Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
Edge - ak mas vo Windows features povolene HyperV, tak umoznuje otvorit nove okno vo virtualnom prostredi (kompletne oddelenom od systemu a vies si nastavit co mu povolis - schranka, upload, download suborov). Dalsia moznost je Windows Sandbox (tiez treba mat povolene HyperV), vtedy ti otvori cisty Windows ako kontainer.Diky, to vypadá dobře.
Zdravím,ta testovaná zařízení bych určitě dal do izolované VLAN jménem třeba LAB a přes firewall Mikrotiku otevřel jen přístup z admin PC
řeším vhodné rozdělení domácí sítě (tzn. mix soukromých pc, IoT a zcela nekontrolovatelných zařízení potomků, pracovních pc na HO a návštěv...), má obava spočívá v tom, že část zařízení by (teoreticky) mohla šířit nějaký síťový marast. Aktuálně využívám 1x Mikrotik, LAN je jednoduše rozsegmentovaná pomocí využití horizon parametru na společném bridge + povypínaném default forwading na WLANech.
Co řeším - v síti je i můj desktop (snažím se mít rozumně bezpečný mmj i proto, že z něj konfiguruju ostatní zařízení vč. toho Mikrotiku) a čas od času si hraju s různými Raspberry udělátky, zkouším distribuce na starším HW atp. - jde tedy o zařízení při svém prvním spuštění neaktualizovaná a teoreticky zranitelnější. Dává smysl mít za účelem lepší izolace těchto zařízení za Mikrotikem ještě jeden router (např. něco s OpenWRT) který by blbovzdorně vytvářel další oddělenou sít (fw + NAT) i v případě chyby/chybné konfigurace Mikrotiku? Nebo je to na doma overkill a budu akorát udržovat další krabičku?
Na testovaných zařízeních stejně obvykle hned zapínám sw fw s deny incoming... jenže co (možné) bugy ve starších verzích? Možná už nad tím moc přemejšlim
Co na to odborníci? Díky za názory a váš čas!
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu. Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.Věřím, že to může dělat jakýkoli web, ale mohl to tam OP aspoň napsat, že se scan hned rozjede, bych na to neklikal:-(
Dík moc, že sem bez varování dáte odkaz na web, který mi hned proleze celou lokální síť !!!!!!Ad NAT a bezpecnost:
Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi.
Otázka je, jakého útočníka modelujeme, ale může to být celkem odvážný předpoklad: xttps://samy.pl/webscan/beta.html
Ahoj, docela by mě zajímalo jestli se někomu stalo, že čelil skutečně reálnému útoku. Provozuju už několik let veřejně dva SSH servery (k čistě experimentálním účelům) na jiném portu než 22 a loguju si každý pokus o přihlášení včetně přihlašovacích údajů (k přihlášení se používá jen uživatelské jméno a heslo). Za celou dobu provozu tyto servery čelily statisícům neplatným pokusům o přihlášení. 100% těchto přihlášení se snažilo používat naprosto nesmyslné uživatelské údaje které byli sice reálné např: root root nebo ssh ssh, ale nikdy jsem neviděl že by se ten robot snažil vyloženě o uhádnutí hrubou silou. Současně bych řekl, že ten problém uhádnutí hesla je sice důležitej, ale ke každému jednomu heslu přeci existuje i uživatelské jméno, které to utočníkovi zase o něco stěžuje....nedokážu si představit, že by útočník, který o mém systému nic neví dokázal jakýmkoliv způsobem uhádnout byť jen username natož pak k němu přiřadit i příslušné heslo.Jj, jedna větší firma (můj známý) byla takto hacknuta přes default password oracle admina nebo tak něco. Heslo bylo tuším dba nebo sda tehdy. Zkoušeli to cíleně kvůli, řekněme, lukrativnímu digitálnímu sortimentu firmy, potichoučku pomaloučku asi půl roku, pak tam nasadili rootkit pro linux, ale ten jim “bůhví proč “ :-) na Aixu nefungoval. Už je to snad 10-15 let.
To že se někdo odvolává, neznamená že to není rozhodnuto správně, jen to chce jeho strana vyhrát, což je ve sporu pochopitelné a legitimní.Můžete se klidně odvolávat až do Štrasburku. Záleží jenom na vašich penězích, času a energii.
Ale musí svůj výklad , resp rozhodnutí taky obhájit před odvolacím soudem.
Primární problém je, že vůbec někam odvolávat musíte a není to rozhodnuto na první dobrou správně.
Ale musí svůj výklad , resp rozhodnutí taky obhájit před odvolacím soudem. Ten to může zamítnout, vrátit k novému projednání apod.Naopak se lze oprávněně domnívat, že soud bude zákon znát, takže podpis bez platného razítka uzná.V ČR není precedentní soudní systém. Je čistě na daném soudci, jak si daný daný zákon vyloží.
Už někdo narazil na to, že by dostal systémovou zprávu, že jeho zpráva byla z poštovního serveru odstraněna bez přečtení?Jo setkal, podrobnosti už nevím, myslím, je to jen dohad, že je to přirozená reakce serveru, když mu to to API nestandardně klofne (z fronty ?) pod rukama. Možná to tak bylo i tehdy.
Takto reportovaná příchozí zpráva měla nastavený příznak potvrzení přečtení. Osobně jsem se s tím doteď nesetkal a zdá se mi to trochu za hranou.
Mimo jiné inkriminovaná zpráva byla přesunuta z cílové schránky do jiného systému pomocí API rozhraní, tedy nikoliv pomocí poštovního klienta nebo webového rozhraní.Kód: [Vybrat]Not read: Test doručení
========================
Vaše zpráva
Komu: XXXX@YYYYY.cz
Předmět: Test doručení
Odesláno: čtvrtek 6. října 2022 13:35:46 (UTC+01:00) Belgrade, Bratislava, Budapest, Ljubljana, Prague
byla odstraněna bez přečtení dne čtvrtek 6. října 2022 13:36:16 (UTC+01:00) Belgrade, Bratislava, Budapest, Ljubljana, Prague
fikce doruceni (tve osobe) je pro tebe bonus???"to-je-jedno" má rád DS, ne fikci doručení.... lidí využívajících datové schránky a jsou tu i tací, co je adorují...To zalezi, nenutil bych to nikomu, zde duvody proc ja jsem rad, ze je mam:
- vecne nejsem doma, nebo naopak home office kdy tyden nevytahnu paty, casto parkuju "zezadu" takze schranku vidim tak jednou za mesic -> fikce doruceni
- meli jsme i sousedku co vybirala schranky -> fikce doruceni
- podani DaP FO, OSSZ, ZP atd -> nemusel jsem resit slozitosti s elektronickym podpisem z posty kdyz tam nehodlam chodit osobne
- lehce jsem se tim prihlasil na Portal obcana -> bodíky ridice, STK pro auto atd.
Nevyhoda: kdyz jsem jednou za zivot dostal rozsudek, kterej potrebuju mit papirove tak jsem ho musel za penize vytisknout na urade (kdybych nemel datovku tak to dostanu postou).
No on to asi myslel tak , že jim to sousedka krade ze schránky.fikce doruceni (tve osobe) je pro tebe bonus???Fikce doručení ovšem platí i pro papírové doporučené dopisy od úřadů.- meli jsme i sousedku co vybirala schranky -> fikce doruceniNe, fikce doručení s žádným výběrem schránky nesouvisí. Fikce doručení u papírového dopisu znamená, že vám do schránky vhodí lísteček o tom, že máte na poště doporučený dopis, u kterého platí fikce doručení. Ten dopis zůstane na poště 10 dnů, kdy máte možnost si ho vyzvednout. Když si ho nevyzvednete, 10. dnem se považuje za doručený a pošťák vám ho pak normálně vhodí do schránky (případně ho pošta pošle zpět úřadu, pokud úřad vhození do schránky zakázal).
S tím shrnutím naprosto souhlasím.CitaceŘekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.
……..
Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.
Root.cz (www.root.cz), informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2023 Internet Info, s.r.o. Všechna práva vyhrazena. Powered by Linux.
