Příspěvky

91

Sítě / Re:Zákaz náhodné MAC adresy

« kdy: 24. 12. 2023, 07:16:00 »

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Dejte tomu kratší lease time...

92

Sítě / Re:Náhodné MAC

« kdy: 24. 12. 2023, 07:14:26 »

jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

Navíc už mi prošlo rukou cosi (made in China asi netřeba uvádět neb je jasné), kde ten bit byl nastavenej mělo v fyzické MACovce, takže cesta do pekel

93

Sítě / Re:Náhodné MAC

« kdy: 23. 12. 2023, 11:20:32 »

Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes  DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.

94

Sítě / Re:NIC teaming pro rychlejší upload z VMware ESXi

« kdy: 01. 12. 2023, 21:33:22 »

Nevím, zda se na ESXi dá použít SMB3 multichannel. Ten umí použít více kanálů pro jeden přenos, takže to by mohla být alternativa.

Vono ani to teoreticky nemusí pomoct. Ten celý problém je, že možností, jak v tom etherchannelu rozhazovat provoz je pár, a málokterá implementace (zvlášť ne v dospělých prvcích) umí round-robin, obvykle je tak v lepším případě L3+4 (což by s pravděpodobností 50% mohlo ty dva streamy rozhodit), v horším L2 (neboli MACovky těch dvou zařízení)
Jestli máte admin přístup k tomu switchi, zkoukněte nastavení/dokumentaci, ale já bych se připojil k několikrát sem napsanému doporučení vybodnout se na to a dát dam desítku.

95

Sítě / Re:Důvěryhodný certifikát v rámci LAN

« kdy: 30. 11. 2023, 02:04:02 »

• (oduvodnene) bezpecnostni pozadavky,

Druhou moznosti se zabyvat nebudu a s prvni mi nekoreluje zadani (neexistujici segmentace site, server v uzivatelske LAN).

Ale tohle je základní nepochopení bezpečnosti. Na nádražní hajzlíky na vesnici nedám pancéřové dveře, ani zabezpečovačku, ale stejně je budu v době, když je nádraží zavřené zamykat. Proč? Protože chráněná aktíva jsou malá (někdo vykoná potřebu neoprávněně je haléřová položka, maximálně tam může vandal způsobit škodu rozbitím hajzlíku v hodnotě tisícovky v OBI), přesto kdybych to nechal otevřené, tak tam nejspíš bude naděláno od fetek a opilců.

To samé co se týče lokální sítě. Vystrčit cokoli ven do Intrnetu je holý nerozum (pokud to člověk opravdu nepotřebuje, a současně ví co dělá). Když vystrčím server ven, mám tu najednou proti sobě pár miliard potenciálních útočníků, mraky scriptů, každá chyba/0-day/cokoli může být malér.
Na stranu druhou, domácí síť mám obvykle pár trusted lidí, kterým, pravda, se samozřejmě nedá úplně věřit, že někam nekliknou kam nemaj. Ale na tohle obvykle stačí mít rozumně práva na NASce, a riziko je celkem malé (v porovnání s tím vystrčením ven - někdo si musí zabreberkovat PC, současně ta breberka se musí umět na tu NASku dostat a současně na ní musí být nezáplatovaná vulnerabilita).

BTW ono ani ta segmentace není všespásná, zvlášť když ty (potenciálně zabreberkované) užovky stejně na ten server musí mít prostup, a dávat domů IPS je poněkud nereálné.

BTW já tohle řešil vždycky CA, co je součástí OpenSSL (nebo alespoň bejvala, CA.sh nebo CA.pl na vygenerování samotné CA, zbytek klasika openssl keygen, openssl x509, openssl ca)

96

Vývoj / Re:Bash a trap

« kdy: 20. 11. 2023, 13:40:23 »

Možná of-topic, ale na ty zámky - koukněte na man 1 flock , to řeší takové ty chyby jako program skončil ale něco ten .lck nesmazalo apod.

97

Sítě / Re:Co je s routerem?

« kdy: 14. 11. 2023, 17:51:40 »

Prověřil zdrojRATED 19V,, 1,5A. OC je 19,3V, při 1A 18.8V (což mi trvalo nejdýl  naměřit přes soustavu  několika 18650 v sérii s n×5ohm odpory, protože se mi nikde naválel 10/20ohm odpor na 400w. Ne nejdýl  samotný měření, ale než jsem se k tomu dostal)... A zvlnění nedokážu naměřit  není čím

Sorry, ale 19V, 1A je 19W, takže v praxi 4 x 5ohm v sérii ti bude stačit. Když je nebudeš mít na 5W, tak na pár sekund to přežije tak jako tak i malej, hlavně měř rychle.

Jestli chceš měřit zvlnění, tak (orientačně!) to odděl elektrolytem (nějakejch 10mikro/30V v pohodě), a paralelně s měřákem dej odpor tak 22k a měřák přepni na AC...

98

Software / Re:Aplikace na léčbu tupozrakosti

« kdy: 14. 11. 2023, 17:33:06 »

To je jasné, ale nedělám si iluze, že doktoři znají všechny moderní trendy. Zvlášť tahle vada se dá dobře vyléčit cvičením. Je je třeba znát nějaký vhodný nástroj a tomu doktorovi bych to chtěl ukázat a zeptat si co si o tom myslí...

Vhodný nástroj je správná korekce zraku toho oka a občas okluzor na druhé. https://cs.wikipedia.org/wiki/Okluzor

Moderní trendy jsou príma, ale z principu tupozrakosti, mozek, který se naučil, že input z tupozrakého oka je nevalidní a tak ho má ignorovat, moc možností na naučení se nemá, než mu prostě ten správný input pravidelně zaříznout.

99

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 11. 11. 2023, 04:38:28 »

Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

Přesně. Prostě zabalit do něčeho, co je možné považovat za dospěle bezpečné, ať už (nejlepší) nějaká forma VPN, nebo alespoň tls s verifikací klienta (v linuxu máme stunnel), a neřešit, kde ještě strejda Bill mohl nechat další díru.

100

Windows a jiné systémy / Re:Windows 7 na novém notebooku

« kdy: 05. 11. 2023, 21:27:57 »

Proto se kvůli Windows 7 a kompatibilitě pořád dají objednat notebooky starších generací, konkrétně max. do Intel 7gen.

Na gen9 (i na g10) to rozchodit jde s trochou práca (najít správné usb3 a nvme/ahci drivery) taky. S integrovanou grafikou může být problém, jestli stačí SVGA režim, pak v klidu.

Hint: wufuc kvůli zapnutí Windows Update.

101

Hardware / Výhody architektury RISC-V

« kdy: 25. 10. 2023, 02:37:43 »

Pro začátek: pokud shledáváte tento dotaz jako trolling, pak prosím neodpovídejte. Rozhodně tak není míněn.

Chtěl bych se zeptat na jednu věc - pokud se někde objeví zmínka o použití RISC-V architektury, tak obvykle sklízí nadšené ovace většiny čitatelů. Takže bych se rád zeptal, jaké jsou ale reálné plusy, v porovnání např. s ARM nebo Wintel?

Ptám se hlavně proto, že mě dorazily dvě RISC-V hračky (LicheeRV D1 dock, 512MB+WiFi), dal jsem na ně Debian, a třeba i v porovnání s RPI zero, na kterou nedám dopustit, mám tak trochu rozporuplné pocity. Spotřeba cca 200mA moc nezávisí na zátěži (malina má v skoro-idle, jen aktualizuje ePaper displej kolem 100mA) a výkonově, no ... ta Malina mi připadne o dost svižnější a mnohem mín žravá.

102

Studium a uplatnění / Re:V IT po čtyřicítce

« kdy: 19. 09. 2023, 22:52:46 »

Cestovat. Velehory po svete jsou velike.

Plný a jednoznačný souhlas.

Jinak @OP - to docela záleží, jaké jsi povahy. Už jsi určitě rozkoukaný, se zdravou porcí cynismu, takže se zamysli hlavně sám nad sebou, co vlastně chceš?

1. Management. No tak nějak všichni víme, že hlavní profesní pořadavek na dobrého teamleadera je schopnost dělat deštník, oddělit svěřené lopaty od těch sr***andovních věcí co padají zezhora, aby mohly v klidu lopatovat, což umí nejlépe. Je jasné, že když to deštníkuje TL, tak výš to o moc lepší nebude, spíš naopak, takže to chce kromě soft skills i dost žaludek. Čest výjímkám.

2. Specializace v oboru - pro člověka, co chce mít svůj klid (a neřešit věci, za které je placený TL a vejš) je to možnost. Stejně se tak jako nějak všichni učíme nové věci, tak jenom trochu zabrat víc. Nevýhody? Většinou míst našich snů je málo, a pokud jsou, tak jsou šeredně blbě placené.

3. Pokud současná práce přináši přiměřený dostatek peněz, tak se zaměřit na myšlenku, že do práce chodíme proto, abysme nechcípli hladem, a místo hledání nějakého pochybného profesního růstu se na to vykašlat (stejně moc není kam), a radši se věnovat růstu osobnímu. Začít cestovat, sportovat, kutit, bastlit, lepit modely, zahrádkařit, vařit pívo, chovat prase, učit se latinu, udělat si dálkově školu v oboru, co mě baví, ... .

103

Vývoj / Re:SSH server vytuhne

« kdy: 08. 09. 2023, 23:21:52 »

Pokud byste došel k tomu, že visí bloknutý accept(), spotřeba procesoru je nula a příchozí spojení se "nedozvoní", tak je mi to divné... iptables, apparmor/selinux, co já vím... toto jsem nikdy nezažil.

A to já zase jo, včetně perliček typu velmi "kreativně" zpracovaného listen() / accept() způsobem, že to postupně vyleakovalo listen() frontu s 128 backlogem.
Ten strace fakt někdy pomůže mnohem víc než gdb... (a jindy zase ne)

104

Vývoj / Re:SSH server vytuhne

« kdy: 07. 09. 2023, 19:04:09 »

A proc se v momente, kdy to je vytuhle, nepodivas pomoci GDB, na cem to visi v tom libssh?

Asi proto, že mě to buď nenapadne nebo to neumim :-)

No na podobné problémy je někdy mnohem lepší použít strace, který kompletně ignoruje celý komplexní kód a jen píše syscally, takže často dá velmi dobrý hint, co vlastně hledat.

Z hlavy (zkoukni radši man, hlavně kolem clone/fork a threadů) strace -f -ff -o filename- -s 120 ./program
(případně varianta pro už běžící strace ......  -p PID )

105

Distribuce / Re:Oprava rozbitého sudoers

« kdy: 29. 08. 2023, 10:14:41 »

Jestli to není šifrovaná instalace, šlo by nabootovat z nějakého linux rescue cd, zeditovat sudoers, pak jít, a po**rvit to znovu.

Pak už klasika "rw init=/bin/bash" v lilo/grubu by byla rychlejší.

Ale dost vážně bych doporučil @OPovi, aby se na to vykašlal, šel s pravdou ven a kolegům koupil pivo. Když člověk úplně neví, co dělá, je produkce posledním místem na hrdinství.