Příspěvky

361

Odkladiště / Re:Argumenty bezpečnosti open-source

« kdy: 28. 04. 2020, 10:37:16 »

Mnohem lepší argument je, že open source vyvíjí spousta firem a má na tom postavený byznys. Třeba IBM (vlastník Red Hatu), SUSE, Canonical a spousta dalších. Oni mají stejný zájem na bezpečnosti jako zmíněný Microsoft, který mimochodem taky přispívá do spousty open-source projektů. Navíc všichni spolupracují a stačí to opravit jednou pro všechny.

362

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 20. 04. 2020, 16:30:34 »

Je lepší se to učit rovnou pořádně a bez if. Je těžké se později takovou věc odnaučit. Proto to na školeních rovnou učím dobře od začátku.

Já v produkci všude používám klienta ACME.sh a jsem s ním velmi spokojený. Dehydrated je podle všeho ale také velmi dobře použitelný.

Rozhodně jsem v tomto ohledu přítelem jednoduchosti: aby to umělo všechny vlastnosti protokolu ACME a aby to nesahalo pokud možno nikam okolo. Já třeba ACME.sh pouštím v separátním uživatelském účtu, který nemá žádná práva a rozhodně mi nemůže nic překonfigurovávat.

363

Sítě / Re:Nadstavba ping - určení směru neprostupnosti

« kdy: 20. 04. 2020, 12:27:49 »

To mu sice píše, ale to neřeší odpověď na otázku, jestli se ztratil už dotaz nebo až odpověď. Pivotal ale vymýšlí paralelní řešení, které by to umožnilo odhalit. Nejlepší cestu podle mě navrhuje Jenda: přihlásit se po SSH na cíl (tady je to TCP) a sledovat naživo, jestli tam ty ICMP pakety doputují nebo ne.

364

Distribuce / Re:Firefox v Debianu ignoruje lokalizaci

« kdy: 20. 04. 2020, 09:52:56 »

V Debianu není žádný balíček firefox-l10n-cs. Když jsem pokusně do čisté instalace nainstaloval balíčky firefox-esr a firefox-esr-l10n-cs, stačilo v Nastavení v hlavní nabídce Obecné vybrat jako jazyk Czech. Přepnulo se mi to podle očekávání.

365

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 20. 04. 2020, 09:20:03 »

Vyzkoušel jsem to na čisté instalaci a je to skutečně tím ipv6only=on. Stačí to vyhodit a chyba s duplicitním listen zmizí.

Mimochodem ta přesměrování pomocí if jsou ošklivá a je to silně nedoporučovaný postup. Vím, že to psal Certbot. Doporučuji zvolit jiného ACME klienta a napsat si tu konfiguraci správně.

366

Software / Re:Firefox nepřehrává stream na Kinoart.cz

« kdy: 18. 04. 2020, 18:52:41 »

Potvrzují funkčnost, Firefox 75, Debian 10 64bitů.

Doporučuji to zkusit s čistým profilem, bez doplňků.

367

/dev/null / Re:Má smysl se distancovat od SystemD?

« kdy: 18. 04. 2020, 16:17:22 »

Když se někdo musí takhle ptát, pak zřejmě nemá vlastní názor, protože nemá skutečný problém. Odpověď zní: pokud neexistuje žádný skutečný a vážný problém, nemá smysl ho řešit a hledat alternativy.

368

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 18. 04. 2020, 00:27:30 »

Skutečně tomu není možné zabránit, prohlížeč prostě očekává zcela validní odpověď, se správným certifikátem na správné doménové jméno. Což není splněno, tím pádem je vyvolána v prohlížeči chyba. Co by někdy potom ukázal nginx je irelevantní, tam se ani nedostaneme. Doporučuji tam nastavit nějakou stránku s chybovým HTTP kódem, aby při výpadku správného hosta monitoring zaječel, že přijíždí chybová stránka.

Pro ten druhý problém bychom museli vidět celý konfigurák, jak jej vypíše nginx -T, tedy včetně rozbalení všech include. Jsou to opravdu jediné volby listen v té sekci server? Mimochodem volba ipv6only=on je zbytečná, ve výchozím stavu se to i bez ní chová správně a pokud je tahle volba zopakovaná pro jedno rozhraní na více místech, ječí to taky chybu o duplicitě.

369

O serveru Root.cz / Re:Místní fórum – uživatelská blokace některých uživatelů

« kdy: 13. 04. 2020, 23:56:48 »

To je celkem složitý problém, protože fórum je jedna věc a export na titulní stranu je věc jiná. Ten export je úplně nezávislý kus kódu, který jednou za periodu sáhne do DB, vytáhne si nejaktivnější témata a vysype je na titulku. Nedá se to nijak personalizovat, je to prostě jen výpis. Předpokládám, že právě o titulku ti ale jde.

Slíbuju, že budu Pivotala víc krotit, když si tu z toho dělá vyhledávač. Musím ale oceňovat zdejší osazenstvo, že se mu v drtivé většině případů snaží opravdu pomoct. Opravdu díky všem. Ono je to totiž: jednou napsat, tisíckrát číst. Odpovědi nejsou jen pro něj, ale i pro další čtenáře, kteří se třeba kolikrát ani neozvou a z odpovědí se dozvědí zajímavé věci.

370

/dev/null / Re:Poštovní server - nutné něco kolem DNS(MX) řešit u ISP

« kdy: 13. 04. 2020, 16:06:25 »

Na tohle téma je na internetu spousta dokumentace. Nepleť si fórum s Googlem. Nejdřív hledej a studuj.

371

O serveru Root.cz / Re:seriál o nftables

« kdy: 12. 04. 2020, 13:07:24 »

Zatím ten článek neexistuje. Mám samozřejmě v plánu pokračovat, ale zatím jsem se k tomu nedostal. Neumím teď říct, kdy to přesně bude.

372

Server / Re:DNS over HTTPS resolver howto?

« kdy: 07. 04. 2020, 22:13:09 »

Knot Resolver je rekurzivní server. Je to jiný software než autoritativní Knot.

373

Software / Re:Firefox neprojde přes HTTPS login MikroTiku

« kdy: 06. 04. 2020, 18:05:31 »

HSTS je pravděpodobně správná odpověď. Ovšem HSTS se prohlížeč naučí jen v případě, že přijde na server s důvěryhodným certifikátem, což se tady nestalo. Takže se HSTS nemohl naučit přímo z MikroTiku.

Pravděpodobně je ale HSTS na nadřazené doméně a je tam parametr includeSubdomains. Pak se to přenese i na domény vyššího řádu, kde zřejmě běží ten MikroTik.

Řešením je v takové situace jedině nasazení správného důvěryhodného certifikátu, třeba od Let's Encrypt.

374

Software / Re:Kde najít přesnou formu spuštěného programu?

« kdy: 02. 04. 2020, 13:38:15 »

V paměti procesů už původní podoba příkazové řádky není, protože před spuštěním procesu se stane spousta věcí. Zejména do toho zasahuje shell, který provede expanze, nahrazení, interpretaci proměnných a podobně. Navíc jeden odeslaný řádek běžně vyvolává spuštění více procesů nebo subshellů.

Takže jediný, kdo zná podobu zapsaného příkazu na řádku je shell a ten si ho dá do své historie, odkud se dá získat.

375

O serveru Root.cz / Re:Instalujeme WireGuard: návod pro VPN na distribuci Debian

« kdy: 31. 03. 2020, 21:07:53 »

Já jsem autorem článku. Zpětně články neměníme, jsou platné ke dnu vydání. Tohle by se dalo napsat znovu, ale to je spíš na zprávičku než na celý nový článek. Podívám se na to a zkusím o tom někam něco napsat.