DNSSEC podepisování domén snadno s BIND inline signing
Technologie DNSSEC je tady s námi už nějakou řádku let. Jak snadno ji lze uvést v život na Vašem DNS serveru si ukážeme níže. Jelikož CZ.NIC umi automaticky vytvářet key sety podle záznamu CDNSKEY. Stačí jen vygenerovat klíče a přiřadit je k doménam. Vše ostatní se již stane automaticky.
Jak na vlastní repo ve FreeBSD
U FreeBSD používám většinou binární balíčky a instaluji je pomocí pkgng. Ale u pár balíků jsem potřeboval změnit výchozí hodnoty. Nakonec jsem se rozhodl jít cestou vlastního repozitáře kde budu mít jen mé upravené balíky a zbytek budu používat z kasické FreeBSD distribuce. Zde bych tedy jen lehce popsat jak takový repozitář vytvořit pomocí nástroje poudriere.
Integrace Squid proxy s AD
Návod na integraci proxy s Active Directory. Klienti se budou proti proxy ověřovat pomocí NTLM + Kerbera a nebo pomocí zadaní jména a hesla. Dále je řešeno i omezování klientů na základě skupin vyčitaných z AD přes LDAP. Toto omezování provádí SquidGuard.
Použití SmartCard
Pokud používáte pro přihlašováni/podpisování nějaký certifikát nebo klič. Jistě Vás již napadlo že je to vlastně jen soubor chráněny heslem a že tedy může byt klidně odcizen a zneužit. A když například ztratíte notebook s takovým souborem nemůžete si byt jisti že se nedostal někam kam neměl. V horši variantě muže byt počítač napaden a útočník má jak Váš certfikat tak heslo k němu. A že by bylo tedy fajn oddělit tyto citlivé přihlašovací od počítače a nosit je sebou nebo je mít zamknuté třeba v šuplíku. A přesně tuto možnost nám dávají eTokeny nebo SmartCard. Do těchto zařízení lze nahrát certifikát. V zařízeni je pak chráněn tento certifikát PINem. A co je hlavní certifikát (tedy jeho privátní část) již ze zařízení nedostanete. A crypto operace (podpisování, přihlašování) se provádí přímo v tokenu.