Příspěvky

211

Sítě / Re:Jak reklamovat připojení k internetu?

« kdy: 08. 11. 2021, 23:05:05 »

Setkal jsem se s podobným chováním, poskytovatel taky tvrdil, že nic neomezuje. Nakonec jsem ho přesvědčil, ať vyšle technika, který skutečně měřením zjistil, že je omezen tok na UDP. Projevovalo se to právě na tunelech a VPN, které jedou obvykle přes UDP. Technik zjistil, že je tam jasný ostrý ořez na 1 Mbit/s. Dokázali to pak dohledat a omezení odstranit.

Takže bych provedl měření pomocí iperf, vyzkoušel různé varianty a zaměřil se právě na to UDP. S reálnými daty je pak možné jít za poskytovatelem a ukázat mu, kde je konkrétní problém a že to není výmysl.

212

Odkladiště / Re:Výpadek serveru ABClinuxu.cz

« kdy: 28. 10. 2021, 23:05:41 »

Už to zjevně funguje, asi nějaký dočasný výpadek na DNS.

213

Bazar / Re:Prodám servery Fujitsu RX200 S7 vč. ližin

« kdy: 21. 10. 2021, 12:27:09 »

Ližiny se píší s měkkým i, není to slovo příbuzné ke slovu lyže. Opravil jsem.

214

Hardware / Re:Čistý Android za ~150€

« kdy: 14. 10. 2021, 10:14:25 »

Máme teď v rodině čerstvě Nokia G20 a je to velmi použitelné zařízení s čistým Androidem (One).

215

O serveru Root.cz / Re:Autor David Ježek

« kdy: 13. 10. 2021, 13:36:02 »

Tak to vás zklamu, to jste si udělal chybný úsudek. Autoři nemoderují diskuse pod svými články, to dělá redakce. Na Davida sice taky někdy vyjde služba, ale nemoderuje pod vlastními texty. Takže váš dojem, že autor nesnese kritiku, je mylný. Obvykle je důvodem odstranění komentáře to, že jde buď o trolling nebo je komentář neuctivý či přímo urážlivý. Slušná diskuse nikomu nevadí.

216

Server / Re:hosts.deny a hosts.allow je ignorován

« kdy: 05. 10. 2021, 21:20:02 »

Takové snahy jsou marné, OpenSSH odstranilo podporu TCP wrappers ve verzi 6.7, tedy v roce 2014. Pokud má být port zavřený, pak pomůže jedině předřazený firewall.

217

O serveru Root.cz / Re:Vytváření témat redakcí

« kdy: 28. 09. 2021, 18:31:19 »

Mám paranoidní podezření na někoho z redakce, protože je to až příliš časté. Sebekriticky musím připustit že tyto specifická "témata = lákadla" docela přitahují pozornost a lidi do toho rádi píšou.

Tak to vám můžu říct, že opravdu neděláme. Asi před patnácti lety tu byla snaha otevírat cíleně některá témata, ale pod tím byla normálně podepsaná redakce a nefungovalo to. Udělat uměle vlákno, které by takhle zaujalo, je opravdu těžké.

218

Sítě / Re:Možnost výběru VPN tun/tap neomezená?

« kdy: 27. 09. 2021, 13:53:54 »

Tap není zkratka, ale je to prostě anglický výraz pro „kohoutek“.

Obecně to na principu použití nijak závislé není, protože režim VPN se řeší na jiné vrstvě. Výběr tun/tap se provádí nad VPN, která porušuje vrstvový model a přidává další transportní vrstvu.

Záleží ovšem na konkrétní implementaci VPN. Třeba OpenVPN na Androidu umí jen režim tun, stejně tak WireGuard běží jen na třetí vrstvě, i když přímo rozhraní tun nepoužívá (jen implementace WireGuard-Go). V drtivé většině případů je pro nasazení vhodnější režim tun.

219

Sítě / Re:Tunel SIT cez NAT

« kdy: 20. 09. 2021, 22:43:07 »

NAT musí samozřejmě rozumět protokolu a ten musí mít nějaký identifikátor, podle kterého je možné párovat pakety ke konkrétnímu provozu.

V případě ICMP je to jednoduché: Echo Reply Message (čili ping) má v hlavičce unikátní identifikátor, podle kterého si ho NAT spáruje. Další varianty (třeba Destination Unreachable) kopírují za hlavičku začátek paketu, na který reagují. Z něj pak NAT vyčte unikátní identifikátory (IP adresy, porty a protokol) pro párování. Viz RFC792.

220

/dev/null / Re:COVID očkovací certifikát

« kdy: 21. 07. 2021, 17:23:05 »

V tom QR kódu jsou všechny informace o očkování a také elektronický podpis. Viz velmi podrobný článek Jiřího Peterky na Lupě.

221

O serveru Root.cz / Re:Vyhladavanie

« kdy: 21. 06. 2021, 08:46:12 »

Bohužel to problém je. Před mnoha lety jsme to řešili neustále, vyhledávání bylo pořád tak nedokonalé, že jsme stejně všichni v redakci používali Google. Až se nakonec celé interní vyhledávání zahodilo a přešlo se právě na ten Google. Chápu, že to pro určité případy nemusí být ideální, ale nikdo nic chytřejšího nevymyslí.

222

O serveru Root.cz / Re:bug na root.cz s obrázky u článků

« kdy: 16. 06. 2021, 16:10:41 »

Pokud tomu dobře rozumím, jde o perexové obrázky u článků. Tedy kombajn u sklizně, Amigu u retro článků a podobně. Potřeboval bych více informací, třeba ověřit, proč se to někdy nenačte. Minimálně, jaká chyba je v konzoli prohlížeče nebo co ve stejnou chvíli způsobí ruční stažení toho obrázku pomocí curl. Bez toho s tím nebude schopen nikdo nic dělat.

223

Software / Re:ssh-agent pasphrase forwarding

« kdy: 16. 06. 2021, 16:08:49 »

1. Ano, klíče se při každém zapnutí počítače musejí do agenta znovu nahrát. Uživatel je dotázán na frázi a klíč je načten. Dá se to udělat automaticky při spuštění nebo třeba při prvním použití klíče. Klíč tam může být i omezenou dobu a agent ho třeba po osmi hodinách umí zapomenout. Takže ráno přijdete do práce, při prvním použití klíče se tento přenese do RAM a za osm hodin se zahodí.

2. Pokud se někdo stane pánem toho stroje, je jedno, jestli je klíč dešifrovaný v paměti pořád nebo mu ho tam dočasně dám, jakmile ten klíč budu příště potřebovat. V každém případě ten klíč získá. Nekompromitovaný stroj je v každém případě nutností. Jedinou skutečnou obranou proti kompromitaci je pak ten klíč oddělený v nějakém jiném hardware.

224

Software / Re:ssh-agent pasphrase forwarding

« kdy: 16. 06. 2021, 09:27:30 »

ssh-agent neukládá fráze, ale soukromé klíče. Ty jsou na disku uloženy v šifrované podobě a jsou zabezpečeny právě frází. Při každém použití klíče (přihlášení na server) se musí klíč dešifrovat = uživatel je požádán o zadání fráze. Protože to je nepohodlné, vznikl ssh-agent. Ten funguje jako softwarové úložiště klíčů v RAM, kde jsou klíče uloženy nešifrovaně a nevydávají se, ale agent je umí použít a vrátit SSH klientovi odpověď. Klient samotný (tedy program SSH) pak s klíči vůbec nepracuje a nechává to na agentovi.

Nahrát klíče na flešku nedává z bezpečnostního hlediska moc smysl, asi jste měl na mysli nějaký USB token, což ale není prosté úložiště, ale vlastně takový ssh-agent v hardware. Klíče se pak nedostávají vůbec do počítače, přes USB proudí jen požadavky na jejich použití.

225

Software / Re:Jak funguje LUKS keyfile a heslo?

« kdy: 14. 06. 2021, 12:05:05 »

LUKS má v hlavičce prostor pro klíče, může tam být až osm kopií klíče. Každá z nich může být chráněna jiným heslem nebo třeba žádným. Klíč se také může nacházet mimo tento prostor (klíčenku) a může se předávat ovladači bokem, což je právě používáno ve zmíněném návodu. Pokud je ten klíč běžně čitelný na disku, pak to skutečně není vůbec bezpečné a kdokoliv vyndá z počítače disk, tak si ten klíč přečte a data si dešifruje. Řešením je vykašlat se na ten soubor s klíčem a použít klíč uložený v hlavičce, který je zašifrovaný uživatelskou frází.