Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.
Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.
Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.
Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 24.05.0 editoru videa Kdenlive (Wikipedie). Ke stažení brzy také na Flathubu.
David Revoy, autor mj. komiksu Pepper&Carrot, se rozepsal o své aktuální grafické pracovní stanici: Debian 12 Bookworm, okenní systém X11, KDE Plasma 5.27, …
Wayland (Wikipedie) byl vydán ve verzi 1.23.0. Z novinek lze vypíchnout podporu OpenBSD.
Craig Loewen na blogu Microsoftu představil novinky ve Windows Subsystému pro Linux (WSL). Vypíchnout lze GUI aplikaci pro nastavování WSL nebo správu WSL z Dev Home.
V sobotu 1. června lze navštívit Maker Faire Ostrava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Webový server Caddy (Wikipedie) s celou řadou zajímavých vlastností byl vydán ve verzi 2.8 (𝕏). Přehled novinek na GitHubu.
Byla vydána verze 3.0 (@, 𝕏) svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.
Stejné dns jméno pro komunikaci na interní síti i na veřejné. Tj. v interní síti se přes "sluzba.corp.domena.cz" dostaneme na web serveru 192.168.1.1
Z veřejné sítě se dostaneme přes "sluzba.corp.domena.cz" na veřejnou IP (třeba i s port forwardem) na ten stejný server / stejnou službu.
Pokud nemáme k dispozici dns API (nebo neumíme emulovat editování txt přes web interface), tak jediné rozumné ověření v současné době je přes "http-01", tj. server, kde generujeme žádost, musí být přístupný z venku. Resp. musí být přístupný ověřovací klíč/acme žádost v kombinaci s dns jménem. V tomto případě pak vypadá Split DNS jako nezbytnost.
Pokud je nějaký web dostupný jen z interní sítě, tak by i nebylo špatné informovat uživatele o tom, že se na něj dostanou jen z VPN. Tzn., pokud zadají url z veřejné sítě a nejsou na vpn, dostanou hlášku, ať se na vpn připojí.
Zkusil jsem nasadit Split DNS právě kvůli LetsEncrypt, ale i kvůli informační hlášce a kvůli tomu, že nějaké aplikace jsou dostupné jak z interní sítě, tak z veřejné a nechci dělat uživatelům zmatek s různými dns jmény. Velký problém je ale dns cache. Uživatel není na vpn, otevře web, zjistí z hlášky, že musí na vpn, tak se přihlásí, ale stále se mu adresa překládá s veřejnou IP, prostě se tahá z cache.
Windows mají by default službu, která si dělá dns cache. Dále Chrome je v tomto ještě horší, protože má v sobě vlastní mechanismus a drží si vlastní dns cache. Nicméně ta by měla být maximálně 1min (chrome://net-internals/#dns ), nicméně má další fce, které zřejmě občas ignorují nastavené dns v systému. Jednou z těch fcí je u mobilní app "Async DNS resolver" (chrome://flags), v desktop verzi se to jmenuje "preconnect predictor". Další fce v mobilní app je "spořič dat". Dokud neexistuje pro jméno veřejné dns, tak se o těchto fcí člověk nedozví, ale jakmile se dns záznam vytvoří, tak se postupně začnou všechny možné super cool featurky ozývat.
V kombinaci s BYOD je řešení nějaké cache docela blbě řešitelné. Zkusil jsem to nahodit jako FAQ v error hlášce, ozvalo se asi 10 lidí z 300 a postupně se vše vyřešilo a FAQ upravilo. Nicméně toto nevypadá jako ideální cesta. Možná to půjde, možná ne.
Proto přemýšlím, zda touto cestou jít, nebo se na to vykašlat, požádat si o 2r. wildcard cert od nějaké CA, držet ho na jednom místě na jednom proxy serveru a finýto. A zbytek věcí neřešit.
Jak jste na tom vy? Používáte někdo Split DNS? Případně pokud ano, jak řešíte dns cache a problémy s tím spojené? Nebo všechno máte přístupné i z venku a tak je vám jedno, jak se dns přeloží?
Zdar MaxTiskni Sdílej:
V praci pouzivame velku reverznu proxy, cez ktoru ide pristup k internym serverom a jej IP je vystavena v DNS zaznamoch. Tie su verejne. Ked niekto pristupuje z firmy z 802.1x autorizovaneho ethernet portu, tak sa nemusi dalej overovat. Inak sa k proxy overuje klientskym certifikatom alebo menom a heslom a podla kombinacie overenia dostane pristup.
Proxy vynucuje https a ma wildcard certifikat pre vsetky interne domeny. Celkovo je to jednoduche, umoznuje to kontrolovany a bezpecny pristup aj bez VPN.
Verejny popis: https://ai.google/research/pubs/pub43231
Používáte někdo Split DNS?Nie. Čo tak firemná Android/iOS appka aby to bolo userfriendly aj spolahlivé. Na desktope NWjs aplikácia.
Jo, normálně to používám.
Historicky to byl trochu opruz zmínit každému uživateli, že pokud chce jít na server, musí si nejdříve pustit VPNku, ale kupodivu to nezpůsobovalo ani moc problémů. Respektive si nyní nevybavuji jediný. Jen jsem to holt všem novým uživatelům prostě důrazně zmínil.
Jelikož používám víceméně výhradně OpenVPN, tak mně to již nepálí, neboť od nějaké doby mají pro Windows klienta parametr, aby vyprázdil cache při připojení. Na Linuxu to dělá NetworkManager automaticky a z mobilů se zatím nikdo nepřipojuje, takže nevím jak to tam funguje.
Ovšem výše uvedený nápad s routováním veřejných adres zní zajímavě. Také nad tím popřemýšlím :)
fd00::...
).