76
Server / Re:Může aplikace po spuštění smazat sama sebe?
« kdy: 02. 11. 2022, 12:07:42 »
Já ještě dodám, že jako ochrana to moc nefunguje, protože root může vyčíst paměť libovolného procesu nebo celého systému třeba v /proc/.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
77
Sítě / Re:Nastavení WireGuardu z mobilu na OpenWRT
« kdy: 25. 10. 2022, 15:53:11 »
Ano, modul v linuxovém jádře loguje do ring bufferu, který se pak prohlíží pomocí dmesg nebo journalctl. Zapíná se to takto:
Kód: [Vybrat]
# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control78
Sítě / Re:Nastavení WireGuardu z mobilu na OpenWRT
« kdy: 25. 10. 2022, 11:04:49 »
AllowedIPs určuje, jaké adresy z toho tunelu mohou lézt. Zároveň to vytváří v místní směrovací tabulce příslušné záznamy, aby ty rozsahy byly posílány správně do tunelu.
Záleží tedy na tom, jaké sítě za tím tunelem jsou, ty všechny je potřeba na protistraně povolit. Jinak tím tunelem provoz neprojde, protože ho na příjmu WireGuard zahodí, jelikož zdrojové adresy nejsou mezi povolenými.
Příklad: pokud jsem klient a na druhé straně mám i firemní síť 10.20.30.0/24, tak ji musím mít u sebe u příslušného partnera v allowed. Jinak s tou sítí nebudu komunikovat. Dá se tam samozřejmě uvádět víc různých sítí, což povolí další rozsahy a vytvoří příslušný počet rout v tabulce.
Záleží tedy na tom, jaké sítě za tím tunelem jsou, ty všechny je potřeba na protistraně povolit. Jinak tím tunelem provoz neprojde, protože ho na příjmu WireGuard zahodí, jelikož zdrojové adresy nejsou mezi povolenými.
Příklad: pokud jsem klient a na druhé straně mám i firemní síť 10.20.30.0/24, tak ji musím mít u sebe u příslušného partnera v allowed. Jinak s tou sítí nebudu komunikovat. Dá se tam samozřejmě uvádět víc různých sítí, což povolí další rozsahy a vytvoří příslušný počet rout v tabulce.
79
O serveru Root.cz / Re:Problémy s přihlášení na forum přes MojeID
« kdy: 25. 10. 2022, 10:59:50 »
Dobrá zpráva: dostal jsem informaci, že se firma bude mojeID víc věnovat, což se dotkne i fóra. Mělo by to tedy být napraveno, bohužel neumím říct, kdy to bude.
80
Sítě / Re:Nastavení WireGuardu z mobilu na OpenWRT
« kdy: 24. 10. 2022, 22:45:40 »
Podle těch nul u síťového rozhraní se to ani nespojilo. Problém bude ve špatné konfiguraci protistran, jak píše Martin, musíme vidět, jak vypadají protistrany na Turrisu. V první řadě je potřeba překontrolovat znovu veřejné klíče obou stran, stejně jako povolené IP adresy. Ty adresy musejí sedět k tomu, co budou jednotliví partneři skutečně odesílat, protože WireGuard po přijetí a vybalení zkontroluje, že odchozí adresy odpovídají. Pokud ne, tak je komunikace zahozena.
81
O serveru Root.cz / Re:Problémy s přihlášení na forum přes MojeID
« kdy: 24. 10. 2022, 22:37:46 »
Problém je, že je to dlouhodobě rozbité a není vůle to opravit, protože by to nebylo jednoduché a nakonec by to zřejmě použily jednotky lidí. Zkusil jsem se na to znovu po letech zeptat kompetentních lidí, tak uvidíme, jaká bude reakce.
82
Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost
« kdy: 21. 10. 2022, 10:51:31 »
Prosím, abyste se vrátili k tématu, kterým rozhodně není hodnocení ostatních diskutujících. Řešíme tu bezpečnost sítě s veřejnou adresou.
Faktem je, že NAT není žádná ochrana a bez správně nastaveného paket filtru to nebude bezpečné s veřejnou adresou ani bez ní. Hlavně za privátní adresou v síti poskytovatele nemáte žádnou jistotu, že to má poskytovatel nakonfigurované správně. Každopádně je rozumné mít vlastní filtrační řešení, kterému ale zase musíte rozumět a správně ho nastavit. Zkušenosti z praxe nám každopádně ukazují, že ukrytí za devatero naty nevyřeší mávnutím kouzelného proutku problémy na koncových uživatelských stanicích. Jak psal Filip, dnes se útočí jinak, útočníci se samozřejmě přizpůsobili stavu současných sítí.
Faktem je, že NAT není žádná ochrana a bez správně nastaveného paket filtru to nebude bezpečné s veřejnou adresou ani bez ní. Hlavně za privátní adresou v síti poskytovatele nemáte žádnou jistotu, že to má poskytovatel nakonfigurované správně. Každopádně je rozumné mít vlastní filtrační řešení, kterému ale zase musíte rozumět a správně ho nastavit. Zkušenosti z praxe nám každopádně ukazují, že ukrytí za devatero naty nevyřeší mávnutím kouzelného proutku problémy na koncových uživatelských stanicích. Jak psal Filip, dnes se útočí jinak, útočníci se samozřejmě přizpůsobili stavu současných sítí.
83
Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost
« kdy: 21. 10. 2022, 09:39:51 »
Editoval jsem původní příspěvek a připsal jsem tam varován, pokud by to někomu vadilo. Ale v principu to může nepozorovaně dělat i web, který právě čtete.
84
Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost
« kdy: 21. 10. 2022, 09:25:05 »
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu. Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.
85
Distribuce / Re:V Debianu nefunguje taskset time příkaz
« kdy: 20. 10. 2022, 20:20:54 »
Příkaz time je zabudovaným příkazem Bashe (viz příkaz help). Po spuštění se taskset snaží spustit na disku soubor time, ale ten pochopitelně neexistuje. Řešením je nainstalovat si balíček time, který ten soubor do systému doplní. Viz:
Kód: [Vybrat]
# which time
# apt install time
# which time
/usr/bin/time
86
O serveru Root.cz / Re:Reklama Sika
« kdy: 20. 10. 2022, 20:14:12 »
Díky, nahlášeno. Kolegové se na to zítra podívají.
87
Sítě / Re:Síťařský žargon
« kdy: 16. 10. 2022, 22:01:31 »
Zrovna tento týden vyšel článek, ve kterém je to celé pěkně popsané: Sám sobě poskytovatelem aneb jak jsme se stali autonomním systémem
88
Hardware / Re:Doporučte Zigbee relé
« kdy: 11. 10. 2022, 14:08:03 »
Přesně tohle jsem o víkendu řešil v garáži 
Koupil jsem Zigbee relé ZigBee 5V/7-32V + RF. To samé mám v motoru u pojezdové brány a mám s ním výborné zkušenosti. Není třeba z toho vyndávat žádná tlačítka, elektronika těch motorů má na sobě vždycky nějakou patici, ze které je možné vytáhnout napájení pro to relé a kontakty pro spínání. Čtyři dráty a je hotovo.
Koupil jsem Zigbee relé ZigBee 5V/7-32V + RF. To samé mám v motoru u pojezdové brány a mám s ním výborné zkušenosti. Není třeba z toho vyndávat žádná tlačítka, elektronika těch motorů má na sobě vždycky nějakou patici, ze které je možné vytáhnout napájení pro to relé a kontakty pro spínání. Čtyři dráty a je hotovo.
90
Sítě / Re:WireGuard a funkce AllowedIPs
« kdy: 10. 10. 2022, 16:44:26 »
Ještě je potřeba ověřit, že nedošlo ke kolizi IP rozsahů. Každé to zařízení má minimálně dvě síťová rozhraní: skutečnou okolní síť a rozhraní WireGuardu. V žádné z těch sítí se nesmí používat stejné rozsahy, aby bylo směrování jednoznačné. Otázka tedy zní: nemá ještě jiné síťové rozhraní (třeba síť kolem MikroTiku) také rozsah 10.8.0.0/24? Pak se rozbije směrování a router neví, kam poslat provoz pro tento rozsah.
Odpovídalo by to popsanému chování, ale my máme pořád málo informací o okolní síti. Většina problémů s VPN nesouvisí přímo s tunelováním provozu, ale s nesprávně nastaveným směrováním provozu.
S čímž souvisí i to, že příkaz ip nemá nic společného s IPtables. Příkazem ip se právě konfiguruje síťování v Linuxu, včetně směrovacích pravidel.
Odpovídalo by to popsanému chování, ale my máme pořád málo informací o okolní síti. Většina problémů s VPN nesouvisí přímo s tunelováním provozu, ale s nesprávně nastaveným směrováním provozu.
S čímž souvisí i to, že příkaz ip nemá nic společného s IPtables. Příkazem ip se právě konfiguruje síťování v Linuxu, včetně směrovacích pravidel.
