Příspěvky

196

Server / Re:Kdy a proč využít Docker nebo více serverů?

« kdy: 25. 04. 2023, 14:33:56 »

Dost zalezi na tom, jak co s cim komunikuje.

Databaze by vzdy mela bezet idealne oddelene, jak z duvodu vykonu tak bezpecnosti. Je ovsem otazka, jak moc s tim pocitaji ty aplikace co tam chces mit. Pripadne, jak moc bezpecne s tou databazi umi nebo neumi komunikovat. Da se to sice obchazet ruznejma tunelama, ale ...

Predpokladam, ze ten web = verejny web = opet idealne oddelit, protoze prave tam ti budou mirit scany vsemoznych scriptu. V optimalnim pripade by ti nejaky ten DOSik nemel sejmout ostatni veci.

"dalsi javove aplikace" ... typicky se resi potencielni rizika = aplikace ktera nekde neco generuje na disk je vpohode, aplikace ktera nekam neco posila uz mene, a aplikace, na kterou se da zvenku cokoli (i zprostredkovane) poslat je problem.

Vem si takovou hezkou appku, ktera jen bere data z disku, na kterej ji ty data dal nejaky servrik ... a voiala, pri trose sikovnosti ji lze primet ke spusteni tech dat.

Tudiz z pohledu provozu se takovy veci v tom smyslu oddeluji tak, aby v pripade, ze se to nekomu povede, byly skody minimalni. Tzn napriklad abych se pres tu appku nedostal treba k web serveru, kde bych pak oveckam naserviroval nejaky ten pekny scriptik, ktery by mi poslal treba jejich hesla.

Jinak je to samosebou o penezich.

197

Server / Re:Vzdialene komunikacia s Linuxom

« kdy: 25. 04. 2023, 11:41:39 »

Putty neni nic jinyho nez ssh klient, a ssh (radkovy) ktery si mimochodem od w10 muzes proste jednoduse do tech widli pridat, ti proste a jednoduse umozni jak spustit nejaky script, tak si zpracovat jeho vystup.

198

Windows a jiné systémy / Re:Best practice: 1 server = 1 služba?

« kdy: 24. 04. 2023, 23:13:10 »

kvuli jedne sluzbe rozjizdet celou jednu virtualku, to mi pripada prastene.

To neni prasteny, to je naprostej standard. Ono totiz vse ovlivnuje vse. Mas sluzbu A a B, v jednech widlich. Sluzba A jsou treba mzdy, a ty potrebujes legislativni patch, a dodavatel chce restart systemu, kterej tudiz musis udelat, jinak neudou vejplaty. A pak mas sluzbu B, coz je treba sklad... a ten nemuzes vypnout, protoze jede 24/7.

1 server = 1 sluzba je vacsinou len plytvanie vykonu.
Taky rozumny stav je postavit file server, db server a treti, kde budu bezat sluzby. pripadne, ak je to len nejaka mala firma, tak db a programy spojit, ale db dat na samostatny disk

... jo, to urcite ... kolik alespon desitek tech serveru provozujes?

...

Podivej, tohle nemusis vube rozhodovat ty. Realita je proste takova, ze vedeni firmy se rozhodlo pouzivat windowsi SW, a to ma svoje naklady, ktery firma proste musi zaplatit. A pokud to nezaplati, tak to jednoduse nebude fungovat.

Jak tu nekolikrat zaznelo, a co se ti stane s naprostou jistotou, je to, ze jakmile nastane zcela libovolny problem, tak dodavatel toho SW ktery bude mit problem od toho da ruce pryc. Jednoduse prohlasi, ze na tech widlich bezi jeste nedo dalsiho, co narusuje funkcnost jejich SW a i kdyby to nebyla pravda, nic s tim nenadelas.

Mimochodem, to ze koupis nove licence na win, jeste vubec neznamena, ze to co bezi na tech starsich bude funkcni na novejsich. Ono to totiz s tou compatabilitou neni nijak zhavy, a opet plati viz vejs, naprosto nezbytne na to potrebujes od dodavatele kazdeho SW dobrozdani, ze to fungovat bude.

199

Windows a jiné systémy / Re:Centrální správa mixu operačních systémů

« kdy: 24. 04. 2023, 22:54:55 »

...

AD neni nic jinyho nez windowsi LDAP. Stejne tak to ma kerbera. Jedno i druhy s tuxem snadno propojis.

Otazka spis zni, kolik tech stroju je, a jestli dava vubec smysl to jakkoli resit. U nizkych desitek stroju to vetsinou smysl nedava.

Spíš mám případ, kde je malá firmička typicky 10-20 lidí, kteří jsou například designéři, návrháři no zkrátka tvůrci.
U této firmy je cílem povětšinou jen centrálně spravovat uživatele kvůli právům na zmíněné file shary, ověřování VPN proti radiusu.

Viz vejs, dost malo na to aby davalo smysl to resit. Jinak AD ti muze (s nejakejma omezenima) delat zadarmo samba.
Ucty na share vyrobis rucne, a na VPNku rozdas/nakopirujes klice.

...ochotna/schopna zaplatit treba tech $1000 ...

Wokeni licence nestoji tisicovku ze ... potrebujes jeste CALy aby se  k tomu vubec moh nekdo legalne pripojit, a to i pro kazdyho, kdo se treba zvenku pripoji na web ... A rozchodit to je taky prace, a rozhodne to nefunguje samo. Privni na cem si pak nabijes hubu bude to, ze na tech jednech widlich "zadarmo"  ti pobezi vsechno. A jakmile to budes chtit resit, tak zjistis, ze ti licene stojiej v malym rozsahu desitky tisic. A M$ razantne zdrazuje a tlaci vse do rocnich plateb, takze se brezo budem bavit o desitkach tisic $ rocne.

Já bych doporučil použít ACL, protože skupiny jsou přes ruku když chceš prostě říct "Franta může sem, sem a sem". setfacl -Rm default:user:franta:rwx /srv/samba/foo

Tak toto bych doporucil nepouzivat vubec a zapomenout, ze to existuje ... v lepsim pripade pak budou widle logovat pindy na tema ze kdesi cosi je spatne s pravama, v horsim se k tomu odmitnou pripojit. Trochu sem to zkoumal a zjistil sem, ze tux tam sice vyrobi stejne zaznamy, ale v jinym poradi, nez kdyz se to udela z widli. A tem to vadi. Tudiz pokud nastavovat tak z win.

A nastavovat neco per user je zlo, ukrizovat kazdeho, kdo to nekde pouzije. Zadnym normalnim zpusobem se pak neda zjistit, kam vsude ten user vlastne muze.

... Každý balík aktualizací vyzkoušet, rozebrat a odstranit problémové části a znova vyzkoušet na všech typech použitého HW...

A ani to ve finale nestaci. Z posledni doby (letosni rok) patch AD ... prvni OK, Druhe OK ... treti ... a po restartu se vsechna ADcka zacla restartovat porad dokola.
Nebo ... to je cca mesic, mozna dva stary ... patch win 2k22 ... vmware ... restart OK ... druhy restart ... a widle uz nenabehly protoze secureboot.

Jinak receno, napadlo by te, ze to chcipne po 14ti dnech kdy uz 2/3 ADcek bezi patchly a zadny problem se nikde neukazal? Nebo ze mas po aktualizacnim restartu widle jeste prosychr restartovat ... kolikrat? 5x? A neni to malo?

Vy by jste se na to vykaslal, korporat diky standardizaci IT obvykle usetri prachy.

Ehm ... nikolivek. Typicky korporat utraci mnohem vic nez by bylo ucelne, protoze se zakazky rozdavaji vsemoznych zpratelenym firmickam, ktere zadavatele bud pozvou na nejakou tu zranici nebo mu postavi dum. Podle toho kolik $$$ obdrzi.

Par takovych znam, naprosto bezne se nakupuje HW, ktery neni potreba (videl sem treba kancelarske stroje s 32GB ram ... ), a SW ktery nasledne nikdo nepouziva.

200

Windows a jiné systémy / Re:Notifikace nového emailu

« kdy: 24. 04. 2023, 22:16:47 »

...

Necti Jirsakoviny ... a vymen klienta. Imap to samozrejme umi, pokud to umi server.

201

Studium a uplatnění / Re:IT freelancer - pojištění odpovědnosti OSVČ

« kdy: 24. 04. 2023, 22:06:41 »

...
Ani jedno nie je pravda. ...

Koukam ze ty taky patris k tem 95% co nezvladaji operaci souctu. Ucetni samozrejme pracuje uplne zdarma ... Co je sro naopak naprosto netusis prave ty, pisatel vejs to narozdil od tebe vi. Sro ruci omezene za sve zavazky, nikoli za skody. Ve spouste ruznych pripadu to je prave jednatel, kdo to zaplati. Proto se pouzivaji tzv byli kone = lide, kteri zadny majetek nemaji. A ty si nekupuj zadnou ucebnici, byl by to zbytecny vydaj kdyz neumis cist.

Zrizeni sro nestoji 1Kc .. to nemilej a nezlatej nestoji ani zalozeni zivnosti.

Možná by to chtělo prokecnout nějakého právníka, co všechno se pod to schová.

Vpodstate jde o to, ze pokud udelas neco, co zpusobi veritelum skodu, a tyka se to neceho, co si vedel nebo mel vedet, tak to de za tebou jako osobou.

Jinak receno, pokud se firma dostane do platebni neschopnosti proto, ze ji nekdo nezaplatil, tak za to jednatel nemuze = veritele si vemou majetek firmy, a pripadne doplatek jednatele do vyse ruceni. Pokud si ale z firemniho vyplatis treba dovolenou na bahamach, tak to zacalujes za svyho (a jako bonus si muzes jit sednout).

Takze kdyz se vratim k tematu, a ty nekomu smaznes data, tak mas problem, protoze jakozto clovek z oboru mas vedet, ze ty data maji by zalohovany, a zakaznika na to pripadne upozornit.

Myslím, že každé podnikání sebou nese přímé i nepřímé náklady.
OSVČ má, třeba i fiktivní, náklady pakliže uplatní paušál 60%, tzn. zbytek 40% jsou účetně náklady a v nich je schované i vedení účetnictví apod. Realita ale je, že je to většinou nezdanitelný čistý zisk, že, to všichni víme.

Fakt jo? Takovyho zivnostnika bych chtel potkat ... Realita je takova, ze v mem okoli jsou lidi kteri maji naklady vemi mirne pod pausal nebo mirne nad pausal, a protoze nechteji resit hory papiru, tak konstatuji, ze tech par tisicovek rocne jim za to nestoji. Nikoho kdo by by realne mel naklady pod 50% neznam.

202

Windows a jiné systémy / Re:Dešifrování dat na disku zašifrovaném BitLockerem

« kdy: 21. 04. 2023, 16:40:54 »

...
Aby to fungovalo i na trosilinku starsim HW, proc jinak

Kdepak, to je dlouhodoba politika M$. Oni vzdy a vsude pouzivaji nejhorsi dostupne sifrovani, a nejhorsi dostupny hash. A to nejen jako defaultni hodnotu, bez zasahu do konfigurace se nicim lepsim ani nepripojis.

Normalni aplikace a systemy to pouzivaji samozrejme opacne - pouziji to nejlepsi na cem se s protistranou dohodnou.

Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.

M$ jsou navic lhari. Verejne na webu tvrdej, ze 2k22 oficielne podporuji 1.3, coz je lez. RDP na 1.3 nebezi. Legranda je to o to vetsi, ze na w10 ano (na w11 uz zase ne). Ovsem ani w10 ve skutenosti na rdp 1.3 nepouzivaji, klient vzdy pouzije 1.2.

Pokracovat lze kuprikladu moznostmi vpn. Win aktualne obsahuji ... a ted me nekamenujte, 3 nebo 4 ruzne moznosti, jak to nastavit, ktere spolu vlastne nijak nesouviseji, zato se vzajemne mohu pekne pozrat. Kazdopadne jedna z tech moznosti je tzv "advanced firewall" tak si tam kliknete a podivejte se, co tam je k nalezeni .. 3des.

Pro pobaveni, platebni terminal dodany Komercni bankou ... take zabezpecuje vase platby pomoci naprosto aktualni a zcela bezpecne ... 3des.

Takhle to s bitlockerem opravdu nefunguje. TPM je docela pomale, takze cracknout 10ti znakove heslo bude trvat vecnost. Krome toho by default si TPM loguje pokusy a pokud je jich 32 nespravnych tak se s klicema muzes rozloucit.

Ehm ... TPM je ve vetsine pripadu placebo.

203

Windows a jiné systémy / Re:Dešifrování dat na disku zašifrovaném BitLockerem

« kdy: 21. 04. 2023, 16:18:23 »

Rika se tomu rainbow tables a je to otazka stazeni par GB z netu, a nastartovani z flash/pripojeni disku jinam. Za 2-3s mas co potrebujes.

204

Software / Re:TLSA kontra SSH

« kdy: 21. 04. 2023, 15:51:13 »

Jasne, ale pokud ti jde jen o to, tak to prece dela snad kazdy klient bydefault tak, ze kdyz srv jeste nezna, tak to po dobe chce potvrdit, a ty to muzes napoprvy overit treba metodou tuzka papir, a pak uz si to ten klient pamatuje.

A pokud pouzivas klice, tak je to tak jako tak vicemene jedno.

205

Software / Re:TLSA kontra SSH

« kdy: 21. 04. 2023, 12:57:16 »

Nac to chces, co chces docilit?

Openssh umi pam, a tudiz pokud najdes/napises si, bude pouzivat cokoli co chces.

206

Hardware / Re:Náhrada za desky APU, tip na malé síťové počítače

« kdy: 21. 04. 2023, 09:07:13 »

Nevim co vsichni provozuji, ale vim co jsem opakovane videl. Prvni na co narazis je uz kernel ... a moduly ktery na nonx86 nezkompilujes. V dalsim poradi si vylosuj prakticky libovolny distro, a pak se podivej, co vsechno z nej vypadne na non x86 platformach, zjistis, ze to je tech +- 80% toho, co ma distro v repo.

Samozrejme, da se (vzdyt to tak spousta lidi pouziva) sestavit to tak, ze to fungovat bude, ale za cenu spousty ustupku.

A ja predpokladam, ze ten kdo pouziva x86 tak vi, proc to pouziva, a tudiz ty ustupky cinit nechce.

V neposledni rade pak pochopitelne jakakoli aktualizace ma radove vyssi pravdepodobnost failnout, protoze testovaci zakladna je o par radu mensi. Treba pak zminit i to, ze i kdyz zrovna ted prislusny SW tvoji vybranou nonx86 platformu podporuje, neznamena to, ze ji bude podporovat jeste zitra, coz se u x86 typicky nedeje.

207

Hardware / Re:Náhrada za desky APU, tip na malé síťové počítače

« kdy: 20. 04. 2023, 22:23:50 »

Jako nahrazovat x86 cimkoli co neni x86 je naproty nesmysl. Uz jen proto, ze 80% SW na tom nebude fungovat.

Myslim ze jako alternativa by mohly poslouzit nektery NUCy.

https://community.intel.com/t5/Intel-NUCs/Intel-NUC-with-dual-on-board-ethernet-adapters/m-p/1449740

208

Studium a uplatnění / Re:Plat Java vývojáře na živnost

« kdy: 20. 04. 2023, 21:41:30 »

OK, pomerovani ...

V mem portfoliu jsou firmy od desitek do stovek zamestnancu, s obraty v radu miliard ...

S firmama kterou si popsal mam desitky let zkusenosti, dopadne to vzdy exaktne stejne.

https://pawelszczygielski.pl/wp-content/uploads/2017/12/CoKlientZamowil.png

Mimochoem, zrovna mam jednoho takoveho novacka v pacu. Dodal ho dodavatel, a uz mel rocni vyroci ... vysledek jeho rocni prace je, ze vubec netusi, co ma delat.  Nema ani poneti o tom, jak system, ktery ma zmigrovat funguje, natoz jak jej pouziva ten zakaznik. Ja se zatim kralovsky bavim, protoze se me to tyka jen okrajove. Kazdopadne bych to videl tak, ze do 1/2 roku dodavatel u zakaznika konci.

A ano, zkouma to "na dalku" = dokola se pta na veci, ktere mu uz byly 10x zodpovezeny, nepta se na veci, na ktere by se ptat mel, a strasne se divi vecem, ktere jsou naprostou samozrejmosti. Ale neni se co divit, nikdo mu nic nerek, nikdy to nevidel.

209

Hardware / Re:Doladění sestavy na hry

« kdy: 20. 04. 2023, 08:33:03 »

16G ramky ti uz dnes staci nebude, minimum je tech 32, woknous se horko tezko zvladaji aktualizovat kdyz mas 8G (kancl stroje) a nektery gamesky si s klidem vemou 20+ (aniz by to tedy bylo nejak videt).

1T na uloziste je fakt hodne malo, specielne na gamesy. Pocitej s tim, ze ti +- 100G zblajzne system a dneska ma gamesa (jedna) klidne 300G+.

Pro predstavu ...
Atomic Heart - 80G
theHunter - Call of the Wild - 70G
Star Wars-The Old Republic - 50G

A to nemam na disku zrovna zadny MMo. Tusim ze wow chce 150+ (ano, pri ty grafice co to ma). Dalsi takovi obrici jsou trebas DCS, Flight sims ...

Desku vylosuj jakou chces, je to uplne jedno, proste si najdi takovou, co umi to co od ni chces, predevsim co do portu. Pokud chces wifi tak s wifi (ale to je na hrani opravdu hodne spatnej napad). IMO od desky chces aby mela 2x M.2 a aby oba fungovaly (bacha, na nekterych deskach je to zavisly na osazenym CPU). A kdyz tam das 2x 16G, tak aby mela jeste dalsi 2 volny sloty pro pripadny rozsireni.

Co pak nechces urcite je malej case, merkni se, jakou ma ta grafarna (a cpu) spotrebu, a popremejslej nad tim, ze to vsechno budes muset nejak chladit. Chces case pokud mozno co nejvedsi jakej mas kam dat, s co nejvetsima vetrakam (120/140mm) aby to delalo co nejmensi kraval.

BTW: Ati vs Nv ... za stejny prachy dostanes vicemene vykonostne totez, ale pokud hraci resej, ze neco nefunguje, jsou to vzdy majitele Ati, pohledej net.

210

Studium a uplatnění / Re:Plat Java vývojáře na živnost

« kdy: 20. 04. 2023, 08:08:02 »

...Je tady zkusebni lhuta ...

Delals nekdy nekde neco? V prubehu zkusebky se novacek tak maximalne nauci, kde jsou zachodky, a mozna si zapamatuje kde ma svoji zidli, rozhodne v ty dobe nevyrobi nic, na cem by se dalo hodnotit, jak moc je nebo neni pouzitelnej. To se da tak mozna s krumpacistou, u kteryho kdyz ani za mesic nepochopi, ze ktery strany se ta lopata drzi, muzes s klidem vykopnout, protoze lepsi to nebude.

Je tu samozrejme i ten druhej aspekt, sef, kterej netusi co jeho lidi delaj, proc to delaj a jak dlouho to tak trva, tudiz jedina jeho schopnost je hlidat pichacky.

Dotretice se v nasich luzich a hajich zacal stat do homeworku hrabat, tudiz ocekavam hromadne ruseni tyhle moznosti.

2copbit: Na zivnost si musis rict +30% (minimalne) proti tomu, co bys chtel jako zamestnanec, abys na tom byl +- stejne - nemas dovolenou, nemas nemocenskou, ... S cim narazis je tvuj pozadavek na remote only, takhle to nefunguje. Zakaznici te chteji aspon cas od casu videt.