Příspěvky

31

Studium a uplatnění / Re:Vysoká škola polytechnická Jihlava domienka

« kdy: 02. 02. 2023, 14:01:53 »

Tam zbývá ta odvěká otázka, v čem se liší ta naše neuronová síť v mozku od umělé a proč jedna kreativní být může a ta druhá ne (a jak se vlastně kreativita měří)...

Ta umela nema vlastnu volu, alebo aspom je to neziaduce. Chova sa v dopredu vymedzenych mantineloch.

Ludska neuronova siet tie mantinely moze preskocit a spravnost riesenia vyargumentovat.

32

Windows a jiné systémy / Re:Mix OS jak na správu ?

« kdy: 30. 01. 2023, 11:41:48 »

AD vie NIS, (2008 potrebovali doinstalovat unix extensions, aktualne neviem na AD som nastastie uz davno nesiahol).

Alebo pouzit freeipa a vytvorit s AD forest.

K sprave (toho co nevie freeipa) pouzit puppet alebo ansible.

33

Sítě / Re:Nftables - konektivita z localhostu

« kdy: 16. 12. 2022, 10:28:12 »

Po aplikování následujících pravidel v Nftables jsem bez konektivity z localhostu

Kód: [Vybrat]

add table ip Restrictive

add chain ip Restrictive Incoming  { type filter hook input priority 0; policy drop; }
add chain ip Restrictive Redirect  { type filter hook forward priority 0; policy drop; }
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }

add rule ip Restrictive Incoming iifname lo counter accept
add rule ip Restrictive Incoming oifname lo counter accept

Čekal bych, že pravidlo
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }
povolí všechna odchozí spojení, ale na internet se nedostanu.
Pokud pravidlo

Kód: [Vybrat]

add rule ip Restrictive Incoming iifname lan33 counter accept
add rule ip Restrictive Incoming oifname lan33 counter accept

povolím i pro lan tak to sice funguje, ale všichni se z lan dostanou na všechny služby.

Na internet sa tymto dostanete, server z internetu vam aj odpovie, len problem je ze tu odpoved zahodite.

34

Server / Re:Provoz po HTTPS v produkci

« kdy: 16. 12. 2022, 10:03:50 »

A k povodnemu dotazu:

Problem dnes je rozsirenost Let's Encrypt a jeho certifikatov s kratkou zivotnostou, kedy nestaci raz za rok, dva.. manualne nahodit novy certifikat co je 5 minutova robota. Nie, dnes sa musi investovat cas a peniaze do vyvoja automatizovaneho riesenia ktore musi riesit challenge, uschovu, reload certifikatov a v spranvom case cely proces opakovat.

To automatizovane riesenie nie je nutne znova vyvijat. Mozete pouzit napr. certbot. Pripadne ine riesenie, ktorych je internet uz plny. Alebo mozete ist starou cestou a vynalozit radovo viac zdrojov na certifikat od nejakej CA.

Ak si vezmem ze 99% pripadov je http challenge, tak nie je mozne vypnut port 80, cize aplikacia musi bezat na dvoch portoch a odlisit ci ide o LE na http a podla toho presmerovat na https verziu alebo spracovat LE challenge.

Vypinat 80 port nie je najstastnejsi napad, je dobre tam dat aspom redirect na port 443. K tomu do aplikacie siahat nemusite, da sa to osetrit uz na urovni http serveru.

Dalsie riesenie je skryt aplikaciu za vlastnu lokalnu proxinu(traefik, nginx, haproxy..), takze aplikacia sa odbremeni od https a dvoch spojeni, co je super, lenze zase ta proxy treaz musi routovat 99.99999% dat na prazdno, a zrat hw, len kvoli LE ktore pride raz tri mesiace. Ale zase to riesi sama uz, takze aplikacia samotna sa o nic starat nemusi. Ale zase na produkcii to prinasa dalsiu starost - namiesto jednej binarky a jej konfiguracie je vyzadovana dalsia binarka pre tuto proxinu a konfiguracia pre nu a dodatocne znalosti pre spavnu konfiguraciu a prevadzku.

Toto ma zmysel len v niektorych pripadoch.

• Koli vykonu potrebujete skalovat a tym padom to uz mate rozbehane
• Aplikacia je black box a povodny vyvojar nezvestny
• Aplikacia je tak sprasena ze ina moznost nie je

Tretia moznost je pouzit externu proxinu typu CloudFlare ktora kompletne odbremeni od riesenia HTTPS za cenu ze prevadzka zo serveru na cloudflare je nesifrovana(prakticky mitm) a teda cloudflare ma plny pristup k datam uzivatelov a taktiez pod kontrolou komplet cele DNS. A ked sa rozhodne ze sa im nepacite, tak vas vypnu a mate mozno aj niekolko-hodinovy vypadok. Takze taktiez nie idealna situacia.

Preco by mal byt nesifrovany? Ked sa snazite ohnut sluzbu ktora je urcena k niecomu inemu, tak musite ratat aj s rovnakom na ohybak...

Preto ma zaujima co dnes fici ako najpouzivanejsi postup?

Aplikacia o https nic vediet nemusi. K tomuto je urceny http server. Location http serveru je smerovana na adresar kde si certbot vytvara challenge. Aplikacia o tejto location nema mat ani len tusenie. Ak pouzivate hosting tretej strany, tak je samozrejme ze toto nastavenie dostanete default. Ak si server spravujete sam, tak by ste to mal zvladnut, je to jedna z tych trivialnejsich zalezitosti ohladne bezpecnej spravy serveru.

35

Server / Re:Provoz po HTTPS v produkci

« kdy: 16. 12. 2022, 09:34:25 »

Franta, Pepa a Lojza si založí klub leteckých modelářů. Franta je předseda a je pro všechny důvěryhodný (CA). Rozhodnou se vydat si členské průkazy (certifikáty). Aby byly průkazy důvěryhodné, musí všechny podepsat předseda. Když je podepisuje Pepovi a Lojzovi, tak je podepisuje z titulu předsedy, ale když ho podepisuje sám sobě, tak už ho z titulu předsedy nepodepisuje? To se snažíte říct?

Certifikat ale nie je clensky preukaz. Primarnym ucelom certifikatu je overit ze podpisovatel ma vo vlastnictve privatny kluc ktorym podpisuje. To aby certifikat overoval identitu konkretneho subjektu nie je nutne, iba je mozne k do certifikatu tieto udaje vlozit.

Primarny obsah certifikatu je verejny kluc, aby bolo mozne overit podpis vytvoreny privatnym klucom, ktory tvori par s uverejnenym klucom. Dalsia nutna vec ktoru musi obsahovat je sposob pouzitia privatneho kluca. V zavislosti na sposobe pouzitia su povinne dalsie udaje, ktore su ale pre samotny princip fungovania certifikatu irelevantne. A nakoniec je cela tato datova struktura podpisana. Moze byt podpisana vlastnym privatnym klucom (self-signed) alebo klucom nejakej autority. Ci je ten ktory podpis validny sa rozhodne na zaklade zoznamu validnych privatnych klucov, ktory je reprezentovany certifikatmi k tymto klucom.

Ak to chcete vysvetlit na takto stupidnom priklade, tak ten priklad musite dat do kontextu (integracia v skolstve bol fakt blby napad). Cize aby vas priklad bol pouzitelny, tak by sme museli predpokladat ze kazdy uzivatel podpisuje perom s unikatnym atramentom. Pritom nemusi vlasnit len jeden atrament. Certifikat potom obsahuje vzorku podla ktorej je mozne jednoznacne identifikovat atrament. To ze moze obsahovat naviac identifikacne udaje vlastnika atramentu nie je podmienka. Takze Franta(nemusi to byt nutne Franta, moze delegovat na niekoho ineho) podpise vzorky atramentu na preukazkach atramentom urcenym len k tomuto ucelu, vratane tej svojej. Takto vytvorene preukazy ale primarne overuju pravost atramentu, ak overuju sucastne identitu vlastnika atramentu, tak je to udaj naviac.

36

Server / Re:Provoz po HTTPS v produkci

« kdy: 15. 12. 2022, 12:48:01 »

Tak to je teda gól, certifikační autorita si podle pana Jirsáka nevydává svoje vlastní kořenové certifikáty. Kdybyste se alespoň na ten jejich kořenový certifikát podíval, tak byste tam viděl, že Issuer je Internet Security Research Group, tedy Let's Encrypt. Stejně tak to má třeba DigiCert (Issuer: CN=DigiCert Global Root CA, zde máte dokonce Root CA v názvu)...

Je uplne sumak ako sa nazve certifikat, k tomu aby bol platny CA certifikat, ci uz korenovy alebo medzilahly, tak musi mat nastavene rozsirenia:

Kód: [Vybrat]

basicConstraints=critical,CA:TRUE
keyUsage=critical,keyCertSign, cRLSign

Dalej aby bol ako CA certifikat uznany za platny, musi byt zaradeny medzi znamimi autoritami systemu (alebo browseru, ak ten nepouziva systemove ulozisko).

Kdezto certifikat pre web server bude mat nastavene:

Kód: [Vybrat]

keyUsage=critical,digitalSignature, keyEncipherment

K tomu aby bol uznany za platny, ak je self-signed, staci aby bol zaradeny medzi platnymi certifikatmi systemu (alebo browseru).

37

Server / Re:Provoz po HTTPS v produkci

« kdy: 15. 12. 2022, 11:30:59 »

Že se pro vytvoření self-signed certifikátu nepoužije žádná CA jste někde četl nebo si to jen myslíte? Kdo tedy vytvořil kořenový (a tudíž i self-signed) certifikát ISRG Root X1, který používá Let's Encrypt?

Certifikační autorita je entita, která vystavuje certifikáty. Když si generuji vlastní certifikáty, tak jsem sám sobě certifikační autoritou a je úplně jedno, jestli pro koncová zařízení generuji self-signed certifikáty a nebo mám nějaký kořenový certifikátm, kterým pak teprve podepisuji CSR od koncových zařízení.

Nebo co podle vás znamená "vlastní CA"?

Ok, vytvorime si self signed certifikat:

Kód: [Vybrat]

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -keyout example.key -out example.crt -subj "/CN=example.com" -addext "subjectAltName=DNS:example.com,DNS:www.example.net"

Aka CA sa podla vas pouzije pri vytvoreni?

38

Server / Re:Provoz po HTTPS v produkci

« kdy: 15. 12. 2022, 07:10:09 »

Radí mi, že mám pro spojení mezi proxy a tiskárnou použít self-signed.

Self-signed certifikat je podpisany privatnym klucom samotneho certifikatu, pre jeho vytvorenie sa nepouzije ziadna CA.

39

Desktop / Re:Omezení Red Hat desktopu proti Fedoře

« kdy: 09. 12. 2022, 04:15:08 »

Ak pouzivate visual studio tak zrejme programujete. Ak programujete na fedore a ma to byt nasadene na rhel, tak budete musiet dat bacha na zavislosti, aby sa vam nestalo ze pouzijete nieco s cim sa na rhel rata az v buducich vydaniach. Co sa da ale jednoducho osetrit, staci pisat testy...

40

Server / Re:Postgres - identifikace šifrování ransomwarem?

« kdy: 08. 12. 2022, 16:55:03 »

Ale inak pg_checksums by malo robit to co hladate. Navod ako to nastavit a otestovat tu: https://postgreshelp.com/postgresql-checksum

41

Server / Re:Postgres - identifikace šifrování ransomwarem?

« kdy: 08. 12. 2022, 16:25:58 »

Z mojho pohladu je to na urovni db zbytocne, vdaka wal dokaze postgres rozdychat natvrdo vypnuty server. Ak tam vznikne nejaka chyba tak to bude na urovni filesystemu a na tej urovni by sa to malo riesit.

42

Server / Re:Postgres - identifikace šifrování ransomwarem?

« kdy: 08. 12. 2022, 14:44:03 »

Co jsem zatim zkousel, tak editace samotneho souboru Postgresu nijak nevadi. Kdyz do nej neco pripojim, nevadi mu to vubec a vse funguje bez problemu dal a pokud ho komplet zevnitr smazu nebo prepisu, tak jen vraci prazdne vysledky a dokonce nehaze chybu ani pri insertu, ackoliv nasledny select insertovany radek neobsahuje.

V logu se rovnez zadna chyba neobjevi.

Narazil jsem na to, ze od verze 14 je k dispozici pg_checksums a predpokladal jsem, ze po jeho zapnuti tohle nejak osetri. V zakladu se tak ale nestale, vse puvodne popsane funguje stejnym zpusobem dal.

Postgres sa snazi co najviac dat drzat v pamati, do suborov nezapisuje zmany okamzite, s vynimkou write ahead logu. WAL potom prechadza wal writer a ked ma cas alebo prekroci nastavene limity tak tie zmeny zapise fyzicky na disk. Ak medzi tym vypadne napajanie a ne je k dispozicii napajanie, tak zmeny vo WAL co nie su na disku sa pri starte zapisu. Cize ak mu chcete menit subory, s cielom testu ci to rozdycha, tak najskor tu db stopnite, skuste nieco prepisat a znova nastartujte.

Ten pg_checksums je tam od dvanastky...

43

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 07. 12. 2022, 17:59:51 »

Ste proste hlupak a ignorant, ktory akurak tak dokaze svoje nedostatky zakryvat mnozstvom zbytocnych slov. Mat vas v zivote na blizku musi byt fakt terno.

44

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 07. 12. 2022, 01:20:40 »

Clovece, vy ste k hovnu nie len co sa tyka IT aleste k hovnu aj ako trol. Ten slameny panak v podobe vhostov nie len ze bol ako past na oko, ale aj tam ste popisal mnozstvo kravin.

Ko povodnej teme som sa uz vyjadril dost, viac sa k tomu vracat nemienim.

K virtual hostom:

• To ze by virtual hosty vznikli koli nedostatku IP adries je kravina. Vznikli len pre to ze vtedajsie stranky nedokazali dostatocne vytazit vtedajsie servre. Virtualizacia vtedy nebola nic moc, tak s virtal servrami sa ratat moc nedalo.
• virtual host s dns nejaku uzku zavislost nema, je mozne pouzit nielen name based vhosty, ale aj IP based vhosty. Pripadne ich kombinaciu. ServerName nie je v ramci vhostu povinna direktiva. Dufam ze je vam jasne ze na jeden fyzicky sietovy interface jedneho servru mozete nabindovat dostatocne mnozstvo IP adries.
• SNI vzniklo koli TLS. TLS handshaking prebehol az po vybere vhostu, preto pre TLS spojenie bola nutna unikatna IP adresa. SNI len pomohlo tento nedostatok obist, vdaka comu je mozne na jednej IP prevadzkovat viacero secure domen
• SNI ma sice spojitost s HTTP, ale nie taku aku si myslite. Hlavicky HTTP poziadavku su viditelne az po ndviazani TSL spojenie, to ale prebehne az po volbe vhostu. Inak by nebolo mozne pre kazdy vhost pouzit specificky certifikat.

Ako, kazdy rozumny prispevok do diskusie je vytany, nikto nie je dokonaly a vacsina diskutuje pre to aby sa nieco naucil. Takze zacnite diskutovat na urovni, tj. nepiste siahodlhe vykecavaky a nepouzivajte argumentacne fauly. Ak si v diskusii potrebujete liecit nejake mindraky, tak tym len kopu ludi nastvete. A ak to robite len koli tomu aby ste niekoho nastval, tak budte chlap a hodte nasierat kamionakov do hospody, nie tu na webe ako prizdisrac. Ak si tento zaver zoberiete k srdcu, tak tym potesite nie len mna, ale aj tunajsich diskutujucich, ktory na vas musia reagovat podrazdene, viac nez je zdrave (a to necitam komplet vsetky diskusie).

45

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 05. 12. 2022, 14:19:48 »

A to se vám při téhle kariéře podařilo úplně minout to, jak už čtvrt století funguje web? To vás nikdy nenapadlo, jak může webhosting obsloužit násobně víc doménových jmen, než má IP adres?

Zase kopa zbytocnych slov. A jeden slameny panak, za druhym. Nemyslim si ze niekto, kto zakryva vlastnu neschopnost halhou bezvyznamnych slov a argumentacnych klamov, je schopny posudit moje kvality

O SPF vůbec nebyla řeč.

V povodnym kontexom ma vacsiu spojitost ako virtual hosty http servru.

Ne, virtual host se používá kvůli nedostatku IPv4 adres. S výkonem serveru to nijak nesouvisí. Víc webů na jednom serveru byste klidně mohl mít s více IP adresami na server – dříve, když bylo IPv4 adres dost, se to tak dělalo. Nebo naopak můžete mít doménu nasměrovanou na nějaký reverzní proxy server, který dělá třeba rozvažování zátěže. Takže na provoz webu třeba potřebujete 4 servery, ale jsou schované za proxy serverem s jednou IP adresou. A za tím proxy serverem mohou být schované i jiné weby.

Pobavil ste nie len mna, ale aj kolegov, skoda ze sa nechceli stavit, sleduju root. :-/

Prosím vás, nepište o věcech, o kterých vůbec nic nevíte. Podívejte se na webhostingy typu Wedos nebo CDN jako Cloudflare a uvědomte si, kolik by museli mít IPv4 adres, kdyby pro každé doménové jméno měli samostatnou IP adresu.

Kanonické jméno v PTR dáte snadno – server má jedno kanonické jméno, třeba server123.example.com. Na to vede PTR záznam. A pak mohou existovat stovky dalších A záznamů, které vedou na stejnou IP adresu, a k nim žádné reverzní záznamy neexistují, nemusí existovat a je to tak v pořádku, protože to nejsou kanonická jména.

Na wedose par domen mam, nie je mozne tam zadat PTR nazov, ten sa generuje automaticky z A(AAAA) zaznamu. Nejde to uz len z principu, pretoze PTR zaznamy su v inej zone ako vasa domena a ak nie ste spravca DNS servru tak do tejto zony nemate priamy pristup. Takze nemate ako povedat PTR zaznamom, co je canonical name.

I ked tak wedosu napisem ze to chcem a ak sa budu cukat, tak im hodim link sem, nech si pracitaju slova odbornika. (minimalne sa pobavia, tak ako ja)

To je váš problém, že používáte ne moc chytrou správu DNS záznamů.

Ja nerad vymyslam blbiny, radsej hram na bezpecnost. Cim  menej duplicit, tym menej priestoru na chyby.

Takový typ záznamu ovšem v DNS neexistuje. Už jsem vám to psal, že nevíte, co CNAME znamená.

Tak sa vymacknite co podla vas znamena, fakt sa neviem dockat co splodite

Redundance je jeden z důvodů, proč rozvažovat zátěž.

Redundancia je sposob ako nahradit pripadny vypadok. Nic ine.

V tom vašem příkladu je www.example.org alias pro kanonické jméno example.org. Zkuste teď ten váš příklad upravit tak, abyste pro domény example.org a www.example.org mohl přijímat e-maily (s pomocí MX záznamů s prioritami). A pak zkuste přidat TXT záznam pro example.org a jiný pro www.example.org (třeba kvůli ověření vlastnictví domény).

Preco by som to robil? Za MX zaznam alias nepatri, tam patri common name. 

Zameriame sa ale na odpoved na moju otazku. Z vasej odpovede "V tom vašem příkladu je www.example.org alias pro kanonické jméno example.org", je zrejme za CNAME vytvara alias na common name. To je to iste co som uz tvrdil a vy ste sa to snazil rozporovat. Pridete si po psychickej stranke uplne v poriadku?