se na pokus o ochranu vykašlat, jak radí kolegové, ale třeba se přece jenom nějaký rozumný kompromis najde, když situaci pořádně a polopaticky popíšeš)

2825

Server / Re:Vzdálené odemykání LUKS partitiony a bezpečnostní rizika

« kdy: 07. 08. 2016, 14:10:40 »

Nějaký expert se tam vždycky nějak dostane.  [...] a to bych chtěl mít zabezpečené pořádně.

Není to náhodou v rozporu?!

Zákazník nemá do raspi přístup. Má ho sice u sebe, ale žádného uživatele na raspi nemá.

Čili nejen že do raspi přístup má, ale efektivně má root přístup ke všemu před rozkódováním LUKSu. Může upravit libovolnou binárku, včetně ssh a jádra. Ergo žádné dobré řešení neexistuje.

2826

Vývoj / Re:Pouziva se vubec nekde Java SE? A nejaky zajimavy projekt na EE ci Spring?

« kdy: 07. 08. 2016, 12:50:10 »

Tak seznam.cz a napojene weby staci jen chvili pouzivat a je jasne jakou uroven to asi bude mit v te firme.

Každý může míru triviálnosti posoudit sám: https://www.youtube.com/watch?v=uOpjruZ7kXU

2827

Vývoj / Re:Pouziva se vubec nekde Java SE? A nejaky zajimavy projekt na EE ci Spring?

« kdy: 07. 08. 2016, 11:58:52 »

Ptal jsem se na konkrétní příklad startupu, kde se dělá něco zajímavějšího než databáze, co nedá běžná "lopata". Co jsem viděl, startupy vymýšlejí ptákoviny.

Nepoužíval bych termín "startup", to je zbytečně zavádějící. Je spousta malých firem, které dělají zajímavé věci. Třeba u nás v Energomonitoru děláme programátorsky netriviální věci, abych si přihřál polívčičku (streamové, individuálně konfigurovatelné zpracování dat, kroužení kolem Mqtt, Kafka, Spark, InfluxDb, Docker, microservices... firmwary pro embedded... Python, Java,Scala,Elixir,...) Na startubjobs.cz najdeš takových firem relativně hodně.

Ve velkých firmách se logicky na zajímavé kreativní věci narazí míň často z principu věci - pokud mám armádu programátorů, tak je potřebuju nějak řídit a potřebuju od nich dostat předvídatelný výsledek, kreativitu tam moc nechci, ta se koncentruje v analytických a hlavně R&D týmech, které jsou logicky malé, takže se tam dostane menšina lidí. I když pokud vím, třeba i takový Seznam do svého R&D pořád nabírá.

2828

Server / Re:Vzdálené odemykání LUKS partitiony a bezpečnostní rizika

« kdy: 07. 08. 2016, 11:43:01 »

Tak otázkou je, proč to děláš, před kým chráníš data, jaký přístup k té aplikaci má zákazník, co ta aplikace obecně umožňuje.

Přesně tak, tímhle je potřeba začít, ne dumáním nad logováním ssh.

  - zkontrolujete zda jsou na cilovem RPI vsechny soubory potrebne pro odemceni LUKS nemodifikovane zakaznikem => tim zamezite podvrzeni skriptu nebo binarky

Nedovedu si teď úplně představit, jak to udělat dobře na nedůvěryhodném systému. Když budu dělat sha checksumy, jak zjístím, že samotná binárka sha256sum není modifikovaná? Ok, můžu si tam přes ssh nakopírovat svoji binárku, jak zjistím, že není jádro modifikováno tak, že mi pro checksum předhotí správné binárky, ale jinak použije kompromitované?

Jediný způsob, jak to udělat fakt dobře, o kterým vím, je TPM, který RasPi nemá.

  - system se preda zakaznikovi

Btw, nebylo ani řečeno, co tohle přesně znamená. Zákazník má to RasPi v ruce? Má k němu ssh přístup? Na roota nebo uživatele? Má přístup jenom přes nějakou aplikaci? Je ta aplikace nějak auditovaná?

Riziko co mne napada:
  - pokud ma zakaznik plnou kontrolu nad systemem, muze si vlozit do odemceneho LUKS svuj vlastni klic (ted z hlavy nevim zda je to treba pri uz otevrenem LUKSu autorizovat existujicim klicem nebo heslem)

No já hlavně úplně nechápu, jaký smysl by mělo LUKS otevřít a dá k němu uživateli plný přístup. Tak si celý obsah zkopíruje a dál klíč nepotřebuje... ...a jsme zpátky u toho, že se musí začít sepsáním toho, co proti komu chráním a jaké má potenciální útočník v ruce prostředky.

2829

Server / Re:Serverhousing v CZ

« kdy: 06. 08. 2016, 21:56:14 »

V Casablance jiz neprsi  nejakou dobu uz maji nad racky strechu z plexi, vcetne toho naseho... 

To měli i před tím a není to ochrana proti vlhkosti, ale směrování tepla.

2830

Server / Re:Icinga monitoring SLA

« kdy: 03. 08. 2016, 09:05:51 »

Terminologická poznámka: SLA je service level agreement - tj. dohoda o tom, jaká má být úroveň/kvalita služby. Ty zřejmě nechceš vidět SLA, ale chceš vidět nějaký indikátor(y) úrovně služby (abys mohl říct, jestli byla SLA dodržena nebo ne).

Indikátory můžou být různé. Nejjednodušší a nějčastější je dostupnost (availability), což je předpokládám to, co chceš vidět. Pokud to teda chápu správně, tak kdyby sis to správně pojmenoval, zadal bys do googlu "icinga availability report" a našel např.:

https://wiki.icinga.org/display/howtos/Availability-Report+parser
https://www.icinga.org/products/screenshots/icinga-reports/
https://wiki.icinga.org/display/howtos/Setting+up+Icinga+with+Reporting

Údaje o dostupnosti se ukládají do databáze, takže pokud ti výstup žádného existujícího nástroje nevyhovuje, neměl by být neřešitelný problém si nějakou analýzu a zobrazení napsat sám.

2831

Windows a jiné systémy / Re:Lze se vyhnout Active Directory DC?

« kdy: 23. 07. 2016, 13:44:13 »

Souhlas, bohuzel praxe ukazala, ze to neni vzdy mozne

Nebylo to možné tam, kde chytrolíni postavili web na ActiveX a podobných MS srágorách. Jelikož Edge ActiveX nepodporuje a webové technologie jdou mílovými kroky dopředu, množství těchto situací se bude rychle limitně blížit k nule. IE je relikt minulosti a vyjadřuji upřímnou soustrast všem, kdo ho ještě musí provozovat.

2832

Windows a jiné systémy / Re:Lze se vyhnout Active Directory DC?

« kdy: 23. 07. 2016, 13:02:01 »

mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG

IE je tragicky špatný prohlížeč a pokud je sebemenší šance se mu vyhnout, je dobře to udělat. Microsoft už to taky pochopil a zařízl ho.

Čili politiky si naprosto v pohodě uděláš pro Firefox nebo Chrome, protože ty mají nastavení docela dobře zdokumentované.

na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat

To je pravda. Nastavení Windows je takový shit, že ho MS musí schovat za klikátka GPO, která dělají nikdonevíco. A pokud chceš nikdonevíčeho dosáhnout jinak, tak je to opruz. Čili pokud chceš nastavovat něco, co nevíš, kde se nastavuje, tak je GPO podstatně pohodlnější. Jiná cesta je nenastavovat věci, které nevíš co dělají

2833

Windows a jiné systémy / Re:Lze se vyhnout Active Directory DC?

« kdy: 23. 07. 2016, 11:14:29 »

Nechces napsat clanek nebo obsahlejsi blog?

Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

2834

Windows a jiné systémy / Re:Lze se vyhnout Active Directory DC?

« kdy: 23. 07. 2016, 11:01:24 »

Navíc uživatel má být obecně User/Domain User, ne Admin. Tedy žádná instalace. Když mi v jedné firmě řekli, že nutně potřebují Chrome, přes GPO jsem nastavil instalaci na PC a oprávnění do Chorme, ráno zapli PC, spuštění trvalo o chvilku déle a Chrome byl na PC. Paráda. A jelikože někteří měli dovolenou, tak se to nainstalovalo později.

Nebo typicky-měním PC. Přes AD/GPO se doinstalují všechny potřebné programy (včetně toho Chrome) a natáhne se celý profil ze serveru. Uživatel prostě přijde, zapne, naloguje ... a pracuje.

A já to dělám úplně přesně stejně - stejný postup, stejný výsledek - akorát pomocí WPKG. Čili instalaci zabezpečí jeden skript a jeden soubor s nastavením. Čitelný, v XML formátu. I tak mi to nestačilo, tak si ho generuju z YAMLu. Kdyby cokoliv nefungovalo, umím si to krásně debugovat, protože přesně vím, co se tam děje. Když se tobě rozesere synchronizace sysvol, tak neuděláš nic, protože (pravděpodobně) vůbec netušíš, jak to doopravdy na lowlevel úrovni funguje (a není to tvoje chyba, protože kdo by se v tom guláši hrabal?!).

https://www.reddit.com/r/sysadmin/comments/46ncrk/ad_sysvol_version_mismatch_but_not_really_question/

Užij si to. Dokud to funguje.

2835

Windows a jiné systémy / Re:Lze se vyhnout Active Directory DC?

« kdy: 22. 07. 2016, 14:19:56 »

Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Jediný, o čem vím, že by to mohlo řešit rozumně, je: pravidla podle fyzického umístění nebo ipsec/Radius/x509. K tomu prvnímu potřebuješ jenom síťové prvky, které umí vlany, a to druhé velká část správců předem zavrhne, protože se jim do toho celého cirkusu vůbec nebue chtít pouštět.