Linux Server

Všechno co dělám, dělám blbě, ale dělám to tak léta a funguje to bezpečně a spolehlivě, takže to vlastně asi až tak blbě nedělám ...

  • Linux,  Linux Server,  Windows

    Po aktualizaci Windows 10 / Windows 11 nelze přistoupit k síťovému sdílení

    3.2.2025 /

    K této sdílené složce nemáte přístup, protože zásady zabezpečení vaší organizace blokují přístup pro hosty bez ověření. Je hláška, která se v posledních dnech zobrazuje po aktualizaci Windows 10, ale i Windows 11 v případě, že chcete přistoupit k síťové složce, na které není vyžadováno heslo (jinak řečeno, probíhá přemapování na účet hosta – guest resp. účet nobody) Neříkám, že zabezpečení složky alespoň jménem a heslem nedává smysl, ale umím si z druhé strany představit tisíc a jednu domácností s malým NAS pro skladování fotek, hudby, filmů atp. třeba pro přehrávání v TV. Ruku na srdce, i když by bylo hezké takové sdílení z mnoha různých důvodů chránit, drtivá většina…

    Číst dále
  • Linux Server

    Samba a oprávnění 0777 na všech souborech

    18.3.2016 /

    Je to boj, kombinací všech možných i nemožných parametrů jako jsou create mask, directory mask, force create mode a force directory mode se dá občas dosáhnout toho, že nejen uživatel, který do složky nahraje soubor, nebo složku založí, bude mít k danému zdroji právo zápisu. Pokud nebylo potřeba řešit oprávnění a všichni mohli všude, řešilo to použití parametru security = share které ale na novějších verzí samby nefunguje. Místo toho ale stačí definovat map to guest = bad user a je vymalováno – všichni uživatelé jsou totiž namapování jako guest a mají tak práva na vše, co ostatní uživatelé založili/přidali, protože jsou také guest. Nicméně pokud je vyžadováno přistupovat ke zdrojům…

    Číst dále
  • Linux Server

    PPTP za NATem

    22.2.2016 /

    Proč to někdo ještě používá? Proč to někdo dělá??? Děravý, napadnutelný, o integritu tunelovaných dat se nestarající, mizerně implementovaný, skrze firewall takřka nepoužitelný PPTP VPN protokol. Fakt to nechápu. Snad je to o lenosti netadminů, snad je to o slepé víře v předkládané, já prostě nevím. Existuje hromada HW řešení, existuje ještě větší hromada SW řešení. Až po vás někdy bude zase zákazník dupat, že mu za vaším linuxovým NATem funguje právě jediná mašinka s PPTP, ale další už prostě ne s variací hlášek od neplatného jména či hesla, nedostupnosti Internetu, chybě 807 a podobných zrůdnostech, bez mrknutí oka udělejte modprobe ip_nat_pptp modprobe ip_conntrack_pptp modprobe ip_gre dejte si to do…

    Číst dále
  • Linux Server,  PHP

    Zranitelnost ProFTPd CPFR/CPTO

    9.12.2015 /

    Že je protokol FTP nutné zlo, které snad jen trochu mírníme pomocí berliček jako TLS nad FTP o tom snad asi není potřeba mluvit. Rád bych ale upozornil na skutečně velkou zranitelnost proftpd, která vede k napadení systému na skutečně vysoké úrovni. Celý problém je dostatečně popsán a zdokumentován například zde a zde, ale balíky pro ubuntu v tuto chvíli stále obsahují zranitelnou verzi proftpd. Pomocí příkazů SITE CPFR/SITE CPTO z modulu mod_copy lze kopírovat libovolné soubory v rámci filesystému BEZ ověření uživatele. Řešením je zmíněný modul vypnout, nebo použít opravenou verzi proftpd. Příklad napadení: Trying xx.xx.xx.xx... Connected to xx.xx.xx.xx. Escape character is '^]'. 220 ProFTPD 1.3.5rc3 Server (Debian) [::ffff:xx.xx.xx.xx] site help…

    Číst dále
  • Linux Server

    Amavis – Obnovení zablokovaného spamu

    3.7.2015 /

    Občas se stane, že amavis zablokuje jako spam i něco, co spam není – na vině může být relativně hodně věcí, třeba špatně nastavený fetchmail. Je naštěstí možné takový mail jednoduše předat na MTA bez nutnosti složitě kopírovat a hledat či jinak pokoutně lovit. Z logu si najdeme označení karantény dané zprávy (např. t/spam-t8IilaY9QzbD.gz) a pak už jen stačí amavisu říci, že jej z karantény chceme vytáhnout: amavisd-release t/spam-t8IilaY9QzbD.gz Proč dělat věci složitě, když to lze jednuduše …

    Číst dále