Názory k článku
Malá síť (2) - připojení k Internetu, spouštění služeb

IDENT neprezradzuje nic o samotnom pocitaci, len o pouzivatelovi. IDENT sa velmi oplati hlavne za maskaradou, kde nie je z IP adresy jasne kto sa v skutocnosti pripaja von. Takze na maskaradovane firewally sa velmi oplati nainstalovat oidentd, a to v rezime -m kde vrati meno pocitaca podla vlastnej mapovacej tabulky. Silne odporucam - bezpecnostny ucinok de fakto ziaden, akurat ked jeden z vasich pouzivatelov zacne robit hluposti, bude lahsie ho vytrasovat.

>IDENT neprezradzuje nic o samotnom pocitaci, len o >pouzivatelovi.

A to je malo? BTW, rad bych vedel, kolik bezpecnostnich
der ma ten oident <*grin*>.

> IDENT neprezradzuje nic o samotnom pocitaci, len o
> pouzivatelovi.

Celkom nechapem ako to bolo myslene, ale niektore ident daemony vedia vratit aj typ operacneho systemu.

mysql> select * from weblog_ident_ostypes;
+----+---------+
| id | value |
+----+---------+
| 1 | UNIX |
| 2 | OTHER |
| 3 | VMS |
| 4 | UNKNOWN |
| 5 | |
| 6 | WINDOWS |
+----+---------+
6 rows in set (0.01 sec)

vyborny clanek. Jeste sambu jako PDC, postu a bude to 'da best'.

Sambu neznám, na Windows to nejsem schopen rozchodit. Jednou jsem měl v jedné firmě rozchodit Windowsovou síť o deseti počítačích. Po dvou dnech úmorné práce jsem to vzdal.

Velmi pěkný článeček - pro začátečníky přímo úžasný (chce se mi říct: "Snad jen houšť, a větší kapky" :)).
Možná by bylo fajn napsat ještě další díl - jak připojit počítač s windows přes takovýto linuxový servřík (pro vládnoucí angličtinou hezky (kromě mnoha jiného - a polopaticky) na http://www.mandrakeuser.org/docs/ ale jde to přizpůsobit i pro ostatní distribuce), jak realizovat vytáčení pomocí dial-upu ze stanic jinak než telnetem/ssh (třeba linecontrol, masqdialer, alt-control či dwun), známý teď řešil omezení obsahu internetu pro svá dítka (na serveru wwwoffle+danguardian (i když doporučují squid, jde to i s wwwoffle))....
Pár dalších námětů:
- upravit páně Petříčkův firewall pro dial-up (http://www.petricek.cz/mpfw) o položky v článku a vystavit
- pomocí iptables by mělo jít jednoduše přesměrovat vše chtěné z klientských počítačů tak, aby to lezlo na serveru přes wwwoffle, takže je nutno nakonfigurovat si prohlížeče atd. jen na serveru

Jo, ještě jsem si vzpomněl na jeden problém u wwwoffle na dial-upu - on je u něj popisován i ve FAQ - Q3.2 - než jsem pořídil pdnsd (což by mělo problém vyřešit), jsem do /etc/ppp/ip-up.local (či jiného skriptu vykonávaného po připojení na net) dal (místo standardně doporučovaného):
sleep 10
service wwwoffled restart
service wwwoffled online
service wwwoffled fetch
a už to fungovalo

Telnet rozhodne neni opusteny a naopak ja jej vyuzivat doporucuju a vylozene zivotne dulezity je prave pri pouziti pres pomaly telefen. Musi se ovsem dodrzovat dulezita bezpecnostni pravidla, hlavni je, ze se pouziva uprava telnetu s podporou SSL cryptovani. Pak jsou prenasena data kodovana podobne jako u ssh a neni bezpecnost neni problem, navic telnet daemon ma moznost volby odmitnuti nekodovaneho spojeni takze ani mene zkuseny uzivatel se neprozradi...Smula je, ze ne kazda distribuce v sobe jej obsahuje. Ja vim o Debianu a NetBSD.

Vyhoda vyuziti pri X spojeni se ukaze zahy. Dejte na svem pocitaci prikaz

xauth list $DISPLAY

vam ukaze nejakou smes cisel, propojte se telnetem, vyexportujte display, dejte

xauth
>add vasdisplay:10 . <cislo z predchoziho xauth>
^D

pak na vzdalenem pocitaci spustte
lbxproxy :1 &

a muzete spouste X aplikace. lbxproxy je jiny typ proxy specialne napsany pro Xka a vyuzivajici vlatsnosti X programu, takze je vyrazne rychesi nez obecne kompresni programy. Ssh protokol sice podporuje kompressi ale mam vyzkousneo, ze pres 33k modem si pres ssh nepustite ani xbiff zatimco s uvedenym postupem muzete pracovat i kdyz na opengl to neni.:-)

Myslim, ze by i zacatecnik mel byt informovan o takovychhle vecech, protoze nalejvarna ze ssh je jediny mozny je vazne tezka a clovek pak kouka, ze jak to jde pomalu.

Telnet je hlavně jednoduchý a až na plain text hesla i bezpečný. Když nám nabourali pečlivě nakonfigurovaný SSH server, který do verze 3 měl CRC32 compensation vulnerability, tak jsem me vazne chut se vratit k telnetu.

> Na obou strojích musí běžet nějaký správce obrazovky
> (display manager, např. xdm, gdm, kdm), podporující
> XDMCP (a musí ho mít povolené).

to neni pravda xdm musi nutne bezet jenom na serveru, na klientu staci X server.

Bohuzel, zda se ze na IRC sit dalnet se bez identu nedostanete. Krome toho spousta programu se na ident pta a sice bez nej bezi, ale pokud ho napriklad zahodite (DROP) na firewallu trpelive ceka na odpoved. (S REJECT pochopitelne bezi).

wwwoffle ma z neakeho neznameho dovodu nechce pustit na net skratka tam furt nastane chyba

wwwoffle ma z neakeho neznameho dovodu nechce pustit na net skratka tam furt nastane chyba