Příspěvky

226

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 02. 02. 2023, 23:09:35 »

Wifi pres TV coax prestante resit, je to nesmysl.

Proč?

On pravdepodobne ani nema na obou stranach coaxu trvale bezici stroje s PCIe či USB.

No tak si pořídí wifi routříky. Při tvém řešení bude mít velikostí a spotřebou stejně velké trvale běžící krabičky (a pokud náhodou na jednom konci takovou věc má, tak stejně bude muset mít tu extra krabičku).

Proč to řešit takhle debilně, když existuje standardizovaná technologie s názvem Ethernet Over Coax (EoC) ??

Chápu, občas si nepřečteme pozorně celé vlákno kam reagujeme, takže rekapitulace: možnost použití HW který už možná má, univerzální interoperabilní standardy a následná vyměnitelnost (v případě závady), upgradovatelnost a méně nečekaných bugů a možnost problémy řešit standardními nástroji, velmi pravděpodobně nižší cena, možnost použití stejného HW i pro jiné účely.

227

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 02. 02. 2023, 12:05:45 »

Bál bych se ale toho, co udělá galvanické spojení zemí obou stran - dovedu si představit, že budou-li od sebe počítače vzdálenější, po stínění kabelu poteče nezanedbatelný vyrovnávací proud. Radši bych na druhý konec koaxu dal anténu..

Síříte FUD, nedělejte to. Radši napište že tomu nerozumíte.

1. Coax v tomto pripade primo do pocitace nezapojite. Proste proto ze pocitace nemivaji interface na coax.
2. Prevodnik ma na coax vystupu galvanicke oddeleni (stejne jako snad jakekoliv jine metalicke vedeni)
3. Pocitac ma na ethernetu galvanicke oddeleni v podobe trafa.

galvanicky spojeno tu nic byt nemuze

On ale mluví o wifi kartě, a tam je závit SMAčka typicky připojený na zem zařízení. Pokud je to plastový routřík napájený dvojitě izolovaným zdrojem, tak asi OK, pokud je to "PCčko" v kovové kastli (a PCIe/USB wifi karta) tak to bude spojené se skutečnou zemí.

228

Windows a jiné systémy / Re:Mix OS jak na správu ?

« kdy: 31. 01. 2023, 23:06:31 »

Pokud vlastnici firmy nejsou miliardari kteri chteji byt milionari tak obvykle nastane faze sjednocovani technologii a na to, ze franta chce svuj alma linux sete pes a dostane klasicke korporatni reseni (at je jakekoliv).

Jo, to jsem viděl u zákazníka, všichni tam měli korporátní Windows, a vývojář si třeba nosil soukromý notebook se soukromým mobilním internetem a na něm dělal skutečnou práci. A linuxové systémy ve vlastnictví korporátu adminovali přes PuTTy. Nechápu že je to bavilo, já bych se na takovou věc vykašlal.

229

Windows a jiné systémy / Re:Centrální správa mixu operačních systémů

« kdy: 31. 01. 2023, 22:59:35 »

Přiřazení skupin na file sharech...
a kolik těch sharů bude? Na kolika fileserverech? Jaký OS na těch file serverech?
Jestli to nakonec neřeší /etc/passwd + /etc/group + /etc/samba/smb.conf .

Já bych doporučil použít ACL, protože skupiny jsou přes ruku když chceš prostě říct "Franta může sem, sem a sem". setfacl -Rm default:user:franta:rwx /srv/samba/foo

Nemůže mít tazatel uživatele lokální (sdílí se v dnešní době nějak masověji počítače?), Sambu jak jsi právě napsal a VPN záleží na řešení, ale typicky to umí nějakou externí autentizaci, případně OpenVPN má certifikáty atd.

SSH má taky certifikáty, případně jsou moduly do PAMu, případně se dá nastavit arbitrary skript na ověření klíče, ale já bych klidně distribuoval authorized_keys rsyncem

230

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 31. 01. 2023, 20:25:26 »

Nemam s tim zkusenost, zni to zajimave, ale kdyz se podivam ciste prakticky na cenu dvou wifi zarizeni tak mi prijde levnejsi a ve finale lepsi natahnout ethernet.

Kdyby jsi vzal vrtačku a udělal jeden průraz stropu tak tam už dávno máš natáhnutý ethernetový kabel.
Ale ty radši budeš vymýšlet blbosti.

Samozřejmě, ale to snad ví i tazatel. Já jsem třeba v nájmu, bohužel v budově co si hraje na „normální bytovku“ (radši bych byl v nějakém průmyslovém prostoru kde tohle nikdo neřeší, ale ona nabídka nemovitostí taky není neomezená, a taky kolik nemovitosti stojí) a nemůžu si jen tak vrtat. IMHO je to tak 2x 1000Kč, ne? Nebo kolik dneska stojí nějaký 5GHz TP-Link s OpenWRT a konektorem na externí anténu?

ale spíš příliš velkého výkonu do přijímače, protože útlum toho 15m kabelu bude dost malý

IMHO individuální součástky musí přežít několik dBm; kaskáda zesilovačů ne pokud je špatně udělaná a první stupeň při saturaci odpálí druhý (jak to vím není důležité ) ale zase ta wifi i vysílá a ten RX/TX přepínač nebude mít nekonečnou izolaci, takže to na tohle musí být stavěné… Ale samozřejmě ideální by bylo změřit (ale na to má málokdo vybavení) a podle toho naladit, nebo zkusmo koupit několik atenuátorů a změřit. Atenuátory stojí 70 Kč na Ali a přesně tyhle používáme při vývoji a testování na 5 GHz a normálně fungujou (pouze do produkčních výrobků pak dáváme značkové varianty, třeba tohle).

Jinak powerline bych nedoporučil i kvůli ohleduplnosti k okolí, protože to z těch elektrických kabelů vyzařuje a vysílá rušení.

231

Hardware / Re:Externy sifrovany disk

« kdy: 31. 01. 2023, 14:03:36 »

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici)

HID se používá (zneužívá?) pro přenos obecných dat, nedávno jsem třeba reverzoval kity od Texas Instruments které takto nastavují registry SPI zařízení. Původní, možná i současný Trezor je taky HID.

232

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 31. 01. 2023, 13:58:37 »

Odkazujete standard ktery kazdy vyrobce nejak implementuje. Nekdo nabizi teoretickou ruchlost 1500Mbps, nekdo 80Mbps. Mit v domacnosti prevodnik je jeden dalsi zdroj problemu, cim min zarizeni tim min problemu. Ma prakticka zkusenost byla takova, ze to sice chodilo ale prevodniky stali za kulovy. Nekdy zamrzli, nekdy rychlost bezduvodne klesala az na par bajtu, nekdy se to tvarilo tak ze protikus vubec neexistuje. Po 4 mesicech trapeni jsem to vzdal a natahnul ethernet ktery jsem nejprve mel na gigabitu, pozdejc jsem ho zmigroval na 10Gbit. Tolik ke standardnimu reseni.

Proto jsem mu radil wifi po kabelu. Díky tomu, že to není obskurní hardware, ale má to každej, funguje interoperabilita, a až se mu jedna stanice rozbije/nebude fungovat, vezme libovolný jiný wifi „router“ (navíc opravdu libovolný, protože funguje fallback na všechny standardy, takže si dohodnou normu/rychlost (802.11g, n, a, ac…)) a vyřešeno… Má někdo nápad proč by to nemělo jet?

233

Studium a uplatnění / Re:Přiměřeně lehká IT VŠ

« kdy: 31. 01. 2023, 10:36:18 »

Nejtezsi na VS byly vyhazovaci predmety a statnice.

No nevím, na MFF jsou státnice jen takové kamarádské povídání.

A hned následující větu

Jiná zkušenost? Já měl Majerecha a byla to pohodička.

Asi si nerozumíme v tom na co jsem reagoval (ale ty citace jsem doufám použil správně) - já tvrdím, že 1) státnice jsou v pohodě, 2) anglické verze předmětů jsou úplně stejné jako české.

234

Studium a uplatnění / Re:Přiměřeně lehká IT VŠ

« kdy: 31. 01. 2023, 01:14:05 »

Nejtezsi na VS byly vyhazovaci predmety a statnice.

No nevím, na MFF jsou státnice jen takové kamarádské povídání.

A hned následující větu

Vyhazovaci predmety jde [...] zapsat v anglictine pro erasmaky, kvuli kterym je latka pruchodu nize.

bych taky rozporoval, na MFF jsou anglické verze předmětů úplně stejné co do náplně a požadavků jako české.

235

Sítě / Re:LAN over Coax

« kdy: 30. 01. 2023, 18:29:21 »

Já si myslím že by mělo fungovat wifi po tom kabelu - předpokládám že tvoje výhrada k wifi je wifi vzduchem (v opačném případě vysvětli). Normálně bych vzal APčko a klienta, koupil redukci z (RP-)SMA na konektor co je na tom koaxu (asi F nebo IEC) a zapojil. Pokud se bojíš že impedanční nepřizpůsobení poškodí tu wifi (čekal bych že dneska už snad budou odolné, ale kdo ví), tak dej vždycky před koax 3dB atenuátor.

Čekal bych že bude fungovat i pětigigo, 2.4GHz pojede určitě. Přijde mi to jako naprosto nejlevnější a perverzně elegantní řešení. Redukce na Ali za pár dolarů, atenuátor taky, takže záleží jen jestli máš nějaká stará APčka/wifi karty, a můžeš to postavit za pár stovek (nebo tisíc pokud musíš koupit i ten wifi HW).

236

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 22:06:52 »

Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.

Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 a 2).

Na linuxových distribucích je typicky uživatel třeba ve skupině dialout (sériák) defaultně, HID nejspíš taky, minimálně třeba dokumentace trezoru se o nutnosti sudo nezmiňuje, ale osobně jsem to nezkoušel.

Jestliže používáš Windows tak Bitlocker.

U BitLockeru pozor že měl u některých nastavení tendenci ukládat klíče nešifrovaně do TPM, a to i když to bylo separátní TPM na desce, které udělalo unsealing na základě securebootu a poslalo klíč nešifrovaně po sběrnici. A pak to taky má tendenci zálohovat klíče do MS cloudu. Obecně mi vadí věci u kterých není naprosto jasně a jednoduše vidět co který klíč dělá a jak je vytvořen. Pak vznikají průšvihy jako tohle nebo třeba nekonečný příběh pass-the-hash.

237

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 21:04:44 »

A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.

Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.

Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele.

LOL takže fakt. A vývojář ani ty nemáte admina nebo kdo to adminuje?

Očekávám dotazy, jak přesunout na externí disk trvale trčící z notebooku soubory správce balíčků daného jazyka (npm, pip, cargo…), a jak zařídit, aby žádné IDE nemělo indexované zdrojáky, dočasné soubory a cache kompilátoru v tempu na disku

56-bit AES hardware-based encryption

(pro ostatní, je to špatně zkopírované, na webu píšou 256bit )

238

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 17:50:42 »

A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

239

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 16:58:00 »

To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).

Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.

Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?

USB OTG znamená útok z toho připojeného počítače, který ale má přístup k rozšifrovanému disku z definice toho jak se to používá. Jo, může klíče ukrást a pak mít přístup k dalším datům i když si heslo změníte.

Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku).

Tak teoreticky může driverless řešení fungovat tak, že zpřístupní prázdný mass storage, a očekává vytvoření souboru heslo.txt, kterým to pak odemkne   (takhle se konfigurují některé kamery a, um, keyloggery). A i pokud to bude speciální software tak alespoň nebude požadovat admina jak si lidi stěžují v okolních příspěvcích, že zpřístupnění „disku“ vyžaduje (na Linuxu se dá bez admina asi spouštět FUSE).

Samozřejmě pokud má možnost použít Veracrypt (či podobné), tak to je naprosto nejlepší řešení, ale v diskuzi tu opakovaně píšou že ne.

Pak je samozřejmě taky otázka, jak teda vypadá ten use-case. Protože buď si řeší bezpečnost sám (nějaký soukromý/osobní počítač) - a pak má admina, nebo admina nemá a bezpečnost mu tedy řeší někdo jiný - pak je ale podezřelé, že mu tento jiný nedá i tohle řešení.

240

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 16:17:34 »

Jde, například si může koupit „Raspberry Pi“ (jiný malinký počítač s Linuxem a podporou USB OTG), vytvořit na něm LUKS svazek a nasdílet ho přes USB OTG jako mass storage.

Jakékoli takovéhle samo-domo řešení na tom bude co do bezpečnosti stejně špatně, jako ty nejhorší komerční věci s ovladačem jen pro Win a bez FIPS certifikace.

To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).

Princip těchto zařízení spočívá v tom, že to po několikerém zadání špatného PINu klíč smaže. Samozřejmě je také potřeba, aby to bylo odolné proti tomu, že to někdo fyzicky rozebere a ke klíči se dostane jinudy.

A nebo můžete mít heslo dostatečně silné aby ani po fyzické extrakci nešlo vybruteforcovat. Nebo nejlépe samozřejmě kombinaci obojího. Zabránit extrakci je fakt složité (samozřejmě jak píšete záleží jestli na to půjde jenom manželka), třeba lidi kolem Satoshi Labs (Bitcoin Trezor) to dost řeší a píšou o tom. A ti jsou IMHO důvěryhodnější (open-source, zkoumají to nezávislí odborníci) než proprietární kryptografie od nějakého výrobce flashek.

Proto tenhle typ zařízení považuju pořád za bezpečenější, než když PIN/heslo zadáváte do SW ovladače – data na úložišti pak vůbec nemusí být šifrovaná a dostanete se k nim jenom softwarově, když obejdete ovladač.

Jedna z populárních chyb, kterou myslím trpí některá zařízení co jsem odkazoval, je že se porovná pin na shodu, a pak se použije pro samotné šifrování nahardcodovaný klíč nijak nesouvisející s pinem.