Příspěvky

181

Server / Re:NFS klienti hlásí: Lock reclaim failed a špatný výkon

« kdy: 25. 11. 2021, 16:49:28 »

No fujtajbl, takovyhle pripad bych vazne nechtel v siti resit.

182

Server / Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 23. 11. 2021, 11:28:19 »

Veškerý odchozí provoz, zdrojovaný z IP iDRACu, je zakázán, povolen jsou pouze směry SMTP server (notifikace) a interní mirror updatů pro daný typ/model serveru. NTP, DNS a další podobné služby jsou pro management interface zbytné, a jsou tedy jednak zakázány, a druhak blokovány.
Dále autentizace k iDRAC umožňuje používat adresářové nebo LDAP služby, takže můžete mít přístup do iDRAC svázaný s vaším AD/LDAP atd.

S timhle nesouhlasim. NTP/DNS atd. jsou zbytne pouze v pripade, ze nekoho nezajimaji spravne casove znacky v logu iDracu, nebo pokud si clovek vse nastavi IP adresama. A IP adresy jsou zvlast v rozsahlejsich sitich u vetsiny HA sluzeb omezujici, takze bez DNS se clovek stejne neobejde.

183

Server / Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 22. 11. 2021, 15:54:53 »

Aha!
No tak z toho ale vyplývá, že obecný BMC lze plně ovládnout z OS serveru. Tedy jakmile je serverový OS napadnutelný - tedy vystavený na nějaké bezp. perimetru, tak to znamená, že rozhraní jeho BMC by měl být na stejném perimetru, protože je potenciálně též v rukou útočníka. Jako tohle jsem si dříve moc nepřipouštěl a koukal jsem na bezpečáky jako na paranoiky. Ale oni mají asi pravdu...  :-)
Je nutné tedy řešit maximální omezení konektivity BMC rozhraní. Tedy povolit připojení na něj, ale nedovolit spojení z něj...
Díky

Nelze zcela zakazat spojeni z BMC rozhrani. Kde vezmete pak ntp, dns, aaaa, monitoring, update atd.?

Umisteni BMC do stejneho bezpecnostniho perimetru (napr. vlan) jako OS toho HW povazuji taky za blbost. To, ze napr. ma uzivatel pristup k OS HW (napr. nainstalovany hypervizor) jeste neznamena, ze ma mit pristup i k BMC.

184

Server / Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 22. 11. 2021, 15:48:41 »

Nemame iDRAC, ale treba u starsiho Supermicro serveru si clovek mohl upravit firmware BMC a z OS ho v klidu naflashovat. Je tam tusim nejaky malinky linux.

Tohle slo i u HP ILO z OS na zeleze minimalne do G7, pak jsem to jiz nemel potrebu pouzit, tak nevim.

185

Server / Re:Lokální DNS pro místní weby

« kdy: 10. 11. 2021, 17:22:58 »

split-dns
nebo pouzit rekurzory, co funguji s override

186

Sítě / Re:Docker/k?s a vlan

« kdy: 02. 11. 2021, 14:26:28 »

A jeste toto - pokud mam 1 vlan treba s haproxy VM (public network), druhou vlan s web VM (internal network), mezi temito vlan je firewall, takze na jedne VM neni primy propoj mezi public/internal network, jak tohle reseni se pak realizuje v kontejnerizaci, pokud se chce vyuzit automaticke detekce pripojenych web kontejneru do haproxy/traefik atd?

187

Sítě / Docker/k?s a vlan

« kdy: 02. 11. 2021, 13:34:45 »

Ahoj,

studuji nejake veci ohledne kontejnerizace a jednu vec mam velmi nejasnou. A to je nastaveni kontejneru ohledne vlan. Pro priklad uvadim standardni konfiguraci pro VM:
- proxmox ma bridge (treba vmbr1) nastaveny pres openvswitch
- VM dostane prirazenou virtualni sitovku na vmbr1 bridge + vlanid
- VM dostane pripadne dalsi virtualni sitovky na vmbr1 + vlanid
- sitovek muze byt 1~x

Tak a ted jak by to fungovalo v zakladnim dockeru? Pokud je docker ve VM, tak jak se resi kontejnerove site? Docker VM per vlanid nedava smysl. Hadam, ze to bude neco ve stylu udelat 1 macvlan per vlanid a danou macvlan namapovat na virtualni sitovku VM?

188

Hardware / Re:NTB nový nebo refurbished?

« kdy: 26. 10. 2021, 16:30:05 »

Jedna dulezita vec nebyla zminena.

Jake jsou pozadavky na kvalitu displeje? Tam jsou repasy casto "stare".

189

Odkladiště / Re:Kvalitní elektrokoloběžka

« kdy: 25. 10. 2021, 15:01:17 »

Pokud záleží víc na kvalitě a pohodlí než na ceně, určitě stojí za pozornost Kostka: https://www.kostkakolobezky.cz/125-elektricke

Díky moc, vypadá skvěle. Obávám se ale 250W motoru, při mých 190cm/120kg se bojím, že to vzdá při prvním kopečku, které jsou všude okolo. 

Nad 250W to spada do jine skupiny s jinymi pozadavky dle zakona.

190

Server / Re:Automatické promazávání mailů v koši

« kdy: 25. 10. 2021, 10:54:08 »

Automaticke promazavani vsem uzivatelum vyzaduje souhlas/informovani uzivatelu/nadrizenych. To predpokladam mate vyresene.

191

Server / Re:sshd(OpenSSH) -> ssh + sftp pre /home/test

« kdy: 18. 10. 2021, 09:41:53 »

Co je cilem? Protoze to zadani zni jako kravina.

192

Server / Re:Šifrování se vzdáleným přístupem

« kdy: 13. 10. 2021, 14:00:16 »

Out of Band Management - ilo, idrac etc.

193

Server / Re:Jak co nejjednodušeji udělat záložní MX server?

« kdy: 12. 10. 2021, 13:19:48 »

Dejte pred MX nejakou postovni proxy.

194

Software / Re:RDP klient pro Linux

« kdy: 21. 09. 2021, 09:27:11 »

Ja teda v CAL kovany nejsem, tak me to zajima jen teoreticky.

Nema ten administrator uz zapocitany CAL tak jako tak (jak jinak by to mohl spravovat vubec?)
Ony jsou CAL specialne pro RDP?

195

Server / Re:Spouštění úloh na pozadí - zálohy a workflow

« kdy: 16. 09. 2021, 14:57:39 »

Proc by mel mit db server pristup na zalohovaci server, kdyz veskere akce provede zalohovaci server? Pull metoda.

Jak je to s bezpečností, když se zálohovací server dostane na všechny zálohované servery?

Rozhodne lepe, nez kdyz se vsechny zalohovane servery dostanou na zalohovaci server.