abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    AMD na veletrhu Computex 2024
    včera 17:00 | IT novinky

    Společnost AMD na veletrhu Computex 2024 představila (YouTube) mimo jiné nové série procesorů pro desktopy AMD Ryzen 9000 a notebooky AMD Ryzen AI 300.

    Ladislav Hagara | Komentářů: 0
    OpenCV 4.10.0
    včera 16:22 | Nová verze

    OpenCV (Open Source Computer Vision, Wikipedie), tj. open source multiplatformní knihovna pro zpracování obrazu a počítačové vidění, byla vydána ve verzi 4.10.0 . Přehled novinek v ChangeLogu. Vypíchnout lze Wayland backend pro Linux.

    Ladislav Hagara | Komentářů: 0
    IT4Innovations vydalo EVEREST SDK
    včera 14:00 | Zajímavý software

    Národní superpočítačové centrum IT4Innovations s partnery projektu EVEREST vydalo sadu open source vývojových nástrojů EVEREST SDK pro jednodušší nasazení aplikací na heterogenních vysoce výkonných cloudových infrastrukturách, zejména pro prostředí nabízející akceleraci pomocí FPGA.

    Ladislav Hagara | Komentářů: 0
    Hardwarový a softwarový průzkum Steamu - 05/2024
    včera 13:22 | IT novinky

    Společnost Valve aktualizovala přehled o hardwarovém a softwarovém vybavení uživatelů služby Steam. Podíl uživatelů Linuxu aktuálně činí 2,32 %. Nejčastěji používané linuxové distribuce jsou Arch Linux, Ubuntu, Linux Mint a Manjaro Linux. Při výběru jenom Linuxu vede SteamOS Holo s 45,34 %. Procesor AMD používá 75,04 % hráčů na Linuxu.

    Ladislav Hagara | Komentářů: 6
    Virtuální Bastlírna vol. 39: Co za elektroniku nacpete do velikosti vizitky?
    včera 11:33 | Pozvánky

    Blíží se léto, chladiče topí, tranzistory se přehřívají, novinářům pomalu docházejí témata a nastává klasická okurková sezóna. Je tomu tak i mezi bastlíři? Na to se podíváme na Virtuální Bastlírně! Tentokrát se strahováci podívají na zoubek velmi slibně vypadajícímu open-source EDM projektu - ne, nejde o taneční hudbu, ale o elektroobrábění. Ukáží taky, jak vypadá starší cykloradar zevnitř nebo jak se testuje odolnost iPhonů.

    … více »
    bkralik | Komentářů: 0
    CEO Microsoftu Satya Nadella odstoupil z představenstva Starbucks
    včera 11:22 | Humor

    CEO Microsoftu Satya Nadella odstoupil z představenstva Starbucks [CNBC, SEC].

    Ladislav Hagara | Komentářů: 1
    Společnosti Ticketmaster byla odcizena databáze s osobními údaji 560 miliónů zákazníku
    2.6. 16:22 | Upozornění

    Společnosti Ticketmaster byla odcizena databáze s osobními údaji (jméno, adresa, telefonní číslo a část platebních údajů) 560 miliónů zákazníku. Za odcizením stojí skupina ShinyHunters a za nezveřejnění této databáze požaduje 500 tisíc dolarů [BBC].

    Ladislav Hagara | Komentářů: 19
    NixOS 24.05 Uakari
    31.5. 23:55 | Nová verze

    Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    NetworkManager 1.48.0
    31.5. 17:33 | Nová verze

    Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.

    Ladislav Hagara | Komentářů: 32
    25 let Krity
    31.5. 17:11 | Komunita

    Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.

    Ladislav Hagara | Komentářů: 9
    Centrum | Napsat | Starší
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / https Intranet only
    Štítky: certifikat, doména, http, Internet, problém, řešení, Self, signed, web

    Dotaz: https Intranet only

    otasomil avatar 6.3.2021 20:24 otasomil | skóre: 39 | blog: puppylinux
    https Intranet only
    Přečteno: 900×
    Zdravim ve spolek
    Resim takovy drobny problem ktery jaksezda je trivialni jen visi na lidech a jejich opatrnosti na miste kde to teda neni treba a aktivite modernich browseru neustale usera upozornovat ze prihlasovani na tomto webu neni bezpecne... Jedna se totiz o web na lokalni siti kde je vcelku zbytecne mit https, jenze obycejne http je zdrojem podobnych hlasek. Tudiz zda jde nejak jednoduse nasadit https na web intranet s Apache2. Nemam tim na mysli self signed certifikat ktery treba Chrome/mium opakovane ignoruje a prudi usera. Cili je nejake reseni s timto vydupat, mit https na lokalni adrese 192.168... aniz bych neustale resil dotazy ze to nejde, nejede , pise ze je nebezpecne... Pridavam info ze domena neni, jen IP, dostupnost zvenci neni.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    6.3.2021 22:21 panika
    Rozbalit Rozbalit vše Re: https Intranet only
    tak si domenu kup a mas to vyreseny. ja si je hostuju u wedosu a i kdyz si umim predstavit lepsi api, tak to s certbotem funguje. adresu si do dns das jakou chces, ja to s lokalnima provozuju. mozna mi neco unika tak me nakopni :)
    6.3.2021 23:36 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    Ja si skor jeho otazku interpretujem tak, ze proste do prehliadaca zada http://192.168.14.88/ a prehliadac mu picuje, ze je to nebezpecna symbolika. Pyta sa teda, ci sa da nejako prejst na https://192.168.14.88/ bez toho, aby mu do toho prehliadac picoval.

    Ale moj nazor je tiez ten, ze normalne na tieto ucely kupit domenu, idealne nejaku, co stoji euro na rok a pouzivat ju na taketo ucely, pricom certy si vystavovat cez dns autentizaciu.
    Jendа avatar 7.3.2021 06:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Pozor, že některé resolvery (nejslavněji dnsmasq defaultně v openwrt) dělají „rebinding protection“ a RFC1918 adresu ti nepřeloží. Jak to řešit nevím, buď máš síť kde máš kontrolu nad resolverem, nebo máš IPv6, nebo to uživatelům rozmluvíš, nebo máš smůlu.
    Já to s tou denacifikací Slovenska myslel vážně.
    7.3.2021 11:55 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    rebind-domain-ok=domena.abc
    Jendа avatar 8.3.2021 16:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Ano, to je tady v pohodě, protože má asi síť, kde to adminuje. Jakmile to má chodit uživatelům na zařízeních kde si to musí nastavit a ta zařízení nespravuje nikdo/je po cestě BFU/je to BOFH/je to opruz, tak je s tím problém.
    Já to s tou denacifikací Slovenska myslel vážně.
    6.3.2021 22:27 X
    Rozbalit Rozbalit vše Re: https Intranet only
    Vytvor si vlastni CA + cert pro lokalni IP a pridej si CA do prohlizece jako trusted..
    Max avatar 6.3.2021 23:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    1) na IP nezáleží, musíš přistupovat přes dns jméno
    2) certifikát získáš dvěma způsoby, buď si uděláš vlastní CA a budeš s ní podepisovat certifikáty pro jednotlivé služby a CA certifikát budeš distribuovat klientům. Druhá možnost je koupit si certifikát u nějaké CA a každý rok prodlužovat a na serveru měnit. Já mám kombinací obojího. Na centrální reverzní proxy mám koupený wildcard "*.corp.devaine.cz" a všechny služby pak propaguji jako "intranet.corp.devaine.cz / helpdesk.corp.devaine.cz apod." a všechny jsou tím pádem ok. A něco mám pod vlastní CA, co nejde přes tu reverzní proxy apod.
    3) intranet by zabezpečený měl být, pokud je to nějaký, který slouží lidem a jsou tam různé dokumenty
    Zdar Max
    Měl jsem sen ... :(
    8.3.2021 06:12 rpajik | skóre: 18 | blog: rpajikuv_blog
    Rozbalit Rozbalit vše Re: https Intranet only
    Internet by zabezpečený být měl, ale to tlačení https všude strašně komplikuje život.

    Některé browsery ignorují lokální hosts soubor. Vnucují https na místo kam se připojuji přes http ale provoz běží v šifrované von, o které browser neví.

    Z browserů se začínají stávat operační systémy a žít si vlastním životem ... a to mi správné nepřijde. Minimálně pokročilý uživatel by měl možnost to mít pod kontrolou ... a tato možnost se postupně vytrácí :-(
    Josef Kufner avatar 7.3.2021 02:19 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Pořiď si doménu libovolného řádu a rozběhej Let's Encrypt s wildcard záznamem. Vnější DNS může ukazovat na nějakou minimální statickou prezentaci, která jen řekne, adresu intranetu máš správně, ale musíš být na intranetu.

    Pak nějak pořeš automatickou distribuci certifikátů, třeba po SSH, a používej jako běžné certifikáty.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 7.3.2021 14:22 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    To není dobrý nápad, je to spíše hodně špatný nápad, viz: Split DNS - používáte to někdo?.
    Tj. pro určité druhy nasazení to je schůdné, ale pro dost to moc schůdné není, protože nelze zajistit vyprazdňování dns cache u klientů. Obecně to tedy není dobrý nápad.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:48 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Se Split DNS jsem nikdy neměl problém. Při připojení se ty cache na klientovi vypláchnou a je to v pohodě. Nicméně ty subdomény nemusí zvenčí vůbec existovat.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 8.3.2021 01:39 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Není to pravda, popisuji to v článku. Největší problémy jsou s mobilními zařízeními a web prohlížeči. Je možné, že u některých nasazení to nevadí a flushuje se to dobře, ale při větších nasazení končíš. Pro vlastní potřeby bych to ještě zkousnul, ale do firmy to nasadí jen blázen. I jeden blbý telefonát od uživatele je vopruz.
    Zdar Max
    Měl jsem sen ... :(
    10.3.2021 16:15 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak receno, neco uneumis, nerozumis tomu ale tvrdis, ze to nefunguje. Jak typicky (pro tebe specielne).

    Neznam ani jedninou firmu (a to jich znam stovky) kde by splitdns minimalne pro par sluzeb nepouzivali. Zadnej problem s tim nikdy nebyl a ani neni.

    ---

    Dete s tim guuglem dopice!
    Max avatar 10.3.2021 20:53 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Popsal jsem tam služby, které s tím mají problém a vysvětlil proč (jaké technologie za tím stojí). Z mé zkušenosti to bylo třeba 5 nahlášených incidentů týdně z cca 350 uživatelů. A kdyby jsi to četl, tak nejsem jediný, kdo s tím měl problémy. V době, kdy má každý mobil a vše se cpe do webu, s tím prostě problém je. Jasně jsem i napsal, že existuje asi nasazení, kde to problém není, ale v případě mobilních zařízení a web prohlížečů to problém je docela velký.
    Jde tedy o to, jakým vývojem se web prohlížeče a bezpečnostní opatření ubírají. A ty se rozhodně ubírají směrem, který se split dns není kompatibilní.
    Pokud k tomu máš nějaké relevantní věci, tak to napiš, ale ty jako vždy děláš strašně chytrýho, ale přitom netušíš, o čem je řeč a vždy se jen uchyluješ k osobním útokům.
    Zdar Max
    Měl jsem sen ... :(
    11.3.2021 08:46 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jasne, je to tak velkej problem, ze to pouziva i ten podelanej guugl, a miliony dalsich sluzeb i ve verejnym netu ... a to prave na web. Prave guugl ti klidne naserviruje 5 ruznych IPcek na 100m vzdalenosti a to klidne i v ramci stejnyho ISP. A samo podle toho v kterym baraku zrovna stojis, ho mas bud nemecky, francouzky, spanelsky nebo italsky ... rozhodne ne anglicky, protoze na lang co posila browser oni zvysoka serou.

    A existuje cela rada sluzeb, kde te server aktivne vyfuckuje, pokud na nej lezes z rosahu, kterej neobsluhuje, takze kdyby to nefungovalo, a klienti nedostali spravny IPcka, nefungoval by internet vubec. Oni totiz provozovatele nadsene servirujou data pres 1/2 planety, a proto provozujou vsemoznych cache/clustery/... aby to pak vlastne podle nejakyho Maxe vubec nefugovalo protoze klienti neumej pouzivat dns.

    Takze jak vidno, vubec netusis o cem zvanis.

    ---

    Dete s tim guuglem dopice!
    Max avatar 11.3.2021 08:56 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak to jsi silně nepochopil, o čem je řeč. Četl jsi vůbec, na co reaguješ?
    Celou dobu tu je řeč o split dns v rámci firmy.

    Ty tu hážeš příklady s DNS balancerama alá round robin (= více záznamů k jednomu dns) či geo balancerama (např. v každém státě ti to přeloží na jinou IP, která je k tobě, resp. ten cloud housing, nejblíž, aby jsi to měl co nejrychlejší) a další, což je úplně něco jinýho a tohle fakt problém není.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 7.3.2021 14:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    A ještě k tomu wildcard certifikátu. Pokud vím, tak ještě nedávno bylo vyžadováno ověření jen přes dns záznam. Tj. musel jsi používat nějaké dns severy, které uměly API a mohl jsi renew automatizovat.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:38 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Na běžně používaném DNS serveru se nastaví ověřovací záznam jako CNAME na self-hosted server, kde je obyčejný Bind a Let's Encrypt klient a ten už si to pořeší (tento server se na nic jiného nepoužije). Je to zcela bezproblémové nastavení, které funguje s jakýmkoliv registrátorem a jakýmikoliv DNS servery.
    Hello world ! Segmentation fault (core dumped)
    otasomil avatar 8.3.2021 16:39 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jestli dobre rozumim tak Letsencrypt certifikat mohu ziskat i bez zpristupneni webu na Internet? Jak se jmenuje tato metoda, jak postupovat? Na VPS kde bezi verejne pristupna sluzba to je vcelku jasny ale takhle na lokalni siti? Ideal by bylo se o to nestarat a Cronem aby se delal renew do onech 3 mesicu.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Jendа avatar 8.3.2021 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    DNS-01. Blbé je že to asi nejde použít pokud hostuješ DNS u někoho, kdo nemá pro provádění změn příčetné API, nebo každá změna trvá půl hodiny (zdravíme Forpsi).
    Já to s tou denacifikací Slovenska myslel vážně.
    Josef Kufner avatar 8.3.2021 22:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    To není pravda. Jde to obejít, jak píšu, pomocí vlastního name serveru se subdoménou jen pro ověření. U providera si nastavíš NS záznam pro tvou _acme-challenge.* a na odkazovaném serveru si už můžeš dělat co chceš. Zbytek domény je pořád hostován na slušných serverech a pro Let's Encrypt máš svůj server, který umí vše, co je potřeba.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 8.3.2021 16:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak ještě je možnost (asi hlavně pokud můžeš provozovat split horizon DNS) si zařídit certifikát pomocí "venkovního webu", který bude servírovat jen prázdnou stránku a ten soubor s challengí (a poběží klidně na úplně jiném počítači), a pak ho zkopírovat na ten počítač v intranetu…
    Já to s tou denacifikací Slovenska myslel vážně.
    otasomil avatar 9.3.2021 20:50 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak jsem nakonec zvolil nasledujici postup a to domenu s A, AAAA zaznamem + Letsencrypt. Pro ziskani certifikatu navic vubec neni treba zadny webserver. Certbot jej totiz ma vlastni. Jen jsem zastavil Apache2 aby se uvolnil port 80, prepsal cesty k souborum s certifikaty docasne povolil pres IPv6 pristup zvenci... no viz nasledujici prikazy. Uz nakonfigurovany Apache2 jsem nechtel pouzivat protoze bych musel prepisovat Require ip a tak mi cesta certbot --standalone prisla schudnejsi. 
    systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot certonly --standalone --preferred-challenges http -d domena.tld
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2
    Pro renew zatim nevim zda bude stacit jen spustit: 
    certbot renew
    A nebo bude treba zase povolit pristup zvenci viz: 
    systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot renew
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2
    Zatim vse je OK, uvidim za cca tri mesice. Kazdopadne diky vsem za info.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Josef Kufner avatar 9.3.2021 21:09 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Stačit to nebude, neboť vyžádání si certifikátu a renew zahrnuje stejné ověření. Pokud nechceš trápit Apache, nahoď tam Bind a ověř přes DNS. Nebo můžeš nastavit Apache, aby tu .well-known cestu hostoval do vyhrazeného adresáře, kam ti Certbot uloží ověřovací soubory.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 9.3.2021 21:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    No ale to znamená, že v DNS musíš mít venkovní a ne intranetovou IP, ne? Jak ti pak funguje ten intranet?
    Já to s tou denacifikací Slovenska myslel vážně.
    otasomil avatar 10.3.2021 18:05 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Domena ma A zaznam 192.168... a AAAA IPv6 je pristupna zvenci (po otevreni portu 80 ve FW) tak lze ziskat certifikat i jen pres IPv6 a ten pak funguje lokalne jak na v6 tak na v4. Vse tak funguje, i wget, curl akceptuji certifikat a bezi s vynucenou ipv4 i ipv6
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    10.3.2021 00:04 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: https Intranet only
    certbot certonly --standalone --preferred-challenges http -d domena.tld

    Ale toto nie je wildcard certifikat, ale certifikat pre konkretny "host" domena.tld. Cize pre domeny 3. radu (nieco.domena.tld) ho nemozes pouzit (hej mozes, ale klienti budu pindat).
    otasomil avatar 10.3.2021 18:06 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jo pouzil jsem nevyuzitou domenu druheho radu jen pro intranet.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.