Do we have any IT guys on this forum? :D

[blacked_out]

Latest post of the previous page:

No oficjalnie to pracuję jako programista .NET (C#), ale insteresuje się... a w sumie wszystkim, od hardware, przez sieci/administracje/devops a tak najbardziej to chyba "cyberbezpieczeństwem" szeroko pojętym i tym dobrym i tym złym XD ale żeby nie było, mi chodzi o bardziej fakt że lubię analizować kody malware z githuba jak działają itp., sam tego typu rzeczy nie tworzę.

Również interesuję się wszystkim, ale w kilku rzeczach to jeszcze mam za małą głowę chociażby np. nauczanie maszynowe/sieci neuronowe/sztuczna inteligencja Lubię patrzeć jak to wszystko działa i jestem pod wrażeniem, że taki ChatGPT a dokładniej to jego silnik GPT-3 (oraz 3.5 i 4) jest napisany w Pythonie używając najprawdopodobniej znanych bibliotek takich jak TensorFlow, PyTorch czy jeszcze innych - najprawdopodobniej, bo sam GPT tak twierdzi, czy jest to prawda? Nie wiadomo ale ze swojego punktu widzenia musi tak być, bo dzisiaj nikomu nie chciałoby się budować sztucznej inteligencji w Pythonie kompletnie bez użycia bibliotek lub pisząc wszystkie własne: czy to z ekipą czy bez, nikomu się dziś nie chcę Kilka lat temu, to było dla mnie nie do pomyślenia, że AI można zbudować w tak prostym i przyjemnym języku, no cóż.. technologia

image.png (211.83 KiB)

Co do analizowania kodów malware z Git'a (i pewnie nie tylko), kiedyś było głośno o WannaCry co poblokował większość komputerów i urządzeń w tym IoT (Internet Of Things) bazujących na Windows na całym świecie i ktoś mądry zdekompilował cały kod tego ransomware i pojawiło się gdzieś na GitHub'ie. Wtedy miałem okazję spojrzeć na oryginalne repozytorium prosto od tego kogoś, co to zdekompilował ale teraz już po takim czasie nie wiem czy istnieje, zapewne pojawiły się mirrory na innych profilach użytkowników - ale mimo wszystko patrząc sobie na kod tego monstrum nie spodziewałbym się, że jedna głupia podatność w protokole SMB Windows'a potrafi wywołać tak duże zniszczenia i spustoszenie na świecie oraz że kluczem do zatrzymania tego ransomware było poprostu wykupienie domeny z jaką WannaCry się łączył, bo za czasów panowania tego ransomware w kodzie jego była reguła w skrócie: gdy domena nieistniała bo była niezarejestrowana (to była chyba ta http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ ale już nie pamiętam, pierwszy hit w wynikach wyszukiwarki), no to WannaCry robił swoje krótkomówiąc, a gdy działało połączenie z nią bo ransomware sprawdzało - to program przestawał działać i tyle. Bynajmniej tak to było w oryginalnej wersji jak mnie pamięć nie myli

W cyberbezpieczeństwo lubię się bawić i uczyć w tym kierunku, ale bardziej w tym dobrym kierunku - wkońcu sam podstawowo zabezpieczam serwery, wirtualne maszyny i inne furtki dostępu w firmie w której pracuję ale tylko podstawowo - po mojej pracy np. stawianiu czegoś na nich zastępuje mnie kilka osób które patrzą na moją pracę, próbują zasymulować różne ataki i ewentualnie poprawiają zabezpieczenia za co ja nie dostaje przysłowiowego "opierdolu", bo nie pracuje głównie w tej dziedzinie

W skrócie to co zawsze robię na świeżych serwerach itp. :
- Aktualizacja repozytoriów i zależności wiadomo.
- Silne hasła dla root'a i użytkownika
- Zmiana portu z domyślnego 22 na np. 1925 dla SSH ale zazwyczaj to zamykam kompletnie port SSH i jest on otwierany tylko gdy jest to konieczne, logowanie kluczem SSH zamiast poprzez wpisywanie haseł i ewentualne ustawienie MFA jeżeli trzeba (na swoich serwerach w chmurze używam libpam-google-authenticator do kodów z aplikacji na serwerze)
- Odpowiednie reguły firewalla czy to w iptables, czy w ufw a nawet w fizycznym firewallu bo również takiego u nas posiadamy
- Rate-limiting zależnie od aplikacji
- Lista regex'ów w której znajdują się popularne exploity i sztuczki które czasem umożliwiają odkrycie podatności w systemach
- Fail2ban ale to można po części zaliczyć do rate-limitingu
I to chyba wszystko Ja tylko stawiam rzeczy od strony serwerowej, gdy zajmuje się dalej tym wszystkim programista np. Node.js i wdraża to co zrobił - to właśnie ponownie są wołane osoby te same co do mnie od bezpieczeństwa u nas i sprawdzają wszystko pod kątem podatności.

[kkk132]

No oficjalnie to pracuję jako programista .NET (C#), ale insteresuje się... a w sumie wszystkim, od hardware, przez sieci/administracje/devops a tak najbardziej to chyba "cyberbezpieczeństwem" szeroko pojętym i tym dobrym i tym złym XD ale żeby nie było, mi chodzi o bardziej fakt że lubię analizować kody malware z githuba jak działają itp., sam tego typu rzeczy nie tworzę.

Również interesuję się wszystkim, ale w kilku rzeczach to jeszcze mam za małą głowę chociażby np. nauczanie maszynowe/sieci neuronowe/sztuczna inteligencja Lubię patrzeć jak to wszystko działa i jestem pod wrażeniem, że taki ChatGPT a dokładniej to jego silnik GPT-3 (oraz 3.5 i 4) jest napisany w Pythonie używając najprawdopodobniej znanych bibliotek takich jak TensorFlow, PyTorch czy jeszcze innych - najprawdopodobniej, bo sam GPT tak twierdzi, czy jest to prawda? Nie wiadomo ale ze swojego punktu widzenia musi tak być, bo dzisiaj nikomu nie chciałoby się budować sztucznej inteligencji w Pythonie kompletnie bez użycia bibliotek lub pisząc wszystkie własne: czy to z ekipą czy bez, nikomu się dziś nie chcę Kilka lat temu, to było dla mnie nie do pomyślenia, że AI można zbudować w tak prostym i przyjemnym języku, no cóż.. technologia
image.png

Co do analizowania kodów malware z Git'a (i pewnie nie tylko), kiedyś było głośno o WannaCry co poblokował większość komputerów i urządzeń w tym IoT (Internet Of Things) bazujących na Windows na całym świecie i ktoś mądry zdekompilował cały kod tego ransomware i pojawiło się gdzieś na GitHub'ie. Wtedy miałem okazję spojrzeć na oryginalne repozytorium prosto od tego kogoś, co to zdekompilował ale teraz już po takim czasie nie wiem czy istnieje, zapewne pojawiły się mirrory na innych profilach użytkowników - ale mimo wszystko patrząc sobie na kod tego monstrum nie spodziewałbym się, że jedna głupia podatność w protokole SMB Windows'a potrafi wywołać tak duże zniszczenia i spustoszenie na świecie oraz że kluczem do zatrzymania tego ransomware było poprostu wykupienie domeny z jaką WannaCry się łączył, bo za czasów panowania tego ransomware w kodzie jego była reguła w skrócie: gdy domena nieistniała bo była niezarejestrowana (to była chyba ta http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ ale już nie pamiętam, pierwszy hit w wynikach wyszukiwarki), no to WannaCry robił swoje krótkomówiąc, a gdy działało połączenie z nią bo ransomware sprawdzało - to program przestawał działać i tyle. Bynajmniej tak to było w oryginalnej wersji jak mnie pamięć nie myli

W cyberbezpieczeństwo lubię się bawić i uczyć w tym kierunku, ale bardziej w tym dobrym kierunku - wkońcu sam podstawowo zabezpieczam serwery, wirtualne maszyny i inne furtki dostępu w firmie w której pracuję ale tylko podstawowo - po mojej pracy np. stawianiu czegoś na nich zastępuje mnie kilka osób które patrzą na moją pracę, próbują zasymulować różne ataki i ewentualnie poprawiają zabezpieczenia za co ja nie dostaje przysłowiowego "opierdolu", bo nie pracuje głównie w tej dziedzinie

W skrócie to co zawsze robię na świeżych serwerach itp. :
- Aktualizacja repozytoriów i zależności wiadomo.
- Silne hasła dla root'a i użytkownika
- Zmiana portu z domyślnego 22 na np. 1925 dla SSH ale zazwyczaj to zamykam kompletnie port SSH i jest on otwierany tylko gdy jest to konieczne, logowanie kluczem SSH zamiast poprzez wpisywanie haseł i ewentualne ustawienie MFA jeżeli trzeba (na swoich serwerach w chmurze używam libpam-google-authenticator do kodów z aplikacji na serwerze)
- Odpowiednie reguły firewalla czy to w iptables, czy w ufw a nawet w fizycznym firewallu bo również takiego u nas posiadamy
- Rate-limiting zależnie od aplikacji
- Lista regex'ów w której znajdują się popularne exploity i sztuczki które czasem umożliwiają odkrycie podatności w systemach
- Fail2ban ale to można po części zaliczyć do rate-limitingu
I to chyba wszystko Ja tylko stawiam rzeczy od strony serwerowej, gdy zajmuje się dalej tym wszystkim programista np. Node.js i wdraża to co zrobił - to właśnie ponownie są wołane osoby te same co do mnie od bezpieczeństwa u nas i sprawdzają wszystko pod kątem podatności.

Spoko, to nie polubimy się, bo ja jestem fanbojem Microsoftu, Windowsa i .NETa xDD. Nie no żartuję oczywiście, od kiedy pojawił się .NET Core (premiera pierwszej wersji w 2016 roku, obecnie już to się nazywa po prostu ".NET" i stał się open source a do tego cross-platfrom to bardzo dużo się zmieniło, część osób nadal myśli że .NET/C# to tylko Windows i zamknięty kod ), sam jakieś tam swoje prywatne projekty to z reguły hostuję na VPSach z Debianem i w sumie robię podczas takiej pierwszej konfiguracji to samo co Ty. Co nie znaczy, że nie używam Windows Servera, ale to bardziej w pracy - tak prywatnie to mi szkoda kasy na serwery z licencją na Windowsa po prostu xD.

Co do kodu WannaCry to widzę, że nadal jest on na GitHubie, nie wiem czy to po dekompilacji czy oryginał, nie patrzyłem szczerze jeszcze w niego, wieczorem sobie popatrzę. Napisany oczywiście w .NET Ale no .NET Frameworku, czyli tym starym tylko pod Windowsa (ew. na Linuxach przez Mono można też uruchomić ale nie mam pojęcia jak taki dosyć "specyficzny" kod by się tam zachował XD).
https://github.com/zR00t1/WannaCry
EDIT: Sorry, w sumie to nie wiem czy to jest ten "oryginał" czy tu ktoś po prostu napisał praktycznie identyczną aplikację w tym. Bo na innych repozytoriach githubowych znajduję go zdekompilowanego do czystego C, co w sumie i tak nie da przecież pewności że w czystym C WannaCry powstał.

BTW Słyszałeś o tym nowym "Azure Linux"? - distro Linuxa od Microsoftu XD

[blacked_out]

Spoko, to nie polubimy się, bo ja jestem fanbojem Microsoftu, Windowsa i .NETa xDD.

eee tam gadasz jedna osoba od Linux'a a druga od Windows'a to wspólne siły do sukcesu

od kiedy pojawił się .NET Core (premiera pierwszej wersji w 2016 roku, obecnie już to się nazywa po prostu ".NET" i stał się open source a do tego cross-platfrom to bardzo dużo się zmieniło, część osób nadal myśli że .NET/C# to tylko Windows i zamknięty kod ),

Niestety, ale to prawda... Sam mam Visual Studio zainstalowane wraz z .NET 6.0 i 7.0 na swoim Mac'u Mini M1 oraz na swoim laptopie ze zmodyfikowanym Artixem (myślałem, że ciężko mi będzie na ARM64 bo procesor Apple M1 jest na tej architekturze, ale po złapaniu wprawy - jest przyjemnie aczkolwiek laptop na procesorze x86-64 się przydaje. Wirtualizacja x86 na ARM64 jeszcze nie działa dobrze, ale patrząc po społeczności to zmierza to w dobrym kierunku

Dokładnie kilka dni temu bawiłem się w stworzenie bardzo prostej aplikacji .NET na macOS i przebiegło to bez żadnych problemów = zwykłe Hello world xD ale to już jest zawsze krok do przodu, uczę się tak naprawdę wszystkiego co tylko mogę - bo nigdy nie wiem kiedy może mi się to przydać. Na Hello world niestety się skończyło jak narazie, bo ważniejsze sprawy zawołały - ale jeszczę wrócę do zabawy z dotNETem na macOS

am jakieś tam swoje prywatne projekty to z reguły hostuję na VPSach z Debianem i w sumie robię podczas takiej pierwszej konfiguracji to samo co Ty.

Ja również! Lubię projekty open-source innych członków społeczności "self-hosted" i samemu hostuję własne rzeczy takie jak VPN na WireGuard po migracji z OpenVPN ale o tym to już sam wiesz z tutoriala jakiego tutaj zamieszczałem (straciłem tamto konto YT i wideo jest już niedostępne, a szkoda bo nie zrobiłem backupu ), samemu hostuję coś takiego jak Invidious czyli front-end YouTube stawiający na prywatność - można sobie po odpaleniu instancji Invidious w jej ustawieniach odpalić opcję "Proxy Videos" i wtedy ruch sieciowy leci od nas do instancji gdzieś w chmurze i kończąc na serwerach YouTube. Wtedy Google widzi jedynie adres IP naszego serwera w chmurze, a nie nasze prawdziwe IP co zwiększa anonimowość oraz projekt zawiera zupełnie oddzieloną od Google możliwość kont na naszej instancji, co pozwala na działanie powiadomień jak w zwykłym YT, subskrybcje a nawet importowanie playlist i subskrybcji z konta Google na własne w Invidious Projekt nadal się rozwija przez społeczność, bo nie działają jeszcze funkcje takie jak oglądanie live'ów ale zapisy z live śmigają i pare innych rzeczy. Google już się tego projektu uczepiło, i publiczne instancje w internecie zostały pobanowane przez Google poprzez wychwycenie adresów IP takich instancji i odtwarzanie wideo nie działa, ale to się dzieje tylko wtedy gdy póki co taka instancja jest na liście https://docs.invidious.io/instances więc prywatne instancje nie dostają bana bo moja śmiga dalej. Pozatym to hostuję jeszcze własną wyszukiwarkę przez projekt SearXNG (https://docs.searxng.org/) oraz kilka innych rzeczy ale to już lokalnie na serwerze w domu który robi za serwer plików SMB + NFS (przez zwirtualizowany TrueNAS na Proxmox VE) i właśnie kontenery Docker na drugiej wirtualnej maszynie z Debianem. (wirtualki mam podzielone obie po pół zasobów mojego serwera w domu który posiada 32GB RAM i 8 rdzeni + 16 wątków, więc nie jest źle) a na nim postawiony chociażby Vaultwarden (https://github.com/dani-garcia/vaultwarden) który jest zmodyfikowaną wersją oryginalnego menedżera haseł Bitwarden ale z możliwością tych płatnych funkcji które tutaj są za darmo a nie jak w oryginalnym Bitwarden'ie, Jellyfin (https://jellyfin.org/) czyli odtwarzacz multimediów wraz z opcją transkodowania wykorzystując moc GPU jeżeli jest dostępne lub CPU i jeszcze pare innych rzeczy widnieje na moim lokalnym serwerze Dostęp do wszystkiego mam właśnie poprzez WireGuarda z racji tego, że mam publiczny IP u swojego operatora - więc dostęp poza domem to nie jest żaden problem.

tak prywatnie to mi szkoda kasy na serwery z licencją na Windowsa po prostu xD.

+1

BTW Słyszałeś o tym nowym "Azure Linux"? - distro Linuxa od Microsoftu XD

Teraz o tym czytam i nie słyszałem. Kusi spróbować i chyba to zrobię

[GiorgioUA77]

Ja kiedyś siedziałem w informatyce ale już parę lat jestem nieaktywny. Robiło się serwery/strony internetowe/fora itd. DoS-y na szkolne łącze to była codzienność haha

[kkk132]

Spoko, to nie polubimy się, bo ja jestem fanbojem Microsoftu, Windowsa i .NETa xDD.

eee tam gadasz jedna osoba od Linux'a a druga od Windows'a to wspólne siły do sukcesu

od kiedy pojawił się .NET Core (premiera pierwszej wersji w 2016 roku, obecnie już to się nazywa po prostu ".NET" i stał się open source a do tego cross-platfrom to bardzo dużo się zmieniło, część osób nadal myśli że .NET/C# to tylko Windows i zamknięty kod ),

Niestety, ale to prawda... Sam mam Visual Studio zainstalowane wraz z .NET 6.0 i 7.0 na swoim Mac'u Mini M1 oraz na swoim laptopie ze zmodyfikowanym Artixem (myślałem, że ciężko mi będzie na ARM64 bo procesor Apple M1 jest na tej architekturze, ale po złapaniu wprawy - jest przyjemnie aczkolwiek laptop na procesorze x86-64 się przydaje. Wirtualizacja x86 na ARM64 jeszcze nie działa dobrze, ale patrząc po społeczności to zmierza to w dobrym kierunku

Dokładnie kilka dni temu bawiłem się w stworzenie bardzo prostej aplikacji .NET na macOS i przebiegło to bez żadnych problemów = zwykłe Hello world xD ale to już jest zawsze krok do przodu, uczę się tak naprawdę wszystkiego co tylko mogę - bo nigdy nie wiem kiedy może mi się to przydać. Na Hello world niestety się skończyło jak narazie, bo ważniejsze sprawy zawołały - ale jeszczę wrócę do zabawy z dotNETem na macOS

am jakieś tam swoje prywatne projekty to z reguły hostuję na VPSach z Debianem i w sumie robię podczas takiej pierwszej konfiguracji to samo co Ty.

Ja również! Lubię projekty open-source innych członków społeczności "self-hosted" i samemu hostuję własne rzeczy takie jak VPN na WireGuard po migracji z OpenVPN ale o tym to już sam wiesz z tutoriala jakiego tutaj zamieszczałem (straciłem tamto konto YT i wideo jest już niedostępne, a szkoda bo nie zrobiłem backupu ), samemu hostuję coś takiego jak Invidious czyli front-end YouTube stawiający na prywatność - można sobie po odpaleniu instancji Invidious w jej ustawieniach odpalić opcję "Proxy Videos" i wtedy ruch sieciowy leci od nas do instancji gdzieś w chmurze i kończąc na serwerach YouTube. Wtedy Google widzi jedynie adres IP naszego serwera w chmurze, a nie nasze prawdziwe IP co zwiększa anonimowość oraz projekt zawiera zupełnie oddzieloną od Google możliwość kont na naszej instancji, co pozwala na działanie powiadomień jak w zwykłym YT, subskrybcje a nawet importowanie playlist i subskrybcji z konta Google na własne w Invidious Projekt nadal się rozwija przez społeczność, bo nie działają jeszcze funkcje takie jak oglądanie live'ów ale zapisy z live śmigają i pare innych rzeczy. Google już się tego projektu uczepiło, i publiczne instancje w internecie zostały pobanowane przez Google poprzez wychwycenie adresów IP takich instancji i odtwarzanie wideo nie działa, ale to się dzieje tylko wtedy gdy póki co taka instancja jest na liście https://docs.invidious.io/instances więc prywatne instancje nie dostają bana bo moja śmiga dalej. Pozatym to hostuję jeszcze własną wyszukiwarkę przez projekt SearXNG (https://docs.searxng.org/) oraz kilka innych rzeczy ale to już lokalnie na serwerze w domu który robi za serwer plików SMB + NFS (przez zwirtualizowany TrueNAS na Proxmox VE) i właśnie kontenery Docker na drugiej wirtualnej maszynie z Debianem. (wirtualki mam podzielone obie po pół zasobów mojego serwera w domu który posiada 32GB RAM i 8 rdzeni + 16 wątków, więc nie jest źle) a na nim postawiony chociażby Vaultwarden (https://github.com/dani-garcia/vaultwarden) który jest zmodyfikowaną wersją oryginalnego menedżera haseł Bitwarden ale z możliwością tych płatnych funkcji które tutaj są za darmo a nie jak w oryginalnym Bitwarden'ie, Jellyfin (https://jellyfin.org/) czyli odtwarzacz multimediów wraz z opcją transkodowania wykorzystując moc GPU jeżeli jest dostępne lub CPU i jeszcze pare innych rzeczy widnieje na moim lokalnym serwerze Dostęp do wszystkiego mam właśnie poprzez WireGuarda z racji tego, że mam publiczny IP u swojego operatora - więc dostęp poza domem to nie jest żaden problem.

tak prywatnie to mi szkoda kasy na serwery z licencją na Windowsa po prostu xD.

+1

BTW Słyszałeś o tym nowym "Azure Linux"? - distro Linuxa od Microsoftu XD

Teraz o tym czytam i nie słyszałem. Kusi spróbować i chyba to zrobię

A tak z ciekawości - dlaczego nie KeePass (i nie, nie jest dla mnie jakąś zaletą tego że akurat w .NET Frameworku jest napisany xD, z resztą są jego porty w innych językach xd). Ale chyba to raczej najstarszy, "najbardziej doświadczony" open-source menedżer haseł, nie? Bitwardena hostowanego samemu (czy Ty jak mówisz jakis jego fork, nie znałem, spojrzę potem, to jeszcze rozumiem... ale tych "chmurowych" menedżerów to ja kompletnie nie rozumiem... ani ludzi którzy ich używają a w dodatku za to płacą.
Kolega się mnie kiedyś pyta tak:
- Polecasz używać menedżera haseł, bo słyszałem że warto czy coś?
- No pewnie, to oczywiste, pokażę Ci jak itp.
- A którego wybrać? DROGIE TO JEST?
A ja wtedy tak pomyślałem i mówię...
- No Ty chyba niepoważny jesteś jak nie dość że chcesz oddać komuś obcemu swoje wszystkie hasła i jeszcze za to temu komuś płacić XDD

A o tych instancjach Invidiousa to słyszałem i wiem że istnieją z... a takiego tam forum której nazwy tu nie wolno wymawiać ani gdzie to forum jest... ale i tak wszyscy wiemy o co chodzi XD (klikając tam w jakikolwiek link do youtuba jak ktoś wrzuci to Ci proponuje od razu skorzystanie właśnie z któregos tego "pośrednika") Ale w szczegóły jak to działa to się nie zagłębiałem, ciekawe.

[blacked_out]

A tak z ciekawości - dlaczego nie KeePass (i nie, nie jest dla mnie jakąś zaletą tego że akurat w .NET Frameworku jest napisany xD, z resztą są jego porty w innych językach xd). Ale chyba to raczej najstarszy, "najbardziej doświadczony" open-source menedżer haseł, nie? Bitwardena hostowanego samemu (czy Ty jak mówisz jakis jego fork, nie znałem, spojrzę potem, to jeszcze rozumiem... ale tych "chmurowych" menedżerów to ja kompletnie nie rozumiem... ani ludzi którzy ich używają a w dodatku za to płacą.
Kolega się mnie kiedyś pyta tak:
- Polecasz używać menedżera haseł, bo słyszałem że warto czy coś?
- No pewnie, to oczywiste, pokażę Ci jak itp.
- A którego wybrać? DROGIE TO JEST?
A ja wtedy tak pomyślałem i mówię...
- No Ty chyba niepoważny jesteś jak nie dość że chcesz oddać komuś obcemu swoje wszystkie hasła i jeszcze za to temu komuś płacić XDD

Głównie wybrałem forka Bitwarden'a czyli Vaultwarden, bo miałem problemy z synchronizacją pliku bazy danych pomiędzy urządzeniami - zamieściłem sobie bazę .kdbx na swoim serwerze plików, potem skonfigurowałem połączenie do serwera plików poprzez WireGuard'a na moim telefonie i chciałem zrobić coś w postaci okresowej synchronizacji danych z tego pliku bazy i czasem to dobrze działało - a czasem nie i po kilku dniach sobie odpuściłem i znalazłem Bitwarden'a który jest dostępny pod adresem vault.bitwarden.com jako oficjalna instancja lub właśnie można samemu hostować na swoim serwerze prywatnie w domu nawet nie wypuszczając usługi na Internet bo w opcjach aplikacji Bitwarden, można wpisać lokalny adres IP i też zadziała. Wybrałem jednak forka tego menedżera haseł tylko dlatego, że miał odblokowane niektóre funkcje które są w oryginalnym Bitwarden'ie niestety płatne, a Vaultwarden miał je za darmo i współpracował z oficjalną aplikacją Bitwarden na telefonie bez problemu. Mój przebieg ruchu mojej instancji na Dockerze poza domem wygląda w skrócie tak: Mój telefon i LTE/5G -> WireGuard VPN prosto do mojego publicznego adresu IP przydzielonego przez dostawcę internetu (ISP) -> Dostęp do serwera na którym mam go hostowanego jak i inne rzeczy bo on serwuje WireGuard'a dla moich urządzeń. I to w sumie wszystko Gdy nie ma się publicznego adresu IP i ma się zmienny oraz jest się za NATem (większość planów dla zwykłych użytkowników u Polskich dostawców internetu, tym bardziej moblinych przez LTE/5G) no to można postawić sobie WireGuarda na tanim VPSie, skonfigurować serwer w domu (nawet Raspberry Pi) aby był on klientem WireGuard i na VPSie skonfigurować Reverse Proxy oraz odblokować porty i na sam koniec podpiąć VPSa do jakiejś domeny (wtedy ruch wyglądałby tak: Nasze urządzenie -> Domena -> Nasz serwer VPS z WireGuard jako serwer VPN i Reverse Proxy z np. adresu IP VPSa i portu 443 na adres IP danego klienta WireGuard i portu 5000 np. 10.7.0.5:5000 -> Połączenie wchodzi z sieci Internet do naszego serwera w domu -> Bitwarden/Vaultwarden)

[Enchi]

blacked_out, powiem Ci że prawie nic z tego nie rozumiem ale jestem pełen szacunku dla ludzi którzy się na czymś dobrze znają Zwłaszcza w tych dziwnych czasach

[Piuropusz]

Tak jak kolega wyzej sie dziwi tak i ja jestem zdziwiony wasza wiedza na tematy informatyczne. Szacun Panowie!

[kkk132]

A tak z ciekawości - dlaczego nie KeePass (i nie, nie jest dla mnie jakąś zaletą tego że akurat w .NET Frameworku jest napisany xD, z resztą są jego porty w innych językach xd). Ale chyba to raczej najstarszy, "najbardziej doświadczony" open-source menedżer haseł, nie? Bitwardena hostowanego samemu (czy Ty jak mówisz jakis jego fork, nie znałem, spojrzę potem, to jeszcze rozumiem... ale tych "chmurowych" menedżerów to ja kompletnie nie rozumiem... ani ludzi którzy ich używają a w dodatku za to płacą.
Kolega się mnie kiedyś pyta tak:
- Polecasz używać menedżera haseł, bo słyszałem że warto czy coś?
- No pewnie, to oczywiste, pokażę Ci jak itp.
- A którego wybrać? DROGIE TO JEST?
A ja wtedy tak pomyślałem i mówię...
- No Ty chyba niepoważny jesteś jak nie dość że chcesz oddać komuś obcemu swoje wszystkie hasła i jeszcze za to temu komuś płacić XDD

Głównie wybrałem forka Bitwarden'a czyli Vaultwarden, bo miałem problemy z synchronizacją pliku bazy danych pomiędzy urządzeniami - zamieściłem sobie bazę .kdbx na swoim serwerze plików, potem skonfigurowałem połączenie do serwera plików poprzez WireGuard'a na moim telefonie i chciałem zrobić coś w postaci okresowej synchronizacji danych z tego pliku bazy i czasem to dobrze działało - a czasem nie i po kilku dniach sobie odpuściłem i znalazłem Bitwarden'a który jest dostępny pod adresem vault.bitwarden.com jako oficjalna instancja lub właśnie można samemu hostować na swoim serwerze prywatnie w domu nawet nie wypuszczając usługi na Internet bo w opcjach aplikacji Bitwarden, można wpisać lokalny adres IP i też zadziała. Wybrałem jednak forka tego menedżera haseł tylko dlatego, że miał odblokowane niektóre funkcje które są w oryginalnym Bitwarden'ie niestety płatne, a Vaultwarden miał je za darmo i współpracował z oficjalną aplikacją Bitwarden na telefonie bez problemu. Mój przebieg ruchu mojej instancji na Dockerze poza domem wygląda w skrócie tak: Mój telefon i LTE/5G - WireGuard VPN prosto do mojego publicznego adresu IP przydzielonego przez dostawcę internetu (ISP) - Dostęp do serwera na którym mam go hostowanego jak i inne rzeczy bo on serwuje WireGuard'a dla moich urządzeń. I to w sumie wszystko Gdy nie ma się publicznego adresu IP i ma się zmienny oraz jest się za NATem (większość planów dla zwykłych użytkowników u Polskich dostawców internetu, tym bardziej moblinych przez LTE/5G) no to można postawić sobie WireGuarda na tanim VPSie, skonfigurować serwer w domu (nawet Raspberry Pi) aby był on klientem WireGuard i na VPSie skonfigurować Reverse Proxy oraz odblokować porty i na sam koniec podpiąć VPSa do jakiejś domeny (wtedy ruch wyglądałby tak: Nasze urządzenie - Domena - Nasz serwer VPS z WireGuard jako serwer VPN i Reverse Proxy z np. adresu IP VPSa i portu 443 na adres IP danego klienta WireGuard i portu 5000 np. 10.7.0.5:5000 - Połączenie wchodzi z sieci Internet do naszego serwera w domu - Bitwarden/Vaultwarden)

Ja to wiem jak działa akurat, ale dobra. XD Kwestia też oceny ryzyka, no ja tam nie jestem aż takim paranoikiem, serio xD
Trzymam po prostu sobie tą bazę .kdbx KeePassową na... tu bez zaskoczenia - OneDrive (1 TB miejsca + cały legalny pakiet Office za 30 zł miesięcznie to jak dla mnie tak obiektywnie patrząc nawet przebija bardzo mocno wszystkie inne tego typu dyski sieciowe/czy jak to się dzisiaj popularnie nazywa "chmury" XD). Jedyne co to algorytm szyfrujący ze standardowego AESa z kluczem o długości 256 bitów na ChaCha20 zmieniłem i key derivation function (nie pamiętam teraz jak to po polsku się nazywa, sorki) na Argon2d. No i liczbę iteracji ze standardowych 2... na jakieś 15 razy tyle, baza w zależności od komptuera i szybkości jego procesora otwiera się no kilkanaście-kilkadziesiąt sekund + czas na wpisanie ok. 50 znakowego hasła trochę zajmuje, ale wg mnie tyle to spokojnie wystarczy, jak mówię, aż takim "paranoikiem" XD nie jestem, ale co kto lubi.

[blacked_out]

no ja tam nie jestem aż takim paranoikiem, serio xD

Ja też nie, serio xD Trzymam wszystkie pliki z kontenera Docker tego Vaultwarden'a w kontenerze VeraCrypt z metodą szyfrowania AES(Twofish(Serpent)) który montuje się przy starcie wirtualnej maszyny z Debianem a na niej Docker + Portainer do zarządzania i oczywiście moje kontenery w Dockerze - jak uruchamiam VM'kę i po odpaleniu widzę w logach komunikat z mojego skryptu którego napisałem w BASH'u (ładuje się przy uruchomieniu odrazu po załadowaniu usługi sieci - ale przed wystartowaniem usługi Docker żeby czasem nie było sytuacji że kontener Vaultwarden nie wstanie bo nie odnaleziono ścieżki woluminu VeraCrypt i by była lipa). Skrypt zaprojektowałem tak, aby przy uruchomieniu wyświetlał komunikat "Szukam dysku z parametrami woluminu VeraCrypt dla Vaultwarden", a następnie szuka identyfikatora UUID mojego pendrive którego zawsze podpinam do serwera jeżeli się wyłączy lub restartuje - restartuje się nigdy dopóki sam tego nie zrobię, ostatnio uptime był 190 dni Gdy go znajdzie, to go montuje tymczasowo aby zczytać plik "vc_vaultwarden.conf" i podbiera sobie z niego całe hasło, klucz PIM, parametry gdzie zamontować itp. no i jak można się domyśleć montuje ten wolumin VeraCrypt i gdy go zamontuje no to odmontowywuje mojego pendrive z tym plikiem konfiguracyjnym i skrypt wyświetla informację, że wszystko gotowe i rozpoczyna uruchamianie usługi Docker i pochodnych które są podlinkowane w systemd (czyli programie inicjalizacyjnym systemu - /sbin/init). Jeżeli nie znajdzie pendrive, no to po prostu system uruchomi się normalnie ale bez wystartowania usługi Docker z wpisem do dziennika systemu że nie odnaleziono nośnika z hasłem i PIM i git

W skrócie w logach wygląda to tak:

Code: Select all

$ sudo dmesg -c

(całe logi jądra systemu przy uruchomieniu...)

[    4.4211686] systemd[1]: Starting mountVCvolumeAtBoot...
[    4.4211690] systemd[1]: Started mountVCvolumeAtBoot.
[    4.4211692] bash[1539]: Szukam dysku z parametrami woluminu VeraCrypt dla Vaultwarden przez 30 sekund...
[    6.2116535] bash[1539]: Znaleziono! Montowanie dysku w Linux...

...
(logi montowania dysku którym jest wspomniany pendrive z hasłem do woluminu przechowywanym na wirtualnym dysku VM przez polecenie 'mount' wywoływane przez skrypt...)
...

[    7.7295310] bash[1539]: Próbuję zamontować wolumin VeraCrypt z parametrami w pliku vc_vaultwarden.conf...

...
(logi z polecenia 'veracrypt' uruchamianego przez skrypt przy starcie...)
...

[   11.5956281] bash[1539]: Zamontowano w /srv/vc_vaultwarden . Próbuję uruchomić usługę Docker...
[   11.5956310] systemd[1]: Starting Docker Application Container Engine...

Wszystko po to, aby mieć pewność że nikt niepowołany nie dostanie się do plików kontenera Vaultwarden (w których jest oczywiście plik bazy danych!) po wejściu na chatę np. policja czy ktoś inny xD Bo zawsze mogę spojrzeć w drzwiach kto puka albo jak zobaczę że ktoś mi się bez powiadomienia wpierdala na chatę i zobaczę że to opancerzeni ludzie to mam dosłownie listwę zasilania od serwera, routera, switcha itd. na wyciągnięcie ręki i wystarczy że wyciągnę wtyczkę z kontaktu i serwer się zgasi wraz z innymi urządzeniami sieciowymi - co wyłączy dostęp do zaszyfrowanego woluminu VeraCrypt i będzie trzeba ponownie wpisać hasło. Może to oczywiście spowodować uszkodzenie danych na serwerze, ale robię backupy poprzez okresowe wywoływanie komendy 'rsync' na serwerze fizycznie, podpinam poprostu dysk do kopii zapasowych do swojego serwera i lecę backup Backupy tworzę co 2 tygodnie na innym, również szyfrowanym dysku więc nie jest to dla mnie żaden problem.

A więc wcale nie jestem paranoikiem XD


Może kiedyś wypuszczę ten skrypt na GitHuba do samodzielnej instalacji bo komuś może się przyda.. zobaczymy

[kkk132]

|04 Lip 2023|, 15:45
no ja tam nie jestem

szyfrowania AES(Twofish(Serpent))

W ogóle - 0 paranoi XD Też kiedyś tak robiłem, ale pomyśl - jaka jest szansa na złamanie teoretycznie 3 najmocniejszych algorytmów kryptograficznych symetrycznych obecnie dostępnych? XD Ja szyfruję samym AESem wszystko (Bitlocker albo Veracrypt, zależy, jedyne to to jeśli używam Bitlockera to nigdy na samym TPM (od pewnej sytuacji xd) a minimum TPM + PIN albo hasło + zawsze w gpedit.msc (edytor zasad grupy w Windowsie) zmieniam długość klucza szyfrującego ze standardowych 128 bitów do 256, czyli tyle ile ma w standardzie VeraCrypt. Max jakiego używam w jakichś kontenerach no to kaskadowe szyfrowanie ale 2 algorytmami (z reguły AES+Serpent), więcej według mnie to nie ma na prawdę żadnego sensu, a to i tak do mega "wrażliwych" (jak dla mnie ) danych.

No backupy na osobnych nośnikach czy nawet w "chmurze" (OneDrive oczywiście u mnie XD) to też podstawa, regularnie aktualizowane i szyfrowane (zewnętrzne dyski VeraCryptem albo Bitlockerem tak jak wspomniałem, a OneDriva to szyfruję Cryptomatorem - nie wrzucam kilkunastu gigabajtowych plików-kontenerów tam xD).
No to ja Cię przebiję, bo jeśli chodzi o częstotliwość backupów to minimum raz na tydzień (takiego pełnego obrazu 2 głównych komputerów + ewentualnie inne ważne pliki) a czasem i 2 razy w tygodniu się zdarzy. xD

Muszę sobie chyba założyć GitHuba... znaczy Githuba no to oczywiście mam, ale takiego Githuba do tego typu for/for których nazw imienia ani skąd są nie wolno wymawiać XD no bo na swoim oficjalnym to nie ma szans że niektóre rzeczy bym wrzucił, a też bym w sumie jakimś ciekawszym kodem tutaj czy gdzieś indziej podzielił chętnie.

[kkk132]

blacked_out, Piaskownica dobra sprawa i dlatego na maszynie z windą mam Sanboxie + pakiet Eseta. W zupełności wystarcza jak nie klikasz jak debil w byle co. Wirtuali nie używam, a jeśli już to sporadycznie jak muszę odpalić DMDE w środowisku które symuluje utratę danych. I tak jakby się uprzeć to faktycznie starczy sam Defender do podstawowych spraw.

jestem rozważnym człowiekiem i zawsze badam dany plik przed uruchomieniem

Ty też korzystasz z Disassembler'a przed odpaleniem pliku?

A jak mam kaprysa to jeszcze z dumpa odpale Hex edytora bo jest przyjmijmy w "trybie odczytu" i można ciekawe rzeczy zobaczyć. No i aby wbić się do jakiegoś execa *exe to trzeba mocno zmanipulować *dll lub jakieś inne biblioteki Ale takie bajeczki to tylko z softem od Billa.

root@localhost

I mam beke z ludzi co odpalą Kali bo chcą hakierować, a tak naprawdę wystarczy dowolne distro plus wiedza i odpowiednie narzędzia xD co z reguły są w repo. A jak nie ma to kompilujesz ze źródeł i masz plika.

A teraz już zapomniałam i nic więcej nie powiem

Nie polecam Sandboxie, wręcz ostrzegam i odradzam. Jak masz Windowsa 10/11 Pro (ew. wyżej, nie pamiętam teraz to się chyba "Pro for Workstations" nazywa albo nadal "Enterprise, nie ważne), tylko nie Windowsa Home to w "Dodaj lub usuń funkcje systemu Windows" możesz sobie włączyć "Windows Sandbox". Oparte jest to o hyper-v, tworzy bardzo szybko i sprawnie czystą, nową instancję Windowsa która po zamknięciu znika ze wszystkim. Na hyper-v, jako że to hypervisior poziomu pierwszego no to praktycznie jak VMWare najpopularniejsze - OK, jakieś podatności, exploity pozwalające "wyskoczyć" z Sandboxa się zdarzą... ale no meeeega rzadko i trudno to zrobić, a co do Sandboxie to niestety ale nieraz słyszałem że ktoś miał poważne problemy bo też myślał że to bezpieczne.

[blacked_out]

W ogóle - 0 paranoi XD Też kiedyś tak robiłem, ale pomyśl - jaka jest szansa na złamanie teoretycznie 3 najmocniejszych algorytmów kryptograficznych symetrycznych obecnie dostępnych? XD

Racja, teoretycznie to żadna - JEDNAK xD paranoja tutaj mi się odpaliła ale działa to u mnie już kilka miesięcy więc w tamtym okresie byłem paranoiczny ale nie ważne Lepiej dmuchać na zimne, nie ukrywam boje się o swoje 60+ haseł mimo wszystko, że w większości jest włączone MFA, reszta serwisów zwyczajnie nie ma tej opcji dostępnej albo ma tylko 2FA SMSem co nie przemawia do mnie w pozytywnym znaczeniu

No backupy na osobnych nośnikach czy nawet w "chmurze" (OneDrive oczywiście u mnie XD) to też podstawa, regularnie aktualizowane i szyfrowane (zewnętrzne dyski VeraCryptem albo Bitlockerem tak jak wspomniałem, a OneDriva to szyfruję Cryptomatorem - nie wrzucam kilkunastu gigabajtowych plików-kontenerów tam xD).

Mój backup jest na zewnętrznym dysku ale pojedyńczym 4TB HDD bo w serwerze mam RAID 5 (3 dyski SSD po 1TB do udziału Samba + NFS razem = Samba jak i NFS udostępniają tą samą macierz a dlatego używam NFS zamiast samej Samby bo jakoś NFS działa lepiej na moim macu mini niż Samba, sam nie wiem czemu ale mam wszystko dobrze skonfigurowane w TrueNAS a czasami macOS potrafi wywalić błąd o braku uprawnień podczas kopiowania plików XD i jedyne rozwiązanie to restart maca. Samby używam na urządzeniach z Windowsem i Androidem. Następnie tej samej macierzy używam do wirtualnych maszyn w Proxmox VE ale na drugim skonfigurowanym udziale Samby i NFS żeby mieć wszystko ładnie poukładane osobno, no i wiadomo dwa dyski rozruchowe M.2 NVMe po 256GB każdy a po to dwa, żeby cały serwer był jak najmniej awaryjny - bo zawsze czas na konserwację mogę wykorzystać do czegoś innego ) w skrócie: po co mi dysk do kopii zapasowej w RAID jak wystarczy jeden bo on i tak jest rzadko używany w porównaniu do tych w serwerze co daje dużo mniejsze szanse na awarię, no i właśnie ten dysk kopii zapasowej jest szyfrowany VeraCryptem (oj długo zajeło szyfrowanie kontenera HDD pokazało swoje, w planach zakup SSD bo ten HDD znalezione w szafie - jest wolny ale w dobrym stanie więc o tyle dobrze) i mam dostęp do danych w kontenerze na każdym systemie operacyjnym (chodzi mi o Windows, macOS i Linux nie wiem jak z BSD i innymi bo nie sprawdzałem). Myślałem również o tym czy sobie nie wydać te kilka eurasków miesięcznie na Storage Box'a u Hetzner https://www.hetzner.com/storage/storage-box (takie jakby dojczlandowe OVH ) żeby mieć nie tylko backup na dysku fizycznym ale też w chmurce i oczywiście też bym tam ładował backupy ale tylko te najważniejsze po kilkaset MB do max. 5-10 GB bo szkoda mi mojego łącza mimo tego że nie jest ono super wolne to nie chciałbym zostawiać kompa na noc żeby załadować tam dwa kontenery VC po 1TB xD

Muszę sobie chyba założyć GitHuba... znaczy Githuba no to oczywiście mam, ale takiego Githuba do tego typu for/for których nazw imienia ani skąd są nie wolno wymawiać XD no bo na swoim oficjalnym to nie ma szans że niektóre rzeczy bym wrzucił, a też bym w sumie jakimś ciekawszym kodem tutaj czy gdzieś indziej podzielił chętnie.

Z chęcią bym popatrzył i nawet sprawdził projekty twojego autorstwa

Dodano po 12 minutach 41 sekundach:

Ja kiedyś siedziałem w informatyce ale już parę lat jestem nieaktywny. Robiło się serwery/strony internetowe/fora itd. DoS-y na szkolne łącze to była codzienność haha

Mam znajomego który chodzi dalej do technikum i ma 17 lat. W tym technikum mają profil technik-informatyk i technik-programista, i już drugie klasy i trzecie klasy we współpracy pierdolneli tam atak DoS na serwer szkolny podczas egzaminów zawodowych xD Trzecie klasy wraz z drugimi się przygotowywali i sprawdzali podatności w lokalnej sieci siedząc w kiblach szkolnych ze swoimi laptopami z domu, komunikując się przez chyba Discorda z tego co mi znajomy opowiadał i gdy już odbyły się egzaminy które pisały właśnie trzecie klasy w tym osoby które współpracowały z drugoklasistami nad atakiem no to drugoklasiści wszystko już wtedy sami odpalili po tym jak trzecioklasiści podali im wszystko co znaleźli i egzaminy zostały przerwane bo nastąpiło wylogowanie wszystkich użytkowników z komputerów w salach informatycznych które właśnie były podłączone do serwera szkolnego na którego padł atak i następnie po wylogowaniu wszystkich szybko wyłączyli serwer szkolny, bo drugoklasiści zrobili eskalacje uprawnień administratora w środku serwera i mogli robić w sumie wszystko, od wylogowań z kont, wyłączenie i włączenie dostępu do internetu aż po wyczyszczenie wszystkich danych. Gdy uczniowie i nauczyciele chcieli się zalogować do swoich kont występował błąd przy logowaniu no bo serwer szybko został wyłączony a na nim były konta użytkowników w całej szkole i Windows nie miał komunikacji z nim co skutkowało błędem przy logowaniu. Miałem filmiki i zdjęcia od znajomego jak atak przebywał na bieżąco więc gruba akcja, dzień po całej akcji przejechałem się tam zerknąć do środka szkoły co się dzieje po takim zajściu i już widziałem policję na parkingu która rozmawiała z nauczycielami i dyrektorem w środku szkoły

[Gargameli]

a co do Sandboxie to niestety ale nieraz słyszałem że ktoś miał poważne problemy bo też myślał że to bezpieczne.

Ja słyszałam od kolegi z piaskownicy, że człowiek bez nóg nie może jeździć na rowerze. A patrz jednak może bo rowery są przystosowane dla niepełnosprawnych. Natomiast tryb Sandbox'ie polega zupełnie na czym innym. Mianowicie chodzi o uruchomienie pliku / procesu / zadania w konkretnie wyodrębnionym obszarze. I nie ma to nic wspólnego z maszyną wirtualną o której wspominasz. Niejako lekko mylisz pojęcia. Oczywiście coś tam dzwoni, ale nie do końca wiesz gdzie.

blacked_out, Akurat wyciągnąłeś pewne niedociągnięcia samej Samby, która niestety w połączeniu z macierzą Raid, a w szczególności z dyskami NVM, a nawet SSD potrafi zdrowo zirytować. Niewątpliwie wbrew pozorom jest proste i banalne rozwiązanie tego problemu.... hmmm... mam na myśli NAS. Czy to online czy to offline. Kwestia backupu to sprawa indywidualna, ale ja z praktyki wiem, że tar gzip niekiedy działa cuda..

Jak ktoś np. blacked_out, rozwikła tę zagadkę to stawiam 50 Euro plus karbowanego pomidorka. Dodam, że sam Torvalds wije się jak żmija z tym problemem praktycznie w każdym nowym jajku. Podpowiem, że problem tkwi w architekturze, ale nie krajobrazu xD.

foto_no_exif.jpg (774.81 KiB)

pierdolneli tam atak DoS

DDOS na publiczny, tym bardziej ogólnostępny serwer szkolny w zakresie adresów 192.168.xx.xx gdzie jest jakiś hub, router czy switch faktycznie jest wyzwaniem xD.... bagatela wystarczy minimum 100 zapytań do takiej maszyny i ona staje. Staje bo nie jest przystosowana do takiego ruchu... a wystarczy pokminić w ip tables i stanąć za Natem.... ale co ja tam wiem...nic xD

[kkk132]

Ja słyszałam od kolegi z piaskownicy, że człowiek bez nóg nie może jeździć na rowerze. A patrz jednak może bo rowery są przystosowane dla niepełnosprawnych. Natomiast tryb Sandbox'ie polega zupełnie na czym innym. Mianowicie chodzi o uruchomienie pliku / procesu / zadania w konkretnie wyodrębnionym obszarze. I nie ma to nic wspólnego z maszyną wirtualną o której wspominasz. Niejako lekko mylisz pojęcia. Oczywiście coś tam dzwoni, ale nie do końca wiesz gdzie.

Nie, nie rozumiesz mnie. Nie mówię że Sandboxie = maszyna wirtualna, jedyne co mówię to to iż aplikacje jak np. właśnie o nazwie "Sandboxie" pod Windowsa mają/miały na prawdę sporo exploitów pozwalających na wyskoczenie procesu z takiego pudełeczka.
Windows Sandbox to po prostu nazwa własna maszyny wirtualnej opartej o Hyper-V wirtualizująca całego Windowsa na Windowsie (disposable VM). Na hyper-v znajdziesz o wiele rzadziej jakieś podatności aniżeli na np. Sandboxie... Przykłady?:

CVE-2018-18748 - https://www.cvedetails.com/cve/CVE-2018-18748/
CVE-2018-18748 - https://www.cvedetails.com/cve/CVE-2017-12480/
CVE-2022-28067 - https://www.cvedetails.com/cve/CVE-2022-28067/

Szczególnie chodzi mi o CVE-2018-18748 - no sorry, ale jeśli coś miało być "bezpiecznym, odizolowanym" środowiskiem od systemu hosta i to coś miało podatności na wyjście sobie na hosta... to jak dla mnie jest skreślone po prostu na zawsze - po co ryzykować?

[blacked_out]

blacked_out, Akurat wyciągnąłeś pewne niedociągnięcia samej Samby, która niestety w połączeniu z macierzą Raid, a w szczególności z dyskami NVM, a nawet SSD potrafi zdrowo zirytować. Niewątpliwie wbrew pozorom jest proste i banalne rozwiązanie tego problemu.... hmmm... mam na myśli NAS. Czy to online czy to offline. Kwestia backupu to sprawa indywidualna, ale ja z praktyki wiem, że tar gzip niekiedy działa cuda..

Jak ktoś np. blacked_out, rozwikła tę zagadkę to stawiam 50 Euro plus karbowanego pomidorka. Dodam, że sam Torvalds wije się jak żmija z tym problemem praktycznie w każdym nowym jajku. Podpowiem, że problem tkwi w architekturze, ale nie krajobrazu xD.

50 EUR chętnię bym przygarnął, a pomidorka wsunął Ale szczerze mówiąc, albo jestem zbyt głupi albo poprostu nie myślę - bo nie wiem w którym kościele dzwoni Chodzi mi o to, że mimo dostarczonych w zestawie odpowiedzi przez ciebie wskazówek, nie mogę rozwikłać tej zagadki z sukcesem

DDOS na publiczny, tym bardziej ogólnostępny serwer szkolny w zakresie adresów 192.168.xx.xx gdzie jest jakiś hub, router czy switch faktycznie jest wyzwaniem xD.... bagatela wystarczy minimum 100 zapytań do takiej maszyny i ona staje. Staje bo nie jest przystosowana do takiego ruchu... a wystarczy pokminić w ip tables i stanąć za Natem.... ale co ja tam wiem...nic xD

Cholera, właśnie zdałem sobię sprawę że źle sklasyfikowałem cały atak - chodziło mi o samą eskalację uprawnień a nie DoS bo mimo tego, że sprawia to wszystko wrażenie ataku DoS no bo jednak Denial Of Service = Zabronienie lub ograniczenie dostępu do usługi lub wszystkich usług no to wcale nim nie jest, bo zazwyczaj polega to na przepełnianiu zasobów serwera lub zapchania łącza, a tam jest tylko uzyskiwanie uprawnień administratora a nie jakakolwiek ingerencja w zasoby. Młodzi użyli tam exploitu EternalBlue, co jest tak proste jak budowa cepa i serwer nie był w żaden sposób zabezpieczony przed tym przez używanie wersji Windows która nie została zaktualizowana do wersji która już zawierała poprawkę przed tym exploitem więc no taka sytuacja którą wykorzystali z sukcesem Firewall tam jest, robi za niego router MikroTik Cloud Core Router ale jaki dokładnie model to już nie wiem. Swoją drogą, zauważyłem że te MikroTiki praktycznie wszędzie ładują, był on w podstawówce do której chodziłem kilka lat temu i w szkole średniej do której chodziłem (innej niż ta w której jest mój 17-letni znajomy). Przypadek czy jak uj