Apple představil nový MacBook Pro s čipy M4, M4 Pro a M4 Max.
Na GOG.com běží Halloween Sale 2024. Při té příležitosti lze získat zdarma počítačovou hru Return of the Phantom.
Společnost OpenAI spustila internetový vyhledávač ChatGPT search.
Konference OpenAlt 2024 proběhne již tento víkend 2. a 3. listopadu v prostorách FIT VUT v Brně. Začíná ale už v pátek na warm-up party ve Studentském klubu u Kachničky v 17:00. Pokud jste ještě areál FITu nenavštívili, k dispozici jsou pokyny k orientaci. Na programu je 54 přednášek a workshopů. Témata jsou od silně technických témat jako je třeba GCC nebo PostgreSQL po méně technické témata jako eGovernment, nebo třeba detailní analýzu … více »
Byla vydána nová verze 6.9 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 14.0.1. Tor client na verzi 0.4.8.13. Thunderbird na verzi 115.16.0.
Vývojáři free a open source synchronizačního nástroje (a p2p náhrady Dropboxu) Syncthing oznámili, že z důvodu odporu ze strany Google Play ukončují podporu OS Android. Bohužel v rámci toho zmizí i vydání Syncthing na F-Droid, který má slabší uživatelskou základnu. Syncthing je na Androidu implementován formou wrapper aplikace, která spustí Syncthing démon, vyžádá potřebná oprávnění a zpřístupní webové rozhraní démona. Ve srovnání se
… více »V červnu 2022 bylo oznámeno, že z K-9 Mailu se stane Thunderbird pro Android. Trvalo to poněkud déle, než vývojáři předpokládali, ale včera byl první stabilní Thunderbird pro Android 8.0 vydán.
Projekt microDMG Racer na Kickstarteru nevyšel, tak se autor rozhodl uvolnit na ESP32 postavené autíčko i ovladač jako open source.
Byl vydán TrueNAS SCALE 24.10 „Electric Eel“. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Byla vydána nová verze 24.10.29 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nově s podporou AI (whisper.cpp) pro generování titulků. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.
Zazil jsem dobu...... a ta doba je za námi. Pokud to vašim uživatelům stačí, budiž. Pokud to jako správci těch služeb stačí vám, nejste dobrý správce, protože nenabízíte to nejlepší, co lze stejně snadno nabídnout. (Což vám samozřejmě nemusí vadit, to je skutečně jen na vás a na tom, jak moc si ceníte pocitu dobře odvedené práce.)
Nevim proc bych nemel chtit, aby si lide maily stahovali. V terenu jim jsou na serveru k nicemu.Nemáte jediného uživatele, který by chtěl mít přístup k poště na telefonu i stolním počítači? Notebooku i počítači? Co znamená, že jsou v terénu na serveru k ničemu - není to náhodou, že neumíte nastavit poštovní klient, aby poštu synchronizoval na lokální úložiště?
Analogicky pro odesialni "brana.firma.cz", port 25To je špatně, pro odesílání se používá SMTP submission, porty 465 a 587 (dle TLS/STARTTLS). Port 25 bývá pro uživatele často blokovaný, protože přes něj lze posílat spam napřímo do serveru příjemce. (ale s problémem to nesouvisí)
Takze uzivatel si doma prenastavi Thunderbirda na 192.168.1.1, vyskoci na nej schvaleni vyjimky, ze server je "192.168.1.1" ale certifikat je na "brana.firma.cz", on to schvali a jsme tam, kde jsme byli. Ma to nejake rozumne reseni?Ne. Můžeš mít zvlášť smtp.firma.cz a pop.firma.cz, přičemž to druhé bude mít 192.168.1.1. Thunderbird má úplně zvlášť přijímací a posílací server, takže pohoda. Ale to nefunguje pokud uživatelovo DNS dělá rebinding protection - což dělá OpenWRT v defaultu. (certifikát na doménu s 192.168.1.1 si vystavíš… no, asi přes DNS ověření u letsencrypt)
Zatim nemam odvahu povolovat pop3 i zvenku (ty lidi tam maji nastaveny fakt trapny hesla). Na druhou stranu smtp je otevrene do sveta a taky zijeme.Osobně si myslím že na SMTP se útočí mnohem víc, minimálně necílené útoky - protože to jde zneužívat pro spamy. Na pop se útočí cíleně, pokud chceš ukrást firemní knowhow (a nebo ho zašifrovat a chtít ransom, ale lidi ty maily asi budou mít stažené u sebe) Jinak doporučuju implementovat limit počtu mailů na jednoho uživatele. Existuje na to postfwd, ale bylo to příšerné. Ale jde to snad snadno naskriptovat úplně from scratch:
dáš do konfigurace postfixu smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10040 na ten port ti pak s každým mailem přijde sender=owner-postfix-users@postfix.org client_name=english-breakfast.cloud9.net client_address=168.100.1.7 sasl_username=xx (a další údaje) <prázdný řádek> ty na to odpovíš action=DUNNO resp. ACCEPT/DENY/REJECT(?) a počítáš kolik kdo poslal mailů - spammer → tisíce za hodinu. A pak odpovídáš REJECT a pošleš mail adminovi ať to řeší
Certifikáty se mají aktualizovat zcela automtaicky, každé cca 2 měsíce. (LetsEncrypt je obvykle vydává na 3 měsíce, takže 2 měsíce jsou tak akorát s nějakým prostorem pro řešení neobvyklých situací, nastanou-li zpočátku nějaké.)
Tohle^^^ všechno samozřejmě musí být zcela automatizované, jinak je to děsivý opruz, na který bude správce soustavně zapomínat. Nejjednodušší implementace je třeba nějaký systemd timer, který se každý den podívá, jestli by se „stavový stroj“ pro rotaci klíčů nedal posunout o kousek dál. Například: Tady máme už týden publikovaný nový klíč v TLSA, pojďme nasadit nový klíč na serveru. Tuhle zase máme už týden nový klíč na serveru, pojďme odstranit starý klíč z TLSA. A onde zase máme už 8 týdnů stabilně stejný certifikát, pojďme si od LetsEncrypt vyžádat nový. Atd. atp.
Další podobný mechanismus rotace by měl být taky pro DKIM klíče a DKIM záznamy. Obvykle se DKIM záznamy číslují (a můžou se jmenovat libovolně, protože odkaz na DKIM záznam je v mailech samotných) a nechávají se v DNS tak čtyři — jeden budoucí, jeden současný a dva minulé. (Další rozdíl oproti TLS + TLSA je ten, že u DKIM neexistuje důvod používat klíče související s LetsEncrypt certifikáty; klíče můžou být zcela libovolně lokálně vygenerované.)
Vzhledem k tomu, že testy na internet.nl prověřují spíš nutné než postačující nastavení serveru, pod 100% bych já osobně asi nešel. Ano, je pravda, že spousty veřejně známých mailových domén tam 100% nemají, nicméně jejich správci většinou vedou v patrnosti, proč jim ten či onen nedostatek projde. Nedostatky velkého poskytovatele mailu jsou leckdy ostatními velkými poskytovateli tolerované, aby se maily příliš neztrácely. Menší a soukromě provozovaný mail server takový luxus a vliv nemá a měl by být nastavený v co nejlepším souladu s „best practices“ (které se pochopitelně pomalu mění, takže 100% dnes nezaručuje 100% za rok; pořád je tam nějaká práce).
Co se tyka ipsec a ipv6, tak to jsou temata, na kterych se neshodneme.
Tohle není věc názoru a/nebo shody. Zkrátka, IPv6 je internet, zatímco IPv4 je paskvilozmetek z roku 1975, který byl jakýmsi nepodařeným experimentem a nebylo vůbec zamýšleno, že se bude globálně a veřejně používat s takovými adresami, jakými později nechvalně proslul. Nemít IPv6 v podstatě znamená nemít server připojený k internetu.
Nemluvě o tom, že IPSec a IPv6 zajistí bezproblémové routování do jakékoliv sítě, ať už soukromé a dostupné jen skrz VPN nebo zcela veřejné, a nedojde nikdy ke konfliktu adres. Různé zoufalé VPN servery, které klientům přidělí telefonní číslo 192.168.1.x/24, které ovšem mají někteří i na domácím routeru a pak jim nic nefunguje, by měly být věcí minulosti. VPN s IPv6 a s unikátním veřejným (jakým jiným!) rozsahem adres bude fungovat vždy a všude, bez ohledu na to, jaký IPv6 rozsah má uživatel doma. (A tunel s IPv6 může vést i skrz IPv4, čímž navíc odpadne (pořád ještě sporadicky existující) problém typu „nemám internet“ (== „nemám IPv6“).)
Tohle není věc názoru a/nebo shody.Ano, navíc v tomto případě mu IPv6 řeší problém -- zatímco RFC1918 adresu nemůže do veřejného DNS dát, protože bývají filtrovány některými resolvery, tak u IPv6 AFAIK žádný takový problém není. Takže mu stačí dát tu adresu do DNS, nastavit aby se routovala přes VPN a vyřešeno.
(pripoji se exoticky klient k serveru) S: 220 brana.firma.cz ... C: EHLO User (doslova) S: 250-brana.firma.cz (vycet vcetne STARTTLS) C: RSET S: 250 Reset OK C: AUTH LOGIN S: 503 AUTH command used when not advertised C: QUIT S: 221 ... (+ TCP FIN)Vypada to, ze exim v debianu to ma asi nejak poreseno.
Tam se nic aktualizovat nemusi. U sebe mam tajny klic, v dns mam verejny a tak to bude na veky veku.Mám zato, že v tomto se mýlíte. Respektive samozřejmě to tak můžete udělat, ale pokud vím, teorie je taková, že čím víc dat s tím klíčem podepíše, tím větší šance je prolomit ten klíč. A jestli si dobře pamatuju, tak Google někdy někde psal, že budou vyžadovat pravidelné obměny toho klíče - respektive k mailům, které jsou podepsány pořád tím samým, se budou chovat, jako by to DKIM podpis nemělo.
Tiskni Sdílej: