DNSSEC podepisování domén snadno s BIND inline signing
Technologie DNSSEC je tady s námi už nějakou řádku let. Jak snadno ji lze uvést v život na Vašem DNS serveru si ukážeme níže. Jelikož CZ.NIC umi automaticky vytvářet key sety podle záznamu CDNSKEY. Stačí jen vygenerovat klíče a přiřadit je k doménam. Vše ostatní se již stane automaticky.
Strongswan VTI
Při sestavovaní IPSec tunnelu můžeme buď mezi dvěma hosty udělat GRE nebo jiný IPIP tunnel a ten balit do IPSec. Zde pak můžeme směrovat provoz který chcecme přes tunnel odbavit. Ale spíše se stekáme s plochým IPSec kdy máme na každé straně zadány sítě/hosty kteří se mají přes tunnel poslat. A pokud provoz teto mapě/politice vyhoví tak se zabalí do IPSec a pošle druhé straně. V tomto případě je problém s debugem provozu protože v určité fázi už vidíme provo zašifrován. Řešením je VTI což je virtuální interface. Z kterého a do kterého budeme provoz směrovat stejně jako kamkoliv a přitom politiky budou nastaveny stejně jako u plocheho IPSec (druhá strana o našem VTI ani nemusí tušit). Tímto si jsme schopni zlepšit podmínky pro debug IPSec provozu a stejně tak zjednodušit firewall pravidla (kdy nám tunnelovaný provoz končí v nějakém jednotném interface).
Jak na vlastní repo ve FreeBSD
U FreeBSD používám většinou binární balíčky a instaluji je pomocí pkgng. Ale u pár balíků jsem potřeboval změnit výchozí hodnoty. Nakonec jsem se rozhodl jít cestou vlastního repozitáře kde budu mít jen mé upravené balíky a zbytek budu používat z kasické FreeBSD distribuce. Zde bych tedy jen lehce popsat jak takový repozitář vytvořit pomocí nástroje poudriere.
Mosh a IPv6
Vyšla nová verze Mosh (mobile shell). Asi největší změnou je začátek podpory IPv6. Zatím bez migrovaní adres.
Roundcube a OwnCloud jak skamarádit kontakty
Delší dobu jsem hledal způsob jak synchronizovat kontakty mezi OwnCloud a Roundcube. Nakonec jsem našel plugin do Roundcube který umí synchronizovat carddav. Plugin napsal Benjamin Schieder a můžeme jej stáhnout z GitHub. Uživatel si může ve svém nastavení přidat zdroje carddav (může jich být i více). Pak už plugin provádí synchronizaci a kontakty jsou vidět ve Vašem adresáři.
VENOM - velky průser ve virtualizaci
VENOM je název nové chyby nalezené ve virtualizačních platformách XEN, KVM a QUEMU. Jde o možnost uniku z hostovaného OS na hostitele. Zde se pak samozřejmě hrozí ovládnutí ostatních VM strojů. I když už Redhat vydal záplaty pro KVM je tato chyba velice nepříjemná. Bohužel to i vypadá, že do budoucna se nám může objevit obdobná chyba na jiném kusu virtuálního HW než na řadiči disketové mechaniky.
Koncert Árstíðir
V pondělí jsem byl v K-triu na koncertu Islandské kapely Árstíðir. Po dlouhe době naprosto parádní hudební zážitek. Nové album HVEL jsem si koupil hned na místě a teď jej naposlouchávám. Doufám, že jejich další turné povede opět přes ČR.
Superfish aneb super blbost
Výrobci HW většinou do předinstalovaných windows naplácají spoustu bloodware. Ale, to co předvedlo Lenovo s aplikací Superfish asi nemá obdoby. Vytvořit CA pro podvrhování certifikátu a její instalací na stanice ještě pochopím u nějakých velkých korporací ve své síti. Kdy se toto řešení využívá pro DLP aplikace (prostě šmírují SSL spojení). Ale jako základní instalace na stanice zákazníku jen proto aby se mohly do HTTPS stránek vkládat reklamy. A ještě mít jednotný klič k CA to už je šílenost. Takže pokud máte Superfish na svém stroji zde je návod na odinstalaci.
SystemD v roce 2015
V loňském roce systemd obsadil snad všechny významné linuxové distribuce. Jako poslední z velkých přišel na řadu Debian. Jelikož mám na svém NB Debian Jessie tak přišel i ke mně. I když podle mnohých je systemd čiré zlo. Tak já jsem s ním zatím spokojen. Textová konfigurace je pěkně čitelná. Dokumentace ve výborném stavu.
Nativní IPv6
Mé první pokusy s protokolem IPv6 se datují do roku 2008. Tehdy jsem si zřidíl účet na Sixxs. Po 7 letech mohu konečně zrušit tunel a užívat si nativní konektivity. A to díky memu poskytovateli Poda.