St4nd3l blog

Podivné zápisky

DNSSEC podepisování domén snadno s BIND inline signing

2020-08-27

Technologie DNSSEC je tady s námi už nějakou řádku let. Jak snadno ji lze uvést v život na Vašem DNS serveru si ukážeme níže. Jelikož CZ.NIC umi automaticky vytvářet key sety podle záznamu CDNSKEY. Stačí jen vygenerovat klíče a přiřadit je k doménam. Vše ostatní se již stane automaticky.

Číst dál »

Strongswan VTI

2018-10-03

Při sestavovaní IPSec tunnelu můžeme buď mezi dvěma hosty udělat GRE nebo jiný IPIP tunnel a ten balit do IPSec. Zde pak můžeme směrovat provoz který chcecme přes tunnel odbavit. Ale spíše se stekáme s plochým IPSec kdy máme na každé straně zadány sítě/hosty kteří se mají přes tunnel poslat. A pokud provoz teto mapě/politice vyhoví tak se zabalí do IPSec a pošle druhé straně. V tomto případě je problém s debugem provozu protože v určité fázi už vidíme provo zašifrován. Řešením je VTI což je virtuální interface. Z kterého a do kterého budeme provoz směrovat stejně jako kamkoliv a přitom politiky budou nastaveny stejně jako u plocheho IPSec (druhá strana o našem VTI ani nemusí tušit). Tímto si jsme schopni zlepšit podmínky pro debug IPSec provozu a stejně tak zjednodušit firewall pravidla (kdy nám tunnelovaný provoz končí v nějakém jednotném interface).

Číst dál »

Jak na vlastní repo ve FreeBSD

2017-11-12

U FreeBSD používám většinou binární balíčky a instaluji je pomocí pkgng. Ale u pár balíků jsem potřeboval změnit výchozí hodnoty. Nakonec jsem se rozhodl jít cestou vlastního repozitáře kde budu mít jen mé upravené balíky a zbytek budu používat z kasické FreeBSD distribuce. Zde bych tedy jen lehce popsat jak takový repozitář vytvořit pomocí nástroje poudriere.

Číst dál »

Mosh a IPv6

2015-07-28

Vyšla nová verze Mosh (mobile shell). Asi největší změnou je začátek podpory IPv6. Zatím bez migrovaní adres.

Roundcube a OwnCloud jak skamarádit kontakty

2015-05-23

Delší dobu jsem hledal způsob jak synchronizovat kontakty mezi OwnCloud a Roundcube. Nakonec jsem našel plugin do Roundcube který umí synchronizovat carddav. Plugin napsal Benjamin Schieder a můžeme jej stáhnout z GitHub. Uživatel si může ve svém nastavení přidat zdroje carddav (může jich být i více). Pak už plugin provádí synchronizaci a kontakty jsou vidět ve Vašem adresáři.

VENOM - velky průser ve virtualizaci

2015-05-15

VENOM je název nové chyby nalezené ve virtualizačních platformách XEN, KVM a QUEMU. Jde o možnost uniku z hostovaného OS na hostitele. Zde se pak samozřejmě hrozí ovládnutí ostatních VM strojů. I když už Redhat vydal záplaty pro KVM je tato chyba velice nepříjemná. Bohužel to i vypadá, že do budoucna se nám může objevit obdobná chyba na jiném kusu virtuálního HW než na řadiči disketové mechaniky.

Koncert Árstíðir

2015-04-02

V pondělí jsem byl v K-triu na koncertu Islandské kapely Árstíðir. Po dlouhe době naprosto parádní hudební zážitek. Nové album HVEL jsem si koupil hned na místě a teď jej naposlouchávám. Doufám, že jejich další turné povede opět přes ČR.

Superfish aneb super blbost

2015-02-22

Výrobci HW většinou do předinstalovaných windows naplácají spoustu bloodware. Ale, to co předvedlo Lenovo s aplikací Superfish asi nemá obdoby. Vytvořit CA pro podvrhování certifikátu a její instalací na stanice ještě pochopím u nějakých velkých korporací ve své síti. Kdy se toto řešení využívá pro DLP aplikace (prostě šmírují SSL spojení). Ale jako základní instalace na stanice zákazníku jen proto aby se mohly do HTTPS stránek vkládat reklamy. A ještě mít jednotný klič k CA to už je šílenost. Takže pokud máte Superfish na svém stroji zde je návod na odinstalaci.

SystemD v roce 2015

2015-02-14

V loňském roce systemd obsadil snad všechny významné linuxové distribuce. Jako poslední z velkých přišel na řadu Debian. Jelikož mám na svém NB Debian Jessie tak přišel i ke mně. I když podle mnohých je systemd čiré zlo. Tak já jsem s ním zatím spokojen. Textová konfigurace je pěkně čitelná. Dokumentace ve výborném stavu.

Číst dál »

Nativní IPv6

2015-02-04

Mé první pokusy s protokolem IPv6 se datují do roku 2008. Tehdy jsem si zřidíl účet na Sixxs. Po 7 letech mohu konečně zrušit tunel a užívat si nativní konektivity. A to díky memu poskytovateli Poda.