Příspěvky

3661

Server / Re:Let's Encrypt certifikaty pro ostatní služby

« kdy: 03. 12. 2015, 16:30:44 »

je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,...

Certifikát je soubor s patřičnou strukturou, takže jestli máš službu, která data s tou strukturou umí použít, tak ti v tom nic nebrání.

Trochu komplikace může být s:

1. jak certifikát získat a obnovit - standardně se to dělá přes embedded www server, takže pokud bys chtěl získat cetifikát pro vpn1.mojedomena.cz, tak na tohle jméno musíš nasměrovat DNS záznamy (což třeba pro VPN nutně nepotřebuješ) a případně musíš i na chvilku vypnout webserver, pokud běží na stejné IP.

2. nebude to fungovat tak automatizovaně jako s www serverem - buď to uděláš poloručně, nebo si na to budeš muset napsat nějaké skripty apod.

3. všechny vydané certifikáty jsou u Let's encrypt zveřejňované - takže ten tvůj název bude veřejně vidět, což třeba nemusíš chtít

Sečteno podtrženo, pro služby, které neposkytuješ vyloženě veřejně (tj. "komukoli"), mi použití LE nedává moc smysl. Vlastní CA je daleko pohodlnější.

3662

Studium a uplatnění / Re:Vážné porušení pracovní smlouvy

« kdy: 30. 11. 2015, 10:29:18 »

Obavam se ze na nektere sysadminske pozice potrebujes mnohem sirsi znalosti nez obycejny programator. Nevim kde se bere pro pozice sysadmin takovy despekt.

V pohodě, s tím, jak je v současnosti populární "DevOps" a "NoOps" si postupně spousta programátorů vyzkouší, že to žádná zadek není a ještě rádi to zpátky předají někomu, kdo o tom něco ví

3663

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 21:05:10 »

P.S. tím "RST-ACK" neodpovídá socat, to je starost operačního systému. Software jenom otevírá a zavírá sockety, o nic víc se nezajímá. Všechny ty ACK, FIN, RST... jsou toho jenom důsledkem, posílá je OS.

3664

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 21:00:13 »

Co se týče toho firefoxu na 127.0.0.1:10000, tak jsem z wiresharku zjistil, že je by byl problém v "načasování" ?
FF pošle SYN v době, kdy socat teprve resolvuje fio.cz a odpoví RST-ACK a FF to okamžitě (?!) vzdá.
Při použití telnetu to tak není.

Přitom si myslím, že by socat měl být tím SYN na loc:10000 vzbuzen a pak teprve navazovat komunikaci s fio.cz a trpělivě čekat na (jakožto "proxy") mezi komunikujícími stranami a předávat data.
Nevím, proč na SYN na loc:10000 reaguje RST-ACK jen proto (?), že ještě nemá navázané spojení s fio.cz.
A také nevím, proč se to liší, je-li klientem telnet. Nemůže to být pomalostí člověk+telnet, protože jde o reakci už na na SYN.

Takže FF x [socat proxy] zatím nejde. Nevím proč.

Myslím, že sis něco nějak špatně vyložil, protože ten socat prvně naváže spojení a čeká. Pokud ho spustíš, můžeš si ověřit, že má navázané spojení (bez toho, abys na ten port 10000 ještě přistoupil):

Kód: [Vybrat]

# netstat -p | grep soca
tcp        0      0 XXXXXXXX:60206   www.fio.cz:https            ESTABLISHED 25019/socat

Spíš pokud to zkoušíš na tom /, tak se to chová správně: server po https pošle redirect (301) a ukončí spojení. Čili i socat spojení ukončí. Při přístupu na tu cestu e-brokeru se to neděje - server pošle 200 + odpověď a čeká na další request.

Pokud se zkusím (z Chromu) dostat na http://www.fio.cz:10000/e-broker/e-broker.cgi, tak normálně stránku dostanu, jenom bez CSS, které je asi umístěné někde jinde, to jsem nezkoumal. Můžu tam i klikat, jenom musím kliknout dostatečně rychle, než server spojení zavře. Pokud chceš, aby socat po uzavření spojení serverem otevřel nové (tj. abys mohl v prohlížeči normálně klikat dle libosti), musíš mu to říct. Viz manuál. Teď z hlavy si to přesně nepamatuju, ale bude to asi něco ve stylu:

Kód: [Vybrat]

socat openssl:www.fio.cz:443,verify=0 TCP4-LISTEN:10000,reuseaddr,fork

Samozřejmě předpokládám, že máš správně přesměrované www.fio.cz na localhost v /etc/hosts

3665

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 20:18:04 »

Problém je v tom, že jsem získal stejnou reply. A ta není to, co jsem čekal.

Inu, pro / je tam redirect z HTTPS na HTTP (Location: http://www.fio.cz/). Si to zkus v prohlizeci bez toho tunelu, ze te to taky z https hodi na http.

Pokud pristoupis na stranku, kde redirect nemaji a vali to po https, tak dostanes to, co (predpokladam) chces:

Kód: [Vybrat]

# telnet localhost 10000
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET /e-broker/e-broker.cgi HTTP/1.1
host: www.fio.cz

HTTP/1.1 200 OK
Date: Sat, 28 Nov 2015 19:14:16 GMT
Server: Apache-Coyote/1.1
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-cache
Cache-Control: no-store
Content-Type: text/html;charset=UTF-8
Content-Language: cs
Vary: Accept-Encoding
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

[...]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">


<html>
	<head>
		<title>e-Broker: Login - 20:14:16</title>

Můžu se zeptat, co s tím máš v plánu dělat?

3666

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 19:27:56 »

Pochopitelně jsem mínil přistupovat příslušnými klienty (popř. telnetem) k příslušným službám.

To byl hloupý pokus o hloupý vtip

P.S.: to https se mi zatím nějak nedaří: socat openssl:www.fio.cz:443,CApath=/etc/ssl/certs TCP4-LISTEN:10000

A v čem je problém?

Kód: [Vybrat]

# socat openssl:www.fio.cz:443,verify=0 TCP4-LISTEN:10000,reuseaddr

# telnet localhost 10000
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET / HTTP/1.1
host: www.fio.cz

HTTP/1.0 301 Permanently moved.
Date: Sat, 28 Nov 2015 18:22:58 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.4.16
Set-Cookie: PHPSESSID=8ddmc6qa5a258g958q4le7pve1; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: webLng=1; expires=Mon, 28-Dec-2015 18:23:06 GMT; path=/
Location: http://www.fio.cz/
X-Frame-Options: SAMEORIGIN
Content-Length: 0
Connection: close
Content-Type: text/html; charset=windows-1250

Connection closed by foreign host.

3667

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 14:23:36 »

Já potřebuji dostat tento STDIN/OUT dostat na lokální soket (např 127..0.1:10000), abych k němu mohl přistupovat telnetem, ftp klientem, ...

...a přesně to je primární účel socatu. Viz např. http://www.cyberciti.biz/faq/linux-unix-tcp-port-forwarding/

Jenom mi není úplně jasné, jak chceš na imap přistupovat ftp klientem

3668

Server / Re:Vybalení SSL obsahu z tunelu

« kdy: 28. 11. 2015, 11:21:07 »

Kód: [Vybrat]

socat openssl:pop3.volny.cz:995,verify=0 stdio

Misto stdio si pak das cokoli potrebujes.

3669

Studium a uplatnění / Re:Nápad na projekt v C#

« kdy: 26. 11. 2015, 12:17:48 »

Ty snad chodíš po fórech a radíš lidem na čem vydělat peníze???

Jasně. Třeba: udělej něco jako Facebook, ale lepší!

3670

Studium a uplatnění / Re:Nápad na projekt v C#

« kdy: 26. 11. 2015, 09:37:23 »

Já dobrý nápad mám, ale záleží co za něj zaplatíš ... .

Aje, tady se zas nekdo moc diva na americky filmy

3671

Studium a uplatnění / Re:Nápad na projekt v C#

« kdy: 24. 11. 2015, 22:14:12 »

Mirku diky za napad. Uz mne taky napadlo udelat nejakej IM

Pokud by ses do toho chtěl pustit, rád s tebou prodiskutuju, jak jsem to myslel, jaký to má smysl, případně i trochu jak to implementovat (myslím třeba ten protokol nebo tak něco) aby to celkově dávalo smysl.

Kontakt na mě m.prymek (zav) gmail.com nebo můžeš přes Plusko https://plus.google.com/u/0/+MiroslavPrymek/posts

3672

Studium a uplatnění / Re:Nápad na projekt v C#

« kdy: 24. 11. 2015, 18:14:11 »

Nazdar kluci,
uz nejakej cas se venuji programovani, hlavne po pracovni strance. Jsem C# vyvojar a delal jsem webove veci v asp.net mvc/webforms. ale mimo jine i nejakej ten desktop nebo mobilni aplikaci. Spis inklinuji k desktop vyvoji. Jiz delsi dobu bojuji s myslenkou, co programovat. chybi mi nejakej napad, neco, co by mne nakoplo. jde mi spis o to, abych ziskal nove zkusenosti, nepotrebuji na tom vydelavat. Mate nejakej napad, co by se dalo delat?

Ahoj, nebylo by pro tebe zajímavý tohle? http://forum.root.cz/index.php?topic=9352.0 Nic takového jsem nenašel a myslím, že by to mohlo mít praktické využití pro víc lidí, takže by to ani nebylo jenom psaní si něčeho do šuplíku. Bylo to míněno jako nástroj pro podporu uživatelů, detaily bych kdyžtak doplnil, kdyby tě to zajímalo. Akorát se od té doby změnilo to, že už to tak moc nepotřebuju, takže bych za to už nebyl ochotnej platit

Popřípadě pokud bys chtěl jednodušší zadání, hodila by se mi i aplikace, která by fungovala jako jednoduchý vzdálený notifikátor - umístila by se do lišty a dalo by se na ni nějakým rozumný způosbem (asi HTTP+JSON) posílat zprávy, které má zobrazit. Plus by ta ikonka mohla umět zobrazovat různé stavy graficky - např. by se nějak točila a zobrazovala by tím, že probíhá nějaká činnost.

3673

Desktop / Re:Zkušenosti s FreeBSD na PC/notebooku

« kdy: 19. 11. 2015, 13:11:37 »

Ještě by asi bylo fér doplnit, že menší podpora se netýká jenom ovladačů, ale i některého software. Některé specializovanější kousky prostě na FreeBSD podporované nejsou, nebo jim je věnovaná menší péče a jsou třeba míň stabilní.

Dva příklady: na FreeBSD nefunguje ani v Chromiu autentizace pomocí U2F (Yubikey) a nejspíš v dohledné době ani fungovat nebude, protože na bugreport vývojáři Chromia reagovali jenom "FreeBSD není podporovaná platforma". Druhý příklad jsou NVidia drivery: grafika funguje výborně, ale není podporované OpenCL ani Cuda. Takže na FreeBSD si moc GPGPU neužijete. PCI passthrough do linuxového virtuálu size rozchodit jde, ale NVidia ovladače v Linuxu se s tím nějak nepopraly

Prostě, FreeBSD je vůči Linuxu v trochu podobné pozici, jako byl kdysi Linux vůči Windows. Sice lepší, protože většina software je portovaná a funguje výborně, ale některé věci prostě nefungují a není síla ani vůle s tím něco dělat. S prorůstáním systemd do kdečeho se to možná bude (na desktopu) zhoršovat, pokud se neprosadí nějaký "fakesystemd" poskytující nějaké kompatibilní API.

3674

Desktop / Re:Zkušenosti s FreeBSD na PC/notebooku

« kdy: 19. 11. 2015, 11:48:47 »

Tak jsem se rozhodl že vyzkouším nejdříve něco více jednodušího (GhostBSD) a potom případně nainstaluji samotné FreeBSD.

Není potřeba. Na FreeBSD není nic složitého. Je jenom potřeba pochopit pár základních konceptů (base vs. porty, práce s porty a balíčky, neexistence automatického updatu) a zbytek je stejně "složitý" jako Arch, spíš míň, protože /etc/rc.conf je prostě čistota a elegance sama

Pokud si nainstaluješ něco, kde budeš mít celý desktop rozchozený, tak se o OS nic nenaučíš.

3675

Odkladiště / Re:Opensource e-government?

« kdy: 19. 11. 2015, 00:18:00 »

Jednorázově a dost diskutabilně v takové výši, jako za ty licence. Určitě to není zadarmo, ale z dlouhodobého hlediska to imho je levnější.

Muze a nemusi. Naklady vynalozeny na migraci se taky nikdy nemusi vratit. I takove pripady byly.