Community-list November 2013

community-list@lists.vpsfree.cz

22 participants
7 discussions

Re: [vpsFree.cz: community-list] Aktualizujte si VPS
by Robin Obůrka 29 Nov '13

29 Nov '13

Ahoj, já si jen dovolím jednu malou poznámku. Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něco nerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod. Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplně dobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacím se postavit několika radami. 1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilat na email jednou za.. .den, 2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailing listu příslušné distribuce. Moje interakce se serverem je poměrně dost častá, takže nemám problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takže jakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím o tom vědět - ale... asi bych na to opravdu nešel automatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a to může časem vyvrcholit v ještě větší bezpečnostní problém. Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nově vzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takže buď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, nebo automaticky nechám tahat nové závislosti a netuším co nového - co by případně vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo. A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, ale není to zase sci-fi, dle mého názoru. Já jen jestli by tohle nestálo za úvahu. R. O. Dne 28.11.2013 10:01, Pavel Snajdr napsal(a): > No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini, > maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu, > dokud vsichni nebudou splnovat aspon ta minima :) > > Kdo mate na VPS automaticke aktualizace? > > Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizim > mesic clenstvi gratis, pripadne nejake misto na NASu :) > > S pozdravem, > > Pavel Snajdr > > Odeslano z mobilniho zarizeni. > > On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa(a)snajpa.net > <mailto:snajpa@snajpa.net>> wrote: > >> Ahoj, >> >> 3x ne :) >> >> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, ze >> tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou >> zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni >> - aktualizujte. >> >> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou to >> trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny >> pristup takovym "co s tim linuxem, teda jako taky umi". >> >> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti co >> neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si >> praci zbytecnou paranoiou :) >> Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezi >> tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju, >> aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo >> nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka >> random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co >> vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda). >> >> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze v >> situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes >> dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit, >> aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud >> tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma >> spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho >> jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze >> zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit, >> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali >> na hypervisora pingem(!). >> >> Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne, >> akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci >> procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas >> Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po >> implementaci SELinuxu. >> >> S pozdravem, >> >> Pavel Snajdr >> >> Odeslano z mobilniho zarizeni. >> >> On 27 Nov 2013, at 20:57, Stanislav Petr <glux(a)glux.org >> <mailto:glux@glux.org>> wrote: >> > Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu: > > 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje? > Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit. > Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)? > > 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype, > psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo. > > 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu > projevi qos nastaveny uvnitr konternerove virtualizace? > > > Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku > serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ > hazi klacky pod nohy... > >>> >>> >>> >>> -------------------------------------------------------------------------------- >>> <http://www.avast.com/> >>> >>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus >>> <http://www.avast.com/> je aktivní. >>> >>> >>> _______________________________________________ >>> Community-list mailing list >>> Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >>> http://lists.vpsfree.cz/listinfo/community-list >> _______________________________________________ >> Community-list mailing list >> Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list > > > _______________________________________________ > Community-list mailing list > Community-list(a)lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list >

7 7

Aktualizujte si VPS
by Pavel Snajdr 28 Nov '13

28 Nov '13

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Ahojte, mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane. Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam". V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall. Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB. Diky. S pozdravem Pavel Snajdr +421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE-----

14 22

Re: [vpsFree.cz: community-list] Aktualizujte si VPS
by petr＠juhanak.cz 28 Nov '13

28 Nov '13

Já si nechávám posílat každý den report s navrhovaným seznamem balíčku na upgrade (bez propagace upgradu). Někdo to tady už navrhoval a je to dobrá technika. Některé balíky se netýkají exponovaných služeb a mohou počkat. Když mám vyhrazeno více času udělám apt get upgrade. Je pravda že používám pouze sluzby webserver, db, ssh a skriptování na servery. Na desktopu si muzete dovolit automaticky upgrade. Pokud jde o servery a služby je lidský dohled nutný. Kdo chce minimalizovat další chyby, musí udržovat testovací prostředí. S pozdravem Petr Juhaňák ----- Reply message ----- Od: "Robin Obůrka" <r.oburka(a)gmail.com> Komu: <community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] Aktualizujte si VPS Datum: čt, 11. 28, 2013 15:22 Ahoj, já si jen dovolím jednu malou poznámku. Mám takový pocit, že se poměrně důrazně nedoporučuje dělat automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat jestli se něco nerozbilo, jestli není před aktualizací potřeba nějaký další úkon apod. Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace není úplně dobrý zvyk a že bychom asi neměli masivně podporovat špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se nechovat nebezpečně" a k aktualizacím se postavit několika radami. 1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou nějaké dostupné?" nechat cronem posilat na email jednou za.. .den, 2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat do security mailing listu příslušné distribuce. Moje interakce se serverem je poměrně dost častá, takže nemám problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v mailing listu, takže jakákoliv kritická aktualizace je u mě nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím o tom vědět - ale... asi bych na to opravdu nešel automatickými aktualizacemi, člověk pak neví co se na serveru vlastně děje a to může časem vyvrcholit v ještě větší bezpečnostní problém. Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten doinstalovává nově vzniklé neodsouhlasené závislosti, které se tímto v podstatě odsouhlasí. Takže buď časem nutně některé aktualizace uváznou při čekání na dist-upgrade, nebo automaticky nechám tahat nové závislosti a netuším co nového - co by případně vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na serveru zjevilo. A ano, šance, že se něco takového nebezpečného objeví je asi velmi malá, ale není to zase sci-fi, dle mého názoru. Já jen jestli by tohle nestálo za úvahu. R. O. Dne 28.11.2013 10:01, Pavel Snajdr napsal(a): > No, aby me zas nekdo nebral doslovne - ty technologie, co pise Standa i jini, > maji svoje misto, ale moje pointa je, ze diskuze o nich nema valnejsiho vyznamu, > dokud vsichni nebudou splnovat aspon ta minima :) > > Kdo mate na VPS automaticke aktualizace? > > Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge Base? Nabizim > mesic clenstvi gratis, pripadne nejake misto na NASu :) > > S pozdravem, > > Pavel Snajdr > > Odeslano z mobilniho zarizeni. > > On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa(a)snajpa.net > <mailto:snajpa@snajpa.net>> wrote: > >> Ahoj, >> >> 3x ne :) >> >> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja chapu, ze >> tyhle technologie maji svoje misto, ale ty hacky, co se nam deji, jsou >> zpusobene banalitami a vubec je to cela diskuse na mnohem primitivnejsi urovni >> - aktualizujte. >> >> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti, vsechno jsou to >> trapnosti typu par mesicu neaktualizovany system, slabe heslo ci propujceny >> pristup takovym "co s tim linuxem, teda jako taky umi". >> >> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny lidi - ti co >> neresi bezpecnost vubec a pak ti, kteri to radi prehaneji a pridelavaji si >> praci zbytecnou paranoiou :) >> Pritom fakt naprostou vetsinu problemu by vyresil pristup k veci nekde mezi >> tim - dodrzovat zakladni pravidla jako nepoustet, co nepotrebuju, >> aktualizovat, jak casto to jde, nerozdavat pristup k tem strojum nikomu, kdo >> nedodrzuje stejna pravidla a pouzivat silna hesla (hlavne dlouha, kratka >> random hesla jsou blbost). Dal bych jmenoval jeste nepoustet pod rootem co >> vylozene nemusim (hlavne vsemozne weby, to pustit pod rootem = sebevrazda). >> >> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat nazor, ze v >> situacich, kde opravdu realne vyzadujes veci jako SELinux, si stejne nemuzes >> dovolit byt na sdilenem hardwaru s nekym dalsim, protoze si nemuzes dovolit, >> aby ti nekdo videl do pameti - a ze to fakt neni slozity, teda obzvlast pokud >> tam mas tak bezny system, jako je RHEL/debian... Vysvetlit tomu systemu, ze ma >> spustit novy shell a podobne ve spravnem selinux kontextu pro tak motivovaneho >> jedince, ktery bude mit zajem se tam prolamat, nebude asi az tak problem. A ze >> zranitelnosti, jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit, >> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve virtio vylamali >> na hypervisora pingem(!). >> >> Teda, abychom byli na stejne strance spolu - absence SELinuxu vadi i mne, >> akorat ne kvuli zabezpeceni proti hrozbam z venku, ale proti lepsi izolaci >> procesu v ramci jednoho systemu. Az bude chvili cas, pokusim se vyuzit nas >> Parallels OpenVZ maintenance partnership prave na to, aby se kouknuli po >> implementaci SELinuxu. >> >> S pozdravem, >> >> Pavel Snajdr >> >> Odeslano z mobilniho zarizeni. >> >> On 27 Nov 2013, at 20:57, Stanislav Petr <glux(a)glux.org >> <mailto:glux@glux.org>> wrote: >> > Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu: > > 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje? > Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit. > Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)? > > 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype, > psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo. > > 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu > projevi qos nastaveny uvnitr konternerove virtualizace? > > > Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku > serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ > hazi klacky pod nohy... > >>> >>> >>> >>> -------------------------------------------------------------------------------- >>> <http://www.avast.com/> >>> >>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus >>> <http://www.avast.com/> je aktivní. >>> >>> >>> _______________________________________________ >>> Community-list mailing list >>> Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >>> http://lists.vpsfree.cz/listinfo/community-list >> _______________________________________________ >> Community-list mailing list >> Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list > > > _______________________________________________ > Community-list mailing list > Community-list(a)lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list >

1 0

Zajimava prednaska o kontejnerove virtualizaci
by Pavel Snajdr 28 Nov '13

28 Nov '13

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Caute, James Bottomley, CTO pro serverovou virtualizaci z Parallels mel nedavno vybornou prednasku o kontejnerove virtualizaci, s kterou se krasne ztotoznuju a pekne tam popisuje, proc je pro nas kontejnerova virtualizace zajimava - dokonce vyslovuje teorii, ze kontejnery jsou to, na co se nakonec cely cloud hype presune. Jestli si najdete hodinku casu, doporucuju to shlidnout: http://openvz.livejournal.com/46523.html - -- S pozdravem Pavel Snajdr +421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iF4EAREIAAYFAlKXSy0ACgkQMBKdi9lkZ6p8PgEAxACHAfnx5L6mGlVpM9mKgmLW GJKGj8FNRe1mGG40UhABAINl2CoPOJ/QFbcp4OhA2vZdS5HZPQc6I2k7HRUGv3vt =uxbd -----END PGP SIGNATURE-----

1 0

PHP5, MySQL programátor/firma
by mochour＠email.cz 27 Nov '13

27 Nov '13

Ahoj, sháním šikovného programátora/firmu na vytvoření aplikace v PHP5 s MySQL pro evidenci a plánování lidských zdrojů. Zadávací dokumentace je již hotová předpokládaná doba realizace je 1-2 měsíce. Pokud byste někdo měl zájem nebo o někom věděl dejte mi vědět na jan.svoboda(a)freesys.cz. Dík H

1 0

ejabberd ipv6
by komodo 06 Nov '13

06 Nov '13

Ahoj, snazim sa nakonfigurovat ejabberd, modul mod_proxy65, ale v defaultnom nastaveni ide len na ipv4, a jak by som chcel aby to slo aj na ipv6. Podla manualu som sa snazil nieco nastavit, ale manual je uz pisany na novy format konfiguraku, ktory mi moj server nejak nebere. Mate niekto rozbehany ejabberd s yml kofigurakom, a s podporou ipv6 na mod_proxy65 ? Diky Martin

1 0

kvm zdielanie jednoho usb portu
by Tomas Meszaros 03 Nov '13

03 Nov '13

Ahojte, nema niekto skusenost so zdielanim jednoho usb portu pre viac virtualok? Mam jeden HW. kluc a potreboval by som ho zdielat pre 2. virtualky. skusal som googlit aj som editoval virtual a doplnil tam to co bolo v prvom tj. <hostdev mode='subsystem' type='usb' managed='no'> <source> <vendor id='0x096e'/> <product id='0x0006'/> </source> </hostdev> avsak vypisalo ze usb port je uz pouzivany a nenabehla. nepoznate nejaku fintu ci ako to okabatit? :) vdaka arty

3 2

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Community-list November 2013