• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    OVERDRIVEcPUNK BOX - server self-sufficient punk ought to be running :googlit umim taky, cti nastenku! resime bod 0] home NAT
    OVERDRIVE
    OVERDRIVE --- ---
    tak je doma BeagleBone black, uvidime, jakou zatez to snese, ta desticka je chuda vymyslena uplne na neco jineho, nez na postaveni malickeho serveru [kdejaky hw blaze by zajasal], ale aspon uvidime, co to snese, mit server v telefonu je lakava predstava ;]
    OVERDRIVE
    OVERDRIVE --- ---
    QWWERTY: PROFOR: do BRMLABu se klidne zastavte, ja tam byvam minimalne kazde ut, ideal je napsat mi dopredu tady na nyxu do posty, nebo email [viz me info], pokecam rad...
    KRISHNA: TLOUDEV: KRISHNA: dekuji, doplnim na nastenku, do wiki, jen co bude vic zeleza, muzem zkusit

    ted nemam moc cas odpovedet ale KRISHNA: zkousel jsi DokuWiki?
    co presne pozadujes, ze se Ti nelibila open-source reseni?
    KRISHNA
    KRISHNA --- ---
    TLOUDEV:

    0, ano, ale ne každej se chce učit komplet iptables, jšetě bych možná zmínil mikrotik, ten bych klidně použil místo virtual routeru a přes iptables neuděláš VPNky, ani IDS/IPS, potřebuješ na to další hromadu softwaru. Ale pokud to myslíš s routerem vážně, tak uznávam, že je určitě lepší řešení vlastní kompilace gentoo-hardened z jádra, na ní shorewall (tohle se mi taky fakt moc líbí), případně racoon (na ty VPNky)

    1, vim, na smtp určitě postfix

    TLOUDEV
    TLOUDEV --- ---
    KRISHNA:
    ad 0 - iptables :-) a ip6tables -P INPUT DROP :-)
    ad 1 - dovecot je pouze imap/pop server, nikoli smtp/smtps - na to je dle meho nejlepsi postfix. zaroven pro zprovozneni smtps prenosu je zvlaste vhodne povolit i port 587 - dela se to povolenim radky "submission" v master.cf
    ad 5 - davam prednost pro svoje soukrome ucely svoji soukrome autorite - mas pak jistotu, ze mas autoritu pod kontrolou a ne ze vydava vladam widcard certifikaty atd.
    KRISHNA
    KRISHNA --- ---
    reply OVERDRIVE|40391399}: tak ve volnejch chvilkách, když si vzpomenu,tak zkusim přispět.

    Prvně bych zdůraznil, že mít nainstalovaný všechny ty body na jednom fyzickym serveru je čirej nesmysl. Resp. nedovedu si představit, že bych to všechno udržel ve spustitelnym stavu, kde by se nestalo, že nějaká služba závisí na jiný, nebo naopak jiný službě překáží. Takže pokud mít doma multifunkční server, tak nějakej, kterej umí virtualizovat, takže XEN, případně nějakej VMware.

    0, Na jednoduchej NAT se mi docela líbí distribuce jménem IPfire, je hodně simple, má v sobě grafickou správu OpenVPN/IPsec, IDS/IPS (funkční na první pokus), různý grafy a logy uplně všeho.
    1, Dovecot jako mailserver s RoundCube webovym rozhranim, hezký, uhlazený, funkční
    2, Mailing list nemam, nepoužívam
    3, Pokud jde o wiki, tak jsem nenašel open source řešení, který by mě uspokojilo. Hodně spokojenej jsem s JIRA od Atlassian, ale to neni pro lidi, co chtěj za něco platit.
    4, Jabber jsem instaloval
    5, na startssl.com si můžeš vygenerovat podepsanej certifikát na jednu doménu gratis :)
    6, ...
    7, tightvncserver, nebo x11vnc (podařila se mi rozchodit i instance se 2ma screenama). Pochopitelně nemít otevřený do netu a připojovat se přes SSH tunel, ideálně mít X server defaultně uplně vypnutej, žere prostředky.
    8, Na CRM se mi líbilo Tiny2.0, ale už nějak nebylo podporovaný nebo co, tak jsem z něj přešel na Sugar CRM, hodně doporučuju, asi nejvychytanější open source software co jsem potkal
    9, sftp, se ftps se mi občas nekamarádila filezilla. sftp mi přijde jednodušší
    10, Owncloud, furt má pár bugů (třeba to, že každou minutu klientovi vytíží CPU na 100%), ale řekl bych, že tak do roka to bude dost promakanej projekt
    11, Na webhostingu používam ISPconfig, rychle se rozvíjející opensource projekt. Ani nestíham všechny nový features, co se tam objevujou

    Ale jak řikam, rozhodně bych to nechtěl mít na jednom fyzickym stroji, rozdělit minimálně na

    1, Virtual router
    2, Webhosting + DB + FTP
    3, Mailserver
    4, Monitoring + backup
    PROFOR
    PROFOR --- ---
    QWWERTY: Ja nejsem (a nejspis ani nebudu, ale ten koncept je mi sympatickej - hlavne v tom, ze tam jsou sikovny lidi) brmlabak, ale overdrive jo... :) Ale protoze jsem planoval se tam s nekym svezt, protoze pro ne mam pix fw od cisca, tak jsem si rikal, ze klidne muzeme i pokecat... :)
    GILHAD
    GILHAD --- ---
    OVERDIVE: Naprosto trivialne - nejaky php, ktery pokud dostalo spravny parametr, tak ulozilo do tabulky jeho hodnotu a IP, odkud to prislo. Pak v kazdym pripade vypsal celou tu tabulku. Stranka nezabezpecena, nelinkovana odnikud. na nejakem free hostingu s LAMP.
    na serveru v cronu wget -o /dev/null -q "http://server/stranka.php?parametr=jmeno"
    na cestovnim pocitaci jsem mel v /etc/host radek typu
    1.2.3.4 jmeno
    kam jsem to z te stranky rucne opsal

    Proste nejjednodussi mozne reseni, bez zabezpeceni (krome obskurity), ale fungovalo to dobre, nikdy se mi to nikdo nepokousel hacknout. Hlasilo se mi tam takhle tech serveru vic, od rodicu, znamych, takze jsem i videl, kdo na zase nejake problemy, protoze tam od ne hlaseni melo starsi datum
    REDTIME
    REDTIME --- ---
    GILHAD: Tak to u UPC opravdu bylo. Bohužel za poslední dva měsíce mi byla IP změněna asi tak 5x.
    QWWERTY
    QWWERTY --- ---
    OVERDRIVE: co vykony zelezo a na tom single-purpose virtualni stroje? - jejich zalohovani je primtivni, daji se rychle nahrazovat bez dopadu na ostatni sluzby...

    OVERDRIVE: anonymita je narocna na chovani - single purpose virtualni stroje, aby mel clovek pokazde jinej HW fingerprint, pristup pres cizi sit a vsechno sifrovane neni zrovna easy ...navic to porad pocita s tim, ze pres takovy zarizeni nebude clovek navstevovat stejny weby a komunikovat se stejnejma lidma, jinak vas misto techniky muzou identifikovat podle socialniho chovani
    ....na druhou stranu si nejsem jistej, jestli je nekdo z nas tak dulezitej, aby jsme nekomu stali za takovou analyzu

    PROFOR: uz jste tam meli tolik zajimavejch akci - a me by to k vam trvalo vzdycky pres 3 hodiny cesty ;_;
    PROFOR
    PROFOR --- ---
    OVERDRIVE: jestli si chces popovidat o anonymite, tak se muzem nekdy srazit v brmlabu... :)
    OVERDRIVE
    OVERDRIVE --- ---
    GILHAD: jo to sedi, jak jsi presne mel udelanou tu ztranecku, kam se Ti hlasil domaci server?
    jinak ssh by melo mit nejaky nadstavby, nejaky auto ssh, kterak tuhle situaci resit, ale nemam prozkoumane, vi nekdo vic? vim, ze jsem to resil tak, ze jsem mel provrtane ssh z promenliveho IP na nejaky man in the middle server a pripojovla jsem se pres nej, ale to je podle meho uz dneska zbytecne [ale neresil jsem to zatim, proto si necham poradit]

    Jinak libi se mi tohle svg od riseup collective [riseup.net - jsou to docela secure Internetz activisti, spolupracuji s cypherpunk + eff a tak, doporucuju pozornosti, tak mimo ramec, nebo spis jako ramec tohohle auditu



    uzitecne linky, jako kind of related:
    https://we.riseup.net/riseuplabs+paow/openpgp-best-practices
    a
    https://www.riseup.net/en/howto-gpg-keys

    napada me dalsi service, ktery by se dal hostovat [i kdyz to neni asi na maly hw, nemam prozkoumane, jak moc takove VOIP v podobe aesterisk zere... ani jsem nikdy nekonfiuroval... hezke by treba mohlo byt pouzivat to jako friendly man in the middle, kdy zavolas domu na svuj server, a ten Te pak relativne nekontrolovane a nekontrolovatelne prepoji nekdam dal do sveta, prave SIP voip] --- pridavam jeste na home a jdu spat. mam za sebou weekend po kerem bych potreboval tyden na zotaveni ;], tak brou ve spolek.
    snad se zmeni nalada k lepsimu, nebo, ze by cypher/cyber punk uz byl vazne racky ethernet dvojlinkou smontovana mrtvola?
    GILHAD
    GILHAD --- ---
    Mimochodem - u UPC mi fungovalo, ze ackoli nemam pevnou IP zaplacenou, tak dokud jsem byl pripojen, tak se mi nezmenila (coz znamena nekolik mesicu v kuse) a pokud jim to spadlo a nahodili to "brzo" tak jsem dostal opet tu samou IP = prez rok v kuse stejna IP.
    Takze jsem mel nekde hostovanou stranecku, kam se mi ten server hlasil a ona zaznamenavala posledni cas+IP = pristup odkudkoli z netu bez ohledu na verejnou pevnou IP :)
    OVERDRIVE
    OVERDRIVE --- ---
    MMchodem, cim bych zacal, pro normalniho lame uzivatele [v tomhle pripade i me, protoze mimo komercni housing/hosting jsem to nikde nedelal, a tam to bylo ulehceno jejich supportem...]

    Situace: mam pevnou IP, mam doma nejake zelezo na kterem uz je linux, mam na nem rozchozene nejake sluzby [minimalne sshcko ;] a ted to chci dostat na verejny internet.
    Jsem pripojen nejakym domacim poskytovatelem internetu typu O2, UPC, spoje.net... kdokoliv.

    [alternativa je, ze nemam ani pevnou IP

    Co je dobre vedet do zacatku, aneb konfigurace domaciho NATu.
    Klidne staci nejake linky.

    Tim to tedy bermez postupne, podle bodu na nastence [a zminenych v auditu]

    Tedy jeste jednou, bod 0] home NAT

    [pridavam dalsi bod, tedy asi 16] GIT, 17] package repository - jsou i nejake jine vyuziti repozitaru, nez jen .DEB balicky? IMHO uricte, nejake reseni a priklad? kdyz uz se vam nechce psat, tak aspon linky, treba
    OVERDRIVE
    OVERDRIVE --- ---
    KRISHNA: jezisi kriso, co je to za pristup, neche se mi psat. kdyz sem zacal chodit na nyx, lidi tady opravdu diskutovali a meli tendenci psat neco uzitecneho, krom linku na porno, obrazky a smajliku... promin, jestli jsem se pustil do nespravne osoby [dik za nabidku serveru treba a tak, imho neplacu na spravnem hrobe, ale dovol mi si kopnout exemplarne ;]

    aspon napis reseni, ktera jsi pro kazdy z pripadu zvolil, to nemusi byt elaborat.
    jasne, ze nechci, abys ted psal wiki ke kazdemu reseni.

    KUREV 5 googlit umime vsichni a ja nejsem uplnej blbec, a tady asi nikdo. VSICHNI CHAPEME, ZE VSECHNO JDE VYGOOGLIT. Schodou okolnosti tenhle audit neni o schopnosto googlit, ale o schopnosti nekomu predat nejake zkusenosti a ideje. Treba ve smyslu: TAKHLE JSEM TO RESIL JA, podrobne navody si muzes VYGOOGLIT.

    KRYSTOVA PROSTATO ZASTAV DEGENERACI a ZNIC FACEBOOKOVY PRISTIUP HATE-EVERY* + TOO LAZY TO BE SOMETHING ELSE THAN COOL!!!



    KRISHNA: imho vsema tema *coin by melo byt mozny nekde zaplatit, myslim, ze napadu je hodne, ale to ze to tezis/vyrabis/vymyslis koncept, nakonec neznamena, ze je to k necemu, nebo se pletu? zrovan tenhle coin neznam, ale je pravda, ze jsem psal, ze na serveru asi nikdo z nas chtit tezit nebude, stejne, jako na takovem serveru asi nikdo nebude chtot provozovat TOR exit point. treba ale hidden service nebo *coin wallet uz muze byt uplne neco jineho, zejo.

    pridavam dalsi bod, ktery by na serveru nemel chybet:

    13] system pro prodej [obchodovani] s necim [prodej knizek, prodej DIY veci...]
    14] katalog knih/hosting pro nejakou knihovnu elektronickych knih

    vsechny zminene body jsou postupne doplnovany na HOME, kterou uz jsem konecne zprovoznil, alespon takhle, zatim.

    PROSIM, at to nezkonci tak, ze tady budou vsichni tuze chytri, jak snadny je vsechno vygooglit, az nikdo nerekne nic uzitecneho.

    Cest a dik prozatimnim vyjimkam ;]
    OVERDRIVE
    OVERDRIVE --- ---

    je podle vas monze, pri rozumne pouzitelnosti zustat v anonymite?

    17 hlasy od 17 respondentů

      KRISHNA
      KRISHNA --- ---
      OVERDRIVE: prakticky s každym bodem mam nějakou zkušenost, ale nechce se mi asi strávit hodinu s nějakym elaborátem, všechno si vlastně tak nějak můžeš zjistit sám :))


      OVERDRIVE: Když už těžit CPU, tak XMP (primecoin), ale je to blbost, na svym serveru bych to nechtěl i když to je proces s nejmenší prioritou
      OVERDRIVE
      OVERDRIVE --- ---
      jo jeste dalsi body, co by na serveru asi melo byt:
      12] nejaky redakcni system
      13] nejakej bitCoin softwarez? co treba [miner asi nechcem, precejen ten server ma i neco delat, krom rejzovani zlata za hodne elektriky, ale proti gustu, zadnej disputat ;]
      OVERDRIVE
      OVERDRIVE --- ---
      prosim, pro prispevky, ktere maji nejakou informacni hodnotu, obsahuji zajimave linky, nebo vam jinak pomohly, nevahejte clic na palec nahoru. takove prispevky pak budou hozeny i na home auditu, potazmo na BRMLAB wiki

      pokud by nekdo mel zajem o spoluspravce auditu, dejte vedet [treba do posty], poku by nekdo mel neco delsiho, co by chtel dat na home/wiki, klidne poslete mimo samotneho auditu i me do posty, nejak si to preberu a zkusim s tim neco udelat asap
      OVERDRIVE
      OVERDRIVE --- ---

      stavet multi-purpose server s silnym zelezem nebo...

      12 hlasy od 12 respondentů

        OVERDRIVE
        OVERDRIVE --- ---

        ma v dnesni dobe cenu provozovat doma e-mail server?

        13 hlasy od 13 respondentů

          Kliknutím sem můžete změnit nastavení reklam