Poslední příspěvky

1

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od Filip Jirsák kdy Dnes v 09:37:43 »

To je isto pravda, ale to zariadenie dokáŽe pracovať samostatne aj bez toho serveru, takže sa len nepodarí nejaká operácia. Na to, aby som nenechal všetky zariadenia pracovať v tomto degradovanom režime, tak by mali zariadenia vždy inštalované 2 certifikáty. Jeden súčasne používaný a druhý jeho náhrada. Ak príde ku kompromitácii, vymením certifikát a zariadenia budú fungovať ďalej.
Tým som získal dostatok času na vytvorenie nového záložného certifikátu a postupné servisovanie zariadení pre výmenu starého kompromitovaného certifikátu za nový.

Tohle platí v případě, že přijedete o ten privátní klíč (např. se zničí token, kde je uložený). Pokud by došlo ke kompromitaci privátního klíče (tj. získal by ho někdo jiný), čas nemáte – protože i když vy začnete používat druhý klíč na serveru, úročník má k dispozici ten první kompromitovaný klíč, kterému ta zařízení stále důvěřují.

Proto jsem psal, že v tomto případě je potřeba mít dobře zabezpečený ten privátní klíč, ideálně na nějakém HSM nebo tokenu, odkud nejde vyexportovat. Aby se minimalizovalo riziko kompromitace privátního klíče. Protože ztrátu privátního klíče dokážete ošetřit tím, že zařízení bude důvěřovat většímu množství klíčů, ale kompromitaci takhle ošetřit nelze.

2

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od majvan kdy Dnes v 09:19:01 »

Když ten certifikát nebudete updatovat vůbec (resp. nebudete mít tu možnost), existuje riziko, že když dojde ke kompromitaci privátního klíče, nemáte jak to vyřešit – jak ta zařízení přesvědčit, aby kompromitovanému klíči nevěřila. Tj. ani tak nejde o to, že by s delším používáním rostlo riziko kompromitace, to není tak velký problém – podstatné je, že kdyby k tomu došlo, nemáte jak tu situaci vyřešit. (Maximálně můžete informovat všechny zákazníky, ať to zařízení přestanou používat a odpojí ho od sítě.)

To je isto pravda, ale to zariadenie dokáŽe pracovať samostatne aj bez toho serveru, takže sa len nepodarí nejaká operácia. Na to, aby som nenechal všetky zariadenia pracovať v tomto degradovanom režime, tak by mali zariadenia vždy inštalované 2 certifikáty. Jeden súčasne používaný a druhý jeho náhrada. Ak príde ku kompromitácii, vymením certifikát a zariadenia budú fungovať ďalej.
Tým som získal dostatok času na vytvorenie nového záložného certifikátu a postupné servisovanie zariadení pre výmenu starého kompromitovaného certifikátu za nový.

Pokud to zařízení nebude poslouchat na síti a bude jenom v roli klienta dvou známých protokolů (DNS a HTTPS), přičemž to HTTPS bude omezené na jeden server pod kontrolou poskytovatele zařízení, je vektor útoku velmi malý. Takové zařízení bude podstatně bezpečnější, než pravidelně aktualizované zařízení, kde běží spousta služeb.

Presne tak. Príde mi, že vzdialený servis s možnosť patchovania celého systému, a teda možnosť úpravy celého FS, má oveľa väčšie riziko (severity * probability) ako kompromitácia https certifikátu.

3

Software / Re:Velmi pomalý grep

« Poslední příspěvek od Ink kdy Dnes v 09:13:45 »

Chápu, že jde o nevyžádanou radu a nevím, nakolik to na Tvé platformě je možné, ale zkusil jsi nepoužít grep a nahradit ho něčím jiným? Kupř. ripgrep (musí mít --features 'pcre2') to na mém laptopu chroupe 22 ms a grep 7,6 s. To je dost zásadní rozdíl a důvod grep nepoužívat, pokud to je možné.

4

Server / Re:Obnova RAID 1

« Poslední příspěvek od lazywriter kdy Dnes v 08:38:04 »

U serveru, resp. disku, co 7 let běžel, bych byl opatrný i s tím zapínáním/vypínáním (chápu to tak, že v serveru není hotswap). IMHO by bylo bezpečnější jeden z těch nových disků připojit k jinému počítači (nebo i jen přes USB redukci), data na něj syncnout. A teprve pak vypínat server a připojovat druhý disk do RAIDU. Pak už standardně starý disk odebrat a záložní nový disk přidat do pole.

5

Sítě / Re:Výběr síťových prvků

« Poslední příspěvek od 🇺🇦 GPU kdy Dnes v 08:16:10 »

Data na zabezpečeném serveru jsou určitě lepší, než někde v kanclu pod stolem, kde se o to nikdo nestará, a může to odnést kdejaká smažka, které tam vleze oknem nebo přes rozkopanou sádrokartovou příčku.

Zejména u zdravotních dat jsou vysoké nároky na dostupnost dat, protože jakýkoli výpadek může oddálit vyšetření, která jsou pro mnoho pacientů otázkou život a smrti. A budovat DC na vlastní pěst je hodně drahá záležitost.

6

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od Filip Jirsák kdy Dnes v 08:11:25 »

A jak budes na read-only filesystemu resit patchovani exploitu?
Jen priklad, proc resis vec ktera roky nenastane. Ale exploitu vyjde mezitim hromada. Samozrejme nevim o jake zarizeni se jedna. Ale vsechno se da dneska reversnout a cim vic je to zarizeni uzavrenejsi tim vic zajimavejsi to je, pro urcitou skupinu lidi ;-)

Pokud to zařízení nebude poslouchat na síti a bude jenom v roli klienta dvou známých protokolů (DNS a HTTPS), přičemž to HTTPS bude omezené na jeden server pod kontrolou poskytovatele zařízení, je vektor útoku velmi malý. Takové zařízení bude podstatně bezpečnější, než pravidelně aktualizované zařízení, kde běží spousta služeb.

7

Server / Re:Obnova RAID 1

« Poslední příspěvek od David kdy Dnes v 07:45:53 »

Určitě nejprve záloha někam úplně jinam. Už se mi stalo, ze jsem pole synchronizoval z toho vadneho disku a prisel o data.

U ZFS bych pridal oba nové disky do 3-way (4-way) současného mirroru a po syncnuti staré disky odebral.

8

Hardware / Re:Nový monitor na práci vývojáře

« Poslední příspěvek od Lord_Pitzbudka kdy Dnes v 00:12:19 »

Predrecnik zcela konkretne osal
o nativnim rozliseni pisma. Coz je proste a jednoduse nesmysl.

Scaling neni zadna lupa. Pri pouziti scalingu jede monitor na svem nativnim rozliseni.

9

Hardware / Re:Nový monitor na práci vývojáře

« Poslední příspěvek od xoor kdy Dnes v 00:09:11 »

Předřečník jasně reagoval na to, že při použití lupy přijdeš o plochu a tedy je nejlepší použít nativní rozlišení s nativním scale 100% a máš si podle toho vybrat takový monitor. Stojíš si na vedení

10

Hardware / Re:Nový monitor na práci vývojáře

« Poslední příspěvek od Lord_Pitzbudka kdy 30. 09. 2024, 23:56:30 »

Nic ve zlym, ale ty jsi zjevne vubec nepochytil, jak tahle debata vznikla a na co jsem reagoval.

Tak jen pro “refresh” - reagoval jsem na tvrzeni predrecnika, ze si mas koupit monitor s nativnim rozliseni pisma. coz je ve dvacatych letech 21. stoleti zcela nesmyslna rada.

Uz se chytas?