Příspěvky

6601

Distribuce / Re:Debian kFreeBSD

« kdy: 17. 05. 2013, 16:19:16 »

jo, to máš asi pravdu, já jsem jen takovej rejpal, co si všechno musí zkusit. Navíc jsem narazil na první problém - BSD nemá iptables (thx, Captain Obvious!)

Ne, to fakt nemá. Ale pf je minimálně stejně dobré. Pro některé věci lepší.

6602

Distribuce / Re:Debian kFreeBSD

« kdy: 17. 05. 2013, 14:57:02 »

jenom tak čistě ze zvědavosti na zkoušku  

Tam ale nemáš moc co zkoušet. Prostě to poběží, půjdou na tom pustit stejné aplikace, bude to zhruba stejně rychlé a to je tak asi všechno

Pokud chceš ukojit zvědavost, zkus raději normální FreeBSD, to je podstatně zajímavější zkušenost.

6603

Odkladiště / Re:Bitcoin, těžba digitální měny. Nechápu.

« kdy: 17. 05. 2013, 14:53:52 »

Správné rozhodnutí.

...akorát teda RMS bych se vyhnul širokým obloukem a hledal v USA. Ale to už je každého věc.

6604

Odkladiště / Re:Bitcoin, těžba digitální měny. Nechápu.

« kdy: 17. 05. 2013, 14:52:31 »

Zůstanu u akcií a akcioveho účtu. 

Správné rozhodnutí.

Jako uchovavatel hodnoty i pro spekulaci se bitcoin jevi poměrne zajímavě.

Jako uchovatel hodnoty těžko může sloužit něco, co samo o sobě žádnou užitnou hodnotu nemá. Je to naprosto čistá spekulace a hodnota je dána _jenom_ spekulativní poptávkou*. Navíc já osobně bych teda nehovořil o uchování hodnoty u něčeho, co fluktuuje tak, že během týdne cena spadne o 75%...

Další věc je, že bitcoiny stejně jako zlato, nic neprodukují (narozdíl od akcií).

“(Gold) gets dug out of the ground in Africa, or someplace. Then we melt it down, dig another hole, bury it again and pay people to stand around guarding it. It has no utility. Anyone watching from Mars would be scratching their head.” (Warren Buffett)

Ale jak říká jeden český ekonom: "Každý má právo být chudý. Nemůžeme nikomu bránit v investici do čehokoli."

* http://themonetaryfuture.blogspot.cz/2011/06/why-are-libertarians-against-bitcoin.html

6605

Distribuce / Re:Debian kFreeBSD

« kdy: 17. 05. 2013, 14:38:03 »

Nechápu - čím by to mělo být lepší než Debian s Linux userlandem i jádrem?

No proto, co jsem psal: FreeBSD je krásný čistý systém, který se krásně nastavuje a přizpůsobuje. Např. chci mít vlastní repozitář software s vlastními patchi, ale zároveň ho mít synchronizovaný s originálem? Není problém: naklonuju si git repozitář portů, vložím vlastní patche (stačí vytvořit patche v patřičném adresáři a s patřičným názvem, nic víc není potřeba upravovat, automaticky se použijí) nebo nějaké Makefily upravím a když budu chtít, udělám jenom rebase.

Nikomu nenutím, že FreeBSD je "lepší". Ať si každý používá co chce. Mně FreeBSD vyhovuje hodně, mám ho rád a bylo by super, kdybych ěl stejný OS jenom s linuxovým jádrem (pro to použití, kde je Linux potřeba). Nejvíc se tomu blíží asi Slack, ale tam je jednak taky pár dost opruzoidních nedotažeností...

Mirek: díky, to je přesně to, co jsem chtěl slyšet. Jistěže vím, že tak zkouším pouze jádro BSD, ale o to mi právě jde, umím nastavit linuxovej debian a pracovat sním, takže tím, že chci jen zkusit jiný jádro se nemusím učit všechny kraviny okolo jako je instalace balíčku nebo restart služby - to už dávno znám.

Tak to je asi kFreeBSD pro tebe fajn. Akorát teda nevím, co od toho očekáváš - Linux je dobré jádro. (narozdíl od Linuxových distribucí, které mě osobně dost štvou)

6606

Distribuce / Re:Debian kFreeBSD

« kdy: 17. 05. 2013, 10:57:21 »

P.S. daleko větší smysl by mi dávala opačná věc: FreeBSD userland + porty + Linuxové jádro (kvůli podpoře hw, virtualizaci apod.)

6607

Distribuce / Re:Debian kFreeBSD

« kdy: 17. 05. 2013, 10:56:06 »

Nainstalováním Debian/kFreeBSD nezkoušíš FreeBSD. Zkoušíš jenom _jádro_. Pokud to neděláš z důvodu testování výkonu a stability v laboratorním prostředí, tak to imho vůbec nemá cenu. Moc nevím, co by se tím dalo získat. Existují zkazky, že jádro FreeBSD se líp chová pod velkou zátěží (scheduler? kernelové zámky? irq handling?), ale jestli je to ještě dneska pravda, to nevím a ani mě to moc nezajímá.

Taky by to mohl chtít člověk nasadit kvůli nativnímu (dnes už celkem) slušně odladěnému ZFS, ale nevím, co by tím získal, když je to stejně systém bez pořádné podpory a uživatelské základny. Na vážné použití by stejně patřilo origo FreeBSD nebo nějaký klon Solarisu. Totéž bude platit pro pokročilé síťování (carp, pf, pfsync apod.)

Pro mě osobně je FreeBSD nejvíc sexy tím, že je to systém čistý, přehledný, báječně upravitelný bez nenadálých překvapení*, s vynikající dokumentací, hodně pokročilými uživateli a rozumnou dávkou konzervativnosti (změny jsou obvykle dělány tak, aby staré osvědčené postupy, formáty dat apod. pokud možno dál fungovaly). Prostě kromě pár cool featur, které jinde nejsou (nebo ne tak odladěné a podporované) se výhody FreeBSD projeví hlavně při dlouhodobém používání na serveru. Čili nic, co bych si nainstalováním Debian/kFreeBSD mohl vyzkoušel...


* https://plus.google.com/u/0/109540561880466469418/posts/fvnxLHwYg94

6608

Sítě / Re:Blokování IP adres a bezpečnost

« kdy: 17. 05. 2013, 09:56:31 »

A ještě jeden citát:

If properly implemented, RFC 2827 can reduce certain types of IP spoofing attacks against your network and can also prevent IP spoofing attacks (beyond the local range) from being launched against others from your site. If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers.

http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=3 - General Design Considerations for Secure Networks

Lidi z Cisca v tom asi taky mají "zcela zásadní hokej"

6609

Sítě / Re:Blokování IP adres a bezpečnost

« kdy: 17. 05. 2013, 09:34:56 »

Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.

Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.

Jestli je běžný, že ISPs kašlou na best practices a nedělají nic, co nutně nemusí, tak to je pak zbytečná  debata, to máš pravdu.

viz
http://tools.ietf.org/html/rfc2827#page-5
http://tools.ietf.org/html/rfc3013 - 4.3 a 4.4
- oboje popisuje to, co jsem říkal, jako doporučený postup

Filtrujte přístupy na hranici sítě
Protože k provedení těchto útoků je nutná schopnost produkovat falešné IP adresy, měli by administrátoři takové falešné
adresy filtrovat na hranici sítě. Dokumenty IETF Request for Comments (RFC) RFC 2827, RFC 3704 a RFC 3013 popisují
současné nejlepší praktiky implementace této ochrany. Před rozhodnutím o tom, které změny uplatníte, je důležité znát
konfiguraci vaší sítě a požadavky na jednotlivé služby.

http://www.nic.cz/page/464/bezpecnostni-chyba-v-dns,-upgrade-doporucen/

6610

Server / Re:Použití ssh -A a odpojení

« kdy: 16. 05. 2013, 22:29:10 »

To prostě nevyřešíš, když má někdo na tom vzdáleném stroji roota, tak se prostě nijak skrýt nemůžeš.

Pokud je kompromitovaný stroj, na kterém klíče používám*, tak nepomůže žádné řešení.

* tj. je tam nějaký socket na který pošlu "podepiš mi tohle" a on mi to pošle zpátky podepsaný

6611

Server / Re:Použití ssh -A a odpojení

« kdy: 16. 05. 2013, 17:27:09 »

To je pravda, na druhou stranu sám tazatel popsal počet vydávaných certifikátů jako „spoustu“.

Spoustu _spojení_.

6612

Server / Re:VPS: doporučte poskytovatele

« kdy: 15. 05. 2013, 21:27:28 »

Můžu po několikaleté zkušenosti doporučit www.coolhousing.net.

Amazon bych na hostování jednoho serveru spíš nedoporučoval, ten začíná být zajímavý jakmile má člověk nějakou infrastrukturu s více stroji, chce je ad hoc přidávat, ubírat, nahazovat nové stroje ze snapshotů atd. atd. Pro jeden stroj mi nepřijde Amazon ničím zajímavý. To jejich webové rozhranní mi přijde děsné, neexistence console je pro provozování jednoho serveru velká pruda apod. Jo a ten rok zdarma je sice super, ale vztahuje se jenom na t1.micro, což je dost slabota.

6613

Server / Re:Použití ssh -A a odpojení

« kdy: 15. 05. 2013, 17:46:27 »

Pokud -c nepoužiješ, je to jedno.

Ani tak to neni uplne jedno - muze klic pouzit, ale nemuze ho ukrast. To muze (a nemusi) byt velky rozdil.

U security tokenu taky neni zas tak tezke klic pouzit (stejne tezke jako pouzit klic v souboru), ale je nemozne ho ukrast.

6614

Sítě / Re:Blokování IP adres a bezpečnost

« kdy: 15. 05. 2013, 13:02:27 »

kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!

Kdyz je tam NAT, tak by to bylo celkem zbytecny

6615

Sítě / Re:Blokování IP adres a bezpečnost

« kdy: 15. 05. 2013, 12:51:39 »

Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu. Chtel bych videt, jak by ho ty dve tri pravidla navic staly tak straslive penize a mely takovy dopad na spolehlivost...