Příspěvky

346

Software / Re:Čím rozmazat SPZ ve videu?

« kdy: 25. 09. 2022, 15:12:33 »

Ale keby tak vyfasuje 100e pokutu ze ide po ceste a vedla je cyklo cesta to by bolo placu.

Co kdybychom dávali autům pokuty když jedou po cestě a vedle je dálnice?

Nevím jak na Slovensku, ale u nás je problém v tom, že ta cyklostezka je ve většině případů různými způsoby defektní a nepoužitelná (příklady: 1, 2, 3, 4). Slyšel jsem, že to je způsobeno tím, že na rekonstrukci např. chodníku nebo silnice je obtížné žádat o nějaké dotace z EU, ale pokud se spolu s tím staví „cyklostezka“ tak to najednou jde. A výsledkem jsou Potěmkinovy cyklostezky.

347

Software / Re:Čím rozmazat SPZ ve videu?

« kdy: 25. 09. 2022, 08:49:16 »

Kdenlive, nějaké náhodné demo: https://www.youtube.com/watch?v=ijTlM3L3L44

Myslím že kromě automatického sledování objektu (které třeba nemusí fungovat) jsem tam někde viděl i možnost že si označíš ve videu místa třeba na začátku, uprostřed a na konci a ono to pak rozmazávací filtr přesouvá po nějaké křivce mezi nimi.

348

Server / Re:SSH na OpenWrt přístupy botů

« kdy: 24. 09. 2022, 18:39:37 »

Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.

By mě zajímalo jak často se tohle tak v praxi děje, a navíc když by se mi tohle stalo tak použiju ProxyJump přes nějaký jiný stroj, a že se zabanujou všechny, to se nestane. (pozn. fail2ban nepoužívám, resp. párkrát jsem to zkoušel na SMTP, ale pak mi přišlo že to není potřeba; pokud mi někde vadí pokusy o přihlášení na SSH (je tam pomalá linka nebo pomalý HW), tak používám nestandardní port a ještě s tím problém nebyl)

349

Server / Re:OpenVPN - Expirace certifikátu

« kdy: 24. 09. 2022, 01:21:44 »

Vyzkoušel jsem to, funguje to!

Díky tomuto dotazu jsem zkontroloval openvpn server, který jsem nedávno instaloval, a zjistil jsem, že mám stejný problém jako tazatel: certifikát serveru mi to vydalo jen od srpna 2022 do listopadu 2024.

Mimochodem tohle se nastavuje proměnnou prostředí, takže si dejte: export EASYRSA_CERT_EXPIRE=3650

Zadal jsem tedy:

Kód: [Vybrat]

/usr/share/easy-rsa/easyrsa build-server-full server2 nopass

Následně jsem v konfiguráku openvpn upravil cesty ke klíči a certifikátu aby mířily na nově vytvořený server2.key a server2.crt (místo původního server.key a server.crt), zhluboka se nadechl a restartoval to. A fakt to najelo, klienti se sami reconnectli a certifikát protistrany normálně ověřili a funguje to.

Btw. informace o certifikátu zjišťuji skriptem certinfo, do kterého certifikát napajpuju:

Kód: [Vybrat]

#!/bin/bash

c="`cat -`"
echo "$c" | openssl x509 -text -noout
echo "$c" | openssl x509 -text -noout | head -n 16
echo "$c" | openssl x509 -fingerprint -sha256 -noout | head -n 1

350

Server / Re:OpenVPN - Expirace certifikátu

« kdy: 24. 09. 2022, 00:20:55 »

Napadlo mě, že klient má v konfiguraci jenom CA certifikát + že protistrana má být server (ns-cert-type server). Takže nemělo by stačit prostě vygenerovat nový serverový certifikát (/usr/share/easy-rsa/easyrsa build-server-full server nopass, resp. u starého easy-rsa ./build-key-server) a nahradit ho?

Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..

Pokud mu skutečně vypršel jen server a ne CA tak by mohl.

351

Server / Re:OpenVPN - Expirace certifikátu

« kdy: 23. 09. 2022, 22:37:29 »

Ty certifikáty mi přijdou jako hlavní bolest OpenVPN oproti Wireguardu, kde je prostě klíč a ten funguje a nazdar. Konkrétně mně se stalo, že se vybila baterka na základní desce, tím se resetovaly hodiny do roku 1980, a openvpn nenaběhlo protože certifikátu ještě nezačala platnost (NTP to nevím proč nesrovnalo, možná bylo špatně nastavené a odmítalo srovnat moc velký skok).

Petr.cze: Nevím, ale používá to normální openssl, tak zkus googlit podle toho.

352

Server / Re:SSH na OpenWrt přístupy botů

« kdy: 23. 09. 2022, 22:33:55 »

Pak mě vůbec nějaké pokusy o hádání nezajímají.

Zejména na pomalých strojích, kde se OpenWRT používá, to může brát značné množství výkonu (kryptografický handshake při navazování spojení atd.).

Ale je divné že se připojují i na nestandardní port -- je opravdu nestandardní a ne třeba 222? Ještě se dá použít port knocking…

353

Software / Re:Zip file password recovery

« kdy: 22. 09. 2022, 14:34:12 »

A nějaký tip na seriózní placený SW na Windows nemáte ? Nejlíp s vrácením peněz, kdyby to nedal.

A v čem jako čekáš že bude lepší než hashcat/John? Ani jsme se zatím nedozvěděli jaký způsob zaheslování ten zip používá, je jich několik. Jako třeba co znamená „narazil jsem na délku hashe“?

Wordlist na své vlastní heslo přece nebudeš používat nějaký obecný a ptát se na jeho doporučení, ale napíšeš si vlastní podle způsobů jaké to heslo asi mohlo být.

Pokud crackuješ cizí heslo, je to v pohodě, ale prostě to napiš, ať ti lidi můžou normálně poradit.

354

Sítě / Re:Lze sehnat pfSense router v ČR?

« kdy: 17. 09. 2022, 21:16:17 »

Sorry! Zapomel jsem zminit aby to melo wifi kartu s WPA3, nebo slot na NIC co se dat vlozit!

OMG tady se to ani neuvadi treba: https://www.neven.cz/kategorie/pocitace-a-kancelar/prumyslove-a-mini-pocitace/dot-1-mini-pc-s-arm-procesorem-snapdragon-7c/

Já nevím jak to funguje, ale myslel jsem si, že WPA3 je čistě softwarová záležitost?

https://www.discomp.cz/pc-engines-apu-4d4-system-board-4gb-ram_d92946.html

Kde na tenhle rozmer desky sezene presne box?

https://www.i4wifi.cz/cs/239601-pc-engines-case1d4blku

proc by nesel pouzit starsi notebook?

Protože notebooky mívají jenom jednu síťovku, takže buď potřebuješ switch s VLANama, nebo USB dongle, nebo PCIe dongle, a to je prostě bolest.

355

Vývoj / Re:Jaký jazyk na malé portabilní programy

« kdy: 15. 09. 2022, 21:40:47 »

mikrom: nainstalovat python znamemu, kteremu jsem udelal klikatko a poslal mailem je nekdy scifi

Pro Python existují bazmeky co z toho udělají jeden .exe. py2exe, pyInstaller, cx_Freeze. Ale osobně jsem to nikdy nezkoušel, dělám programy na Linux pro systémový python.

356

Hardware / Re:Zabezpeční dat na serveru pro případ hacknutí

« kdy: 14. 09. 2022, 23:17:15 »

Ano, můžou. To ale neznamená, že je dobrý nápad to dělat.

Proč není dobrý nápad to dělat? Přijde mi, že to přináší minimum starostí navíc, a občas to pomůže (byť ne úplně často).

357

Hardware / Re:Zabezpeční dat na serveru pro případ hacknutí

« kdy: 14. 09. 2022, 21:08:49 »

Jedna možnost je, že uživatel to samé heslo nikde jinde nepoužívá - takže heslo lze zneužít jenom v té mé službě. To ale jako provozovatel můžu i bez hesla.

Můžou nastat situace kdy to pomůže - může vám uniknout stará nekompletní záloha (a útočník si z ní přečte hesla a přihlásí se), útočník může získat nějakou chybou readonly přístup a takhle si hned přečte heslo a přihlásí se, může uniknout image vaší VPS od poskytovatele - a pak neplatí, že si útočník do vaší aplikace mohl přidat kód, který heslo tajně uloží ještě než se zahashuje, a měsíc počkat až posbírá dostatek účtů.

Všichni se soustředí jenom na ten poslední bod, neřeší všechny ostatní.

Já bych ty ostatní rád řešil, ale co mám asi jako dělat? Vyrobit 30 atomových bomb a potom je odpalovat ve velkých městech dokud Mozilla a Google neimplementují kryptograficky správný způsob přihlašování a průmysl na ně nepřejde? Píšete opakovaně "s čímž uživatel nic dělat nemůže", ale copak jako provozovatel Rootu nebo nějakého malého eshopu s tím něco dělat můžu?

358

Hardware / Re:Zabezpeční dat na serveru pro případ hacknutí

« kdy: 14. 09. 2022, 14:24:26 »

Na zabezpečení "z venka dovnitř" potřebuješ mít hlavně pořádný firewall, tím nemyslím že musí být drahý, ale který monitoruješ, který je konfigurovatelný a který hlavně umíš nastavit, toto je to nejdůležitější.

Tím myslíš jako WAF co bude heuristicky chytat pokusy o hacknutí té webové aplikace nebo jak?

359

Server / Re:Port forward na Wireguard klienta

« kdy: 14. 09. 2022, 14:10:39 »

Viete ma prosím nasmerovať, kde robím chybu alebo ako diagnostikovať na čom to stojí?

Potřebuješ si spustit "tcpdump -ni wg0 port 80" na VPS a na WG klientovi (pro Windows je Wireshark) a koukat jak pakety tečou. Podle mě zjistíš, že VPS spojení DNATuje, ale nemaškaráduje, tj. na WG klienta přijde paket se src adresou nikoli VPS ve WG tunelu, ale venkovního klienta co se snaží na tu službu dostat. A WG klient se pokusí odpovědět přímo na tuto adresu, ale protože paket bude mít jinou zdrojovou adresu než VPS kam klient leze, tak se nepřiřadí k navazovanému TCP spojení a zahodí se.

A řešení je maškarádovat: iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

Jak píše komentář nade mnou je ještě potřeba mít povolený forward, ale ten je defaultně povolený myslím; případně sem pošli výstup iptables-save

Předpokládám že takové věci jako "WG klient z VPS pingá" sis už ověřil

360

Hardware / Re:Jednoduchý hloupý upozorňovač na otevřené dveře se zpožděním

« kdy: 09. 09. 2022, 19:31:26 »

"Programové" řešení má výhodu v tom, že až někdo přijde s požadavkem, že to má kvílet jen 20 sekund a pak to má jednou za minutu pípnout, tak dopíšeš do programu tři řádky.