Disassembler

Artificial intelligence is no match for natural stupidity.

Počítačové sítě

Vzdálená instalace Ubuntu po SSH


Před půl rokem jsem psal o vzdáleném odemykání šifrovaného kořenového souborového systému skrze SSH daemona nastrčeného do init RAMdisku. Tento článek bude z podobného soudku. Občas se mi stane, že potřebuji dodat nebo přeinstalovat server nějaké firmě, která sídlí za sedmero horami, sedmero řekami a sedmero lesy. Dlouhou dobu jsem uvažoval, že by bylo fajn mít nějaký bootovatelný live obraz, který by mi uživatel na druhém konci spustil a na který bych se mohl vzdáleně přihlásit a provádět psí kusy, aniž by server musel na výlet. A přesně takový jsem teď konečně vytvořil.

číst dále… 1 komentář

Vzdálené odemykání šifrovaných systémů


Za chvíli nám začne platit GDPR v plné parádě a tak spousta administrátorů v malých a středních podnicích ještě narychlo zjišťuje, co se po nich vlastně chce, a na poslední chvíli šifrují, heslují nebo jinak zabezpečují záležitosti, které se do té doby nijak zvlášť neřešily. Ani mě radosti se zvyšováním bezpečnosti neminuly. Největším oříškem pro mne však bylo přijít na způsob, jakým se dá na linuxu (Ubuntu) šifrovat komplet celý systém a data pomocí LVM-on-LUKS, ale zároveň nevyžadovat fyzickou přítomnost při startu a zadávání hesla. S vymoženostmi jako IPMI, iLO nebo jinými KVM-over-ethernet je to jednoduché, ale ty na malých serverech nemám a tak si musím poradit jinak.

číst dále… žádný komentář

Torrent a Tor – Boj s větrnými mlýny


V minulém článku jsem zmiňoval, že jsem dostal za úkol dezinfikovat jednu hotelovou síť, což jsem provedl lehkým zafiltrováním, sběrem statistik provozu a následným zablokováním klientů prokazatelně napadených malwarem. Také jsem poznamenal, že jsem na oné síti potkal torrentové stahovače a rozhodl se jim trochu znepříjemnit život. Hned v perexu nicméně zdůrazním, že na veřejných sítích, kde je zprostředkování konektivity primárním předmětem dohody, rozhodně neschvaluji jakékoliv blokování, unášení nebo přesměrovávání provozu, není-li to jasně zmíněno v podmínkách užívání takové služby. Pokud však máte domácí nebo firemní síť s nějakým hotspotem, tak tam si filtrujte, co chcete. V následujícím článku se budu věnovat hlavně Torrentům a k Toru dojdu až obloukem.

číst dále… 2 komentáře

Malá encyklopedie portů


Před nějakou dobou jsem kývnul na správcování sítě v jednom hotelu nedaleko Brna. Předchozí správce se o síť údajně nedokázal uspokojivě postarat. Jelikož celý hotel bere konektivitu ze standardní komerční přípojky velkého provozovatele telekomunikačních služeb, tu a tam se občas stalo, že vinou nějakého veselého zavirovaného zařízení na síti byla služba omezena nebo úplně pozastavena. Majiteli po nějakém čase došla trpělivost a mým novým úkolem tedy bylo dát to tam trochu do kupy a viníka vyhledat a zničit. Říkal jsem si, že nejprve provoz trochu zafiltruju a když to nepomůže, vytáhnu těžší kalibr v podobě inspekce paketů. K tomu jsem naštěstí nedošel, takže následující článek bude zejména souhrnem všelijakých služeb a jejich portů, které na veřejných sítích můžete potkat.

číst dále… žádný komentář

MikroTik SSTP server s Let’s Encrypt certifikátem


Nebojte se, žádná velká magie s RouterOSem se nekoná. MikroTiky bohužel umí certifikáty vyměňovat jen pomocí nestandardizovaného SCEP. Let’s Encryptí ACME vůbec neumějí a skriptovací jazyk RouterOSu je natolik strašný a omezený, že se v něm reálně žádný jednoduchý ACME klient vyrobit nedá. Popíšu tedy, jak tyto nedostatky obejít pomocí linuxového stroje a mého oblíbeného ultralehkého Let’s Encrypt ACME klienta v kombinaci se SSH a Apache HTTP Serverem. Tyto komponenty budou dělat celou špinavou práci a RouterOS už si jen přijde k hotovému. Samozřejmě je podobnou anabázi možno absolvovat i s Windows Serverem, ale já mám daleko radši servery linuxové, takže budu operovat s tím, co mám k dispozici.

číst dále… 5 komentářů