• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    OVERDRIVEcPUNK BOX - server self-sufficient punk ought to be running :googlit umim taky, cti nastenku! resime bod 0] home NAT
    URZA
    URZA --- ---
    ownCloud.org | Your Cloud, Your Data, Your Way!
    http://owncloud.org/
    NYX
    NYX --- ---
    btw: rozbehal jsem ted na beaglebone blacku plne sifrovany debian s remote unlockem...a je to porod, vrele doporucuji pro podobne ucely spis neco s x86 (ale psal jsem maintainerovi netinstallu at do noveho jadra da spravne moduly a az to tam bude a pojede to na 3.12, vetsina toho opruzu zmizi). jeste me ceka rozchodit hw AES akceleraci, bez ni je to dost tragicky pomale (5-7MBps r/w na externi hdd... -c aes-xts-plain64 -s 512 -h sha512).

    pokud by se do toho nekdo poustel, tak ve zkratce 3.8 co je v netinstallu ted neumi xts a i pri pouziti jineho modu velmi rychle vytuhava, tj. to ani neni mozne nainstalovat sifrovane. musi se to nahodit nesifrovane, zkompilovat nove 3.12 jadro (dostupne balicky nemaji device mapper ani xts) a nasledne to cele premigrovat do sifrovanych oddilu. na to je vcelku dobry tenhle navod, jen par drobnosti musi clovek u BBB zmenit https://ibu.a.radempa.de/wiki/debian/cubieboard/cryptroot

    jo a taky v netinstallu nefunguje dpcp a obecne se mi nepovedlo rozbehat sit pres eth, musel jsem to ocurat pres ethernet-over-usb...po instalaci to uz beha ok

    a krome tohohle remote unlocku doporucuji i tu druhou variantu pres dropbear ssh...ten busybox se hodi na opravy ruznych fuckupu po ceste :) a samozrejme po kazdem kroku kupredu delat image sd karty, nejednou se hodil :)
    HARVIE
    HARVIE --- ---
    OVERDRIVE
    OVERDRIVE --- ---
    Tenhle tal jsem nejak nechytil a asi nebude ani na streamu, pac uz je tu CHAOS brmlab club: http://sat.goffi.org/
    Asi by zajimalo spis NYXe nebo tak a potencionalne patri do cPUNK projektu, NUTNE prozkoumat, dnes jsem to v BRMLABu jen zaznamenal jako tema, nevim presne co a jak...

    Jinak omluva pro vsechny cPUNK box zajemce, mirne se to zastavilo, pac venku je hrozne hezky a poslednich 14 dnu moc nechodim domu a nespim doma a v praci nestiham, nazbiral jsem par docela hezkych ruznych reseni pro zminovana temata, i hodne modernejsi, nez vsem zname a uz i zminene klasiky... jen se musim dostat k tomu to za a] prepsat, za b] zkusit...

    at uz zacne prset a bejt hnusne... trpelivost, projekt neni mrtvy, aspon z me strany, i kdyz jsem slysel reakci: prisel tam hervie vytrolloval a tim to umrelo, neumrelo
    KRISHNA
    KRISHNA --- ---
    jinak teda zbyl mi tu jeden komp, co jsem měl jako domácí server, než jsem z něj všechny VM přesunul do datacentra.

    Je to core2quad (2,4GHz)
    deska MS-7350
    6GB RAM
    2 síťovky
    3x1TB disk v sw raid5 (2 z těch disků jsou Seagate ES - raidový disky)
    nainstalovanej debian wheezy - VM Workstation

    Běželo na tom 5x VM

    Chtěl bych za něj 5tis
    OVERDRIVE
    OVERDRIVE --- ---
    ukazalo se, ze BeagleBoard by moh mit jeste jedno zajimave uplatneni a tim je wiifi router, navod bude nasledovat, pripadne, pokud uz nekdo stavel na cemkoliv [na cem?] tak klidne nasdilejte zkusenosti
    OVERDRIVE
    OVERDRIVE --- ---
    tak je doma BeagleBone black, uvidime, jakou zatez to snese, ta desticka je chuda vymyslena uplne na neco jineho, nez na postaveni malickeho serveru [kdejaky hw blaze by zajasal], ale aspon uvidime, co to snese, mit server v telefonu je lakava predstava ;]
    OVERDRIVE
    OVERDRIVE --- ---
    QWWERTY: PROFOR: do BRMLABu se klidne zastavte, ja tam byvam minimalne kazde ut, ideal je napsat mi dopredu tady na nyxu do posty, nebo email [viz me info], pokecam rad...
    KRISHNA: TLOUDEV: KRISHNA: dekuji, doplnim na nastenku, do wiki, jen co bude vic zeleza, muzem zkusit

    ted nemam moc cas odpovedet ale KRISHNA: zkousel jsi DokuWiki?
    co presne pozadujes, ze se Ti nelibila open-source reseni?
    KRISHNA
    KRISHNA --- ---
    TLOUDEV:

    0, ano, ale ne každej se chce učit komplet iptables, jšetě bych možná zmínil mikrotik, ten bych klidně použil místo virtual routeru a přes iptables neuděláš VPNky, ani IDS/IPS, potřebuješ na to další hromadu softwaru. Ale pokud to myslíš s routerem vážně, tak uznávam, že je určitě lepší řešení vlastní kompilace gentoo-hardened z jádra, na ní shorewall (tohle se mi taky fakt moc líbí), případně racoon (na ty VPNky)

    1, vim, na smtp určitě postfix

    TLOUDEV
    TLOUDEV --- ---
    KRISHNA:
    ad 0 - iptables :-) a ip6tables -P INPUT DROP :-)
    ad 1 - dovecot je pouze imap/pop server, nikoli smtp/smtps - na to je dle meho nejlepsi postfix. zaroven pro zprovozneni smtps prenosu je zvlaste vhodne povolit i port 587 - dela se to povolenim radky "submission" v master.cf
    ad 5 - davam prednost pro svoje soukrome ucely svoji soukrome autorite - mas pak jistotu, ze mas autoritu pod kontrolou a ne ze vydava vladam widcard certifikaty atd.
    KRISHNA
    KRISHNA --- ---
    reply OVERDRIVE|40391399}: tak ve volnejch chvilkách, když si vzpomenu,tak zkusim přispět.

    Prvně bych zdůraznil, že mít nainstalovaný všechny ty body na jednom fyzickym serveru je čirej nesmysl. Resp. nedovedu si představit, že bych to všechno udržel ve spustitelnym stavu, kde by se nestalo, že nějaká služba závisí na jiný, nebo naopak jiný službě překáží. Takže pokud mít doma multifunkční server, tak nějakej, kterej umí virtualizovat, takže XEN, případně nějakej VMware.

    0, Na jednoduchej NAT se mi docela líbí distribuce jménem IPfire, je hodně simple, má v sobě grafickou správu OpenVPN/IPsec, IDS/IPS (funkční na první pokus), různý grafy a logy uplně všeho.
    1, Dovecot jako mailserver s RoundCube webovym rozhranim, hezký, uhlazený, funkční
    2, Mailing list nemam, nepoužívam
    3, Pokud jde o wiki, tak jsem nenašel open source řešení, který by mě uspokojilo. Hodně spokojenej jsem s JIRA od Atlassian, ale to neni pro lidi, co chtěj za něco platit.
    4, Jabber jsem instaloval
    5, na startssl.com si můžeš vygenerovat podepsanej certifikát na jednu doménu gratis :)
    6, ...
    7, tightvncserver, nebo x11vnc (podařila se mi rozchodit i instance se 2ma screenama). Pochopitelně nemít otevřený do netu a připojovat se přes SSH tunel, ideálně mít X server defaultně uplně vypnutej, žere prostředky.
    8, Na CRM se mi líbilo Tiny2.0, ale už nějak nebylo podporovaný nebo co, tak jsem z něj přešel na Sugar CRM, hodně doporučuju, asi nejvychytanější open source software co jsem potkal
    9, sftp, se ftps se mi občas nekamarádila filezilla. sftp mi přijde jednodušší
    10, Owncloud, furt má pár bugů (třeba to, že každou minutu klientovi vytíží CPU na 100%), ale řekl bych, že tak do roka to bude dost promakanej projekt
    11, Na webhostingu používam ISPconfig, rychle se rozvíjející opensource projekt. Ani nestíham všechny nový features, co se tam objevujou

    Ale jak řikam, rozhodně bych to nechtěl mít na jednom fyzickym stroji, rozdělit minimálně na

    1, Virtual router
    2, Webhosting + DB + FTP
    3, Mailserver
    4, Monitoring + backup
    PROFOR
    PROFOR --- ---
    QWWERTY: Ja nejsem (a nejspis ani nebudu, ale ten koncept je mi sympatickej - hlavne v tom, ze tam jsou sikovny lidi) brmlabak, ale overdrive jo... :) Ale protoze jsem planoval se tam s nekym svezt, protoze pro ne mam pix fw od cisca, tak jsem si rikal, ze klidne muzeme i pokecat... :)
    GILHAD
    GILHAD --- ---
    OVERDIVE: Naprosto trivialne - nejaky php, ktery pokud dostalo spravny parametr, tak ulozilo do tabulky jeho hodnotu a IP, odkud to prislo. Pak v kazdym pripade vypsal celou tu tabulku. Stranka nezabezpecena, nelinkovana odnikud. na nejakem free hostingu s LAMP.
    na serveru v cronu wget -o /dev/null -q "http://server/stranka.php?parametr=jmeno"
    na cestovnim pocitaci jsem mel v /etc/host radek typu
    1.2.3.4 jmeno
    kam jsem to z te stranky rucne opsal

    Proste nejjednodussi mozne reseni, bez zabezpeceni (krome obskurity), ale fungovalo to dobre, nikdy se mi to nikdo nepokousel hacknout. Hlasilo se mi tam takhle tech serveru vic, od rodicu, znamych, takze jsem i videl, kdo na zase nejake problemy, protoze tam od ne hlaseni melo starsi datum
    REDTIME
    REDTIME --- ---
    GILHAD: Tak to u UPC opravdu bylo. Bohužel za poslední dva měsíce mi byla IP změněna asi tak 5x.
    QWWERTY
    QWWERTY --- ---
    OVERDRIVE: co vykony zelezo a na tom single-purpose virtualni stroje? - jejich zalohovani je primtivni, daji se rychle nahrazovat bez dopadu na ostatni sluzby...

    OVERDRIVE: anonymita je narocna na chovani - single purpose virtualni stroje, aby mel clovek pokazde jinej HW fingerprint, pristup pres cizi sit a vsechno sifrovane neni zrovna easy ...navic to porad pocita s tim, ze pres takovy zarizeni nebude clovek navstevovat stejny weby a komunikovat se stejnejma lidma, jinak vas misto techniky muzou identifikovat podle socialniho chovani
    ....na druhou stranu si nejsem jistej, jestli je nekdo z nas tak dulezitej, aby jsme nekomu stali za takovou analyzu

    PROFOR: uz jste tam meli tolik zajimavejch akci - a me by to k vam trvalo vzdycky pres 3 hodiny cesty ;_;
    PROFOR
    PROFOR --- ---
    OVERDRIVE: jestli si chces popovidat o anonymite, tak se muzem nekdy srazit v brmlabu... :)
    OVERDRIVE
    OVERDRIVE --- ---
    GILHAD: jo to sedi, jak jsi presne mel udelanou tu ztranecku, kam se Ti hlasil domaci server?
    jinak ssh by melo mit nejaky nadstavby, nejaky auto ssh, kterak tuhle situaci resit, ale nemam prozkoumane, vi nekdo vic? vim, ze jsem to resil tak, ze jsem mel provrtane ssh z promenliveho IP na nejaky man in the middle server a pripojovla jsem se pres nej, ale to je podle meho uz dneska zbytecne [ale neresil jsem to zatim, proto si necham poradit]

    Jinak libi se mi tohle svg od riseup collective [riseup.net - jsou to docela secure Internetz activisti, spolupracuji s cypherpunk + eff a tak, doporucuju pozornosti, tak mimo ramec, nebo spis jako ramec tohohle auditu



    uzitecne linky, jako kind of related:
    https://we.riseup.net/riseuplabs+paow/openpgp-best-practices
    a
    https://www.riseup.net/en/howto-gpg-keys

    napada me dalsi service, ktery by se dal hostovat [i kdyz to neni asi na maly hw, nemam prozkoumane, jak moc takove VOIP v podobe aesterisk zere... ani jsem nikdy nekonfiuroval... hezke by treba mohlo byt pouzivat to jako friendly man in the middle, kdy zavolas domu na svuj server, a ten Te pak relativne nekontrolovane a nekontrolovatelne prepoji nekdam dal do sveta, prave SIP voip] --- pridavam jeste na home a jdu spat. mam za sebou weekend po kerem bych potreboval tyden na zotaveni ;], tak brou ve spolek.
    snad se zmeni nalada k lepsimu, nebo, ze by cypher/cyber punk uz byl vazne racky ethernet dvojlinkou smontovana mrtvola?
    GILHAD
    GILHAD --- ---
    Mimochodem - u UPC mi fungovalo, ze ackoli nemam pevnou IP zaplacenou, tak dokud jsem byl pripojen, tak se mi nezmenila (coz znamena nekolik mesicu v kuse) a pokud jim to spadlo a nahodili to "brzo" tak jsem dostal opet tu samou IP = prez rok v kuse stejna IP.
    Takze jsem mel nekde hostovanou stranecku, kam se mi ten server hlasil a ona zaznamenavala posledni cas+IP = pristup odkudkoli z netu bez ohledu na verejnou pevnou IP :)
    OVERDRIVE
    OVERDRIVE --- ---
    MMchodem, cim bych zacal, pro normalniho lame uzivatele [v tomhle pripade i me, protoze mimo komercni housing/hosting jsem to nikde nedelal, a tam to bylo ulehceno jejich supportem...]

    Situace: mam pevnou IP, mam doma nejake zelezo na kterem uz je linux, mam na nem rozchozene nejake sluzby [minimalne sshcko ;] a ted to chci dostat na verejny internet.
    Jsem pripojen nejakym domacim poskytovatelem internetu typu O2, UPC, spoje.net... kdokoliv.

    [alternativa je, ze nemam ani pevnou IP

    Co je dobre vedet do zacatku, aneb konfigurace domaciho NATu.
    Klidne staci nejake linky.

    Tim to tedy bermez postupne, podle bodu na nastence [a zminenych v auditu]

    Tedy jeste jednou, bod 0] home NAT

    [pridavam dalsi bod, tedy asi 16] GIT, 17] package repository - jsou i nejake jine vyuziti repozitaru, nez jen .DEB balicky? IMHO uricte, nejake reseni a priklad? kdyz uz se vam nechce psat, tak aspon linky, treba
    Kliknutím sem můžete změnit nastavení reklam