-
Fototrend
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
bambano
titán
válasz
Shyciii
#32630
üzenetére
Mit kell rajta nézni?
A rackelhető pc nem nagy durranás, millió megoldás létezik rá.
Másrészt attól, hogy egy pc-ből erősebb routert lehet összerakni, mint egy mikrotik, attól még egy kisvállalat használhat olyan mikrotiket, ami számára elég teljesítményű.Nekem itthon két rackem van... na és?
-
bambano
titán
válasz
Shyciii
#32565
üzenetére
el tudod magyarázni nekem, hogy hogyan fektetsz meg egy otthoni nast úgy, hogy nincs előtte tűzfal, de nat mögött van (mint manapság gyakorlatilag minden otthoni gép)?
egyébként megnyugodhatsz, egy normális pcnek mindegy, hogy ip- vagy nftables, mindkettőt elviszi szokásos otthoni internet kapcsolatot feltételezve. sőt, azt is ki merem jelenteni, hogy hálókártyától, drivertől is mindentől függetlenül az otthoni pc elé állított (például) huawei vagy tplink dobozka sokkal hamarabb adja fel, mint a mögötte levő pc.
nyugodj meg, arra, hogy átlag béla beírja az ő három darab tűzfal szabályát a kernelbe, teljesen megfelelő az iptables is, mint ahogy az eredeti állítás volt.
azt javaslom figyelembe venni, hogy itt senki nem diktál. még te sem.
-
válasz
Shyciii
#32565
üzenetére
Oké, mivel szemmel láthatóan erőlteted, hogy magas lóról oszd az észt, hasonló stílusban válaszolok.
Szervert nem szoftveres tűzfallal védünk elsősorban, hanem hardveressel. Ha kell az otthoni szerver, tegyél elé rendes eszközt: Bitdefender, WatchGuard, Mikrotik, Netgear - és akkor nem probléma, hogy az iptables kicsit többet eszik a CPU-dból, mint az nftables.
Ez egy. Kettő: ha a te otthoni hálózatodat DOS/DDOS-olják, akkor nincs az a szoftveres tűzfal, amivel talpon maradsz - nftables-szel sem. Az xmas TCP floodot is illik felismernie egy korrekt hardveres eszköznek. Nem mellesleg az ISP-d is érdekelt abban, hogy megállítson egy ilyen támadást.
Egyáltalán maga a feltételezés hogy egy tűzfal, vagy bármilyen biztonsági eszköznél nem számít a performance...ez nagyon az úristen kategória.
Ad egy, olyan dolgokat tulajdonítasz nekem, amit nem mondtam. Ad kettő: otthoni környzetben lásd fentebb.
Bocs, de pont ezért nem válaszoltam értelmesen, mert ez a dőlt betűs részed borzalmasan leírja, hogy mi a véleményed a biztonságról, és a hozzá kapcsolódó technológiáról, és működéséről. Amivel nem is lenne baj, csak akkor nem feltétlenül neked kellene diktálnod ebben a kérdésben, főleg nem egy haladó topicban.
Maradjunk inkább annyiban, hogy azért nem válaszoltál értelmesen, mert fingod sincs erről, FUD-olsz. Azt meg végképp nem neked kell bizonyítanom, mi az én hozzáállásom a cyber security-hez. Vannak, akiknek a véleményére adok, de momentán te nem tartozol közéjük. Tanácsot kértek, adtam, de nem diktáltam senkinek sem - mindenki úgy védi meg magát, ahogy a szája ízének, vagy a rizikótűrő képességének megfelel.
Részemről itt ez befejezve, ha folytatni akarod, hozzál nekem egy friss CVE-t, 0day-t, vagy egy működő POC-ot arra, hogy az iptables nem biztonságos egy up-to-date Debian stable-ön.
-
válasz
Shyciii
#32559
üzenetére
Már akkor téma volt az nftables, amikor Debian 10-et raktam a 9-es után... Mi több, 2014 óta van kernel támogatása, mégsem mainstream.
Értem, hogy az iptables nem skálázódik jól, esetleg lehetnek vele performance problémák (a mai hw környezetben ez tényleg számít?), de hogy jön ide a biztonság? -
válasz
Shyciii
#31517
üzenetére
persze, simán.
én pl az otthoni UPS-emhez állítottam be pont nemrég, hogy áramszünet (vagy bármi más kezelt esemény) esetén küldjön egy emailt.
Debianon
msmtp-t használok, mellette még amailxés as-nailvan feltelepítve, így a mail parancs az msmtp-n keresztül fogja küldeni az üzenetet.pl gmailen keresztüli üzenetküldéshez annyi kell, hogy létrehozod az
/etc/msmtprcfájlt a következő tartalommal:defaults
auth on
tls on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile ~/.msmtp.log
account gmail
host smtp.gmail.com
port 587
from FeladóSzépenFormázottNeve
user emailCím
password Jelszó
account default : gmail
ennyi
(illetve a Google-fiókban kapcsold be a Kevésbé biztonságos alkalmazások hozzáférését)aztán üzenetet pedig pl a következő paranccsal küldesz
echo "Az üzenet" | mail -s "Tárgy" címzett@domain.tld -
#30796
fatpingvin
addikt
Shyciii
#30795
fatpingvin
addikt
válasz
Shyciii
#30795
üzenetére
tudod mi ezzel a baj, alapvetően nincs olyan hogy elgépelt parancs, legalábbis a gép szemszögéből.
az hogy valamit nem talál a default $PATH ban az nem jelenti hogy invalid parancs lenne.
példa: /home/$USER/myscripp.sh, executable
./myscripp.sh ez ugye egy valid parancs lesz ha a /home/$USER/ könyvtárban állok. namost cd Documents, és máris nem az hacsak nincs egy ugyanilyen nevű scripp a Documentsben.
esetleg ezzel lehet érdemes próbálkozni, csak ugye ezzel is valszeg ugyanaz lesz a probléma:command -v <$PARANCSAMIREKIVANCSIVAGY>
további cucc amit találtam SO-n: https://stackoverflow.com/questions/592620/how-can-i-check-if-a-program-exists-from-a-bash-script -
f_sanyee
senior tag
válasz
Shyciii
#30046
üzenetére
Nekem van ilyen itthon, de az OS-t ami az rpi-n fut, azt buildroottal csináltam. Raspbian mindig belehalt a boot-ba, valamikor udev trigger környékén.
Szóval kell a futó serverre egy TFTPd amiröl elindul majd a boot, valamint egy DHCP server, amivel megmondod az rpi-nek, hogy honnan bootoljon, maga az OS pedig NFS root-ról indul.
ISC dhcpd esetén ez nálam így néz ki:
host rpi { hardware ethernet aa:bb:cc:dd:ee:ff; <--- rpi mac address fixed-address 192.168.0.7; <--- rpi IP, NFS serveren ennek legyen exportolva a root option vendor-encapsulated-options "Raspberry Pi Boot"; <-- e nékül nem szeret next-server 192.168.0.2; <-- TFTP server IP cime option root-path "192.168.0.2:/nfsroot/rpi"; <--- root path, bár ez talán nem szükséges, majd kipróbálom. server-name "rpi.home.local"; }TFTP-n kell egy könyvtár az rpi egyedi azonosítójával, amit több módon kideríthetsz, pl tcpdump, vagy megnézed a TFTP server logjait, hogy melyik fileokat akarta letölteni.
ebbe a könyvtárba megy majd a /boot tartalma amit kiszedhetsz egy imageből:
#parted 2019-09-26-raspbian-buster-lite.img u b p Model: (file) Disk /root/raspbian/2019-09-26-raspbian-buster-lite.img: 2248146944B Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End Size Type File system Flags 1 4194304B 272629759B 268435456B primary fat32 lba 2 272629760B 2248146943B 1975517184B primary ext4 [root@hpms raspbian]# mount -o loop,offset=4194304 2019-07-10-raspbian-buster-lite.img /mnt [root@hpms raspbian]# ls -l /mnt/ total 39510 -rwxr-xr-x. 1 root root 23946 Jul 8 2019 bcm2708-rpi-b.dtb -rwxr-xr-x. 1 root root 24205 Jul 8 2019 bcm2708-rpi-b-plus.dtb -rwxr-xr-x. 1 root root 23723 Jul 8 2019 bcm2708-rpi-cm.dtb -rwxr-xr-x. 1 root root 23671 Jul 8 2019 bcm2708-rpi-zero.dtb -rwxr-xr-x. 1 root root 24407 Jul 8 2019 bcm2708-rpi-zero-w.dtb -rwxr-xr-x. 1 root root 25293 Jul 8 2019 bcm2709-rpi-2-b.dtb -rwxr-xr-x. 1 root root 26463 Jul 8 2019 bcm2710-rpi-3-b.dtb -rwxr-xr-x. 1 root root 27082 Jul 8 2019 bcm2710-rpi-3-b-plus.dtb -rwxr-xr-x. 1 root root 25261 Jul 8 2019 bcm2710-rpi-cm3.dtb -rwxr-xr-x. 1 root root 40284 Jul 8 2019 bcm2711-rpi-4-b.dtb -rwxr-xr-x. 1 root root 52296 Jun 24 2019 bootcode.bin -rwxr-xr-x. 1 root root 190 Jul 10 2019 cmdline.txt -rwxr-xr-x. 1 root root 1735 Jul 10 2019 config.txt...
hasonlóképpen mountolhatod a másik particiót is.
a cmdline.txt-ben kell megadni az nfsroot-ot, valamint a kliens ip-t, amit itt dhcp:enable_uart=1 dwc_otg.lpm_enable=0 console=tty1 console=ttyAMA0,115200 root=/dev/nfs nfsroot=192.168.0.2:/nfsroot/rpi,tcp,vers=4 rw ip=dhcp elevator=deadline rootwait
az egész / pedig a /nfsroot/rpi-ből van megosztva nálam.szerk: bocs, a formázás nem annyira jött össze.
Új hozzászólás Aktív témák
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
- Adobe Előfizetések - Adobe Creative Cloud All Apps - 12 Hónap - NYÁRI AKCIÓ!
- Eladó steam/ubisoft/EA/stb. kulcsok Bank/Revolut/Wise (EUR, USD, crypto OK)
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: PC Trade Systems Kft.
Város: Szeged