Web, mail, IRC, IM, hálózatok

Sziasztok!

A probléma amit meg kellene oldanom:

2-4TB adat (installer, teszt esetek) cachelése és relatíve gyors eljutatása a végpontokra egy belső házózatban, aminek a nagyobb gócpontjai szerteszét vannak a világban.

Valamilyen onprem CDN megoldásra gondoltam, de bármilyen ötelet jól jönne. Tud valaki ilyet?

Kb 4-6 helyen kellene cachelni és a cache nodeoknak jó lenne automata szinkront tartani ha változik a content.

Eléreéshez még nincs protokoll megközés. Unix, linux rendszerek a kliensek és jellemzően 10GB-tól 1-2TB-ig húznának magukra adatot.

Köszi,

Z
 

Sziasztok!

Fel szeretnénk tenni nyilvános anyagokat saját honlapra, olyan 80GiB környékén. A honlapot üzemeltető cég azt mondta, hogy 10GiB-ig nyújtózkodhatunk.

Van a cégnek Google Workspace előfizetése.

Mi lenne a legcélszerűbb ilyen tárhely bérlésére?

Lehet, hogy Amazon s3 vagy Google Cloud storage-t kellene választanunk, és a szükséges fejlesztést pedig kifizetni a honlapot üzemeltető cégnek?

Ha a Google Workspace-en belül maradunk, akkor vegyünk plusz egy felhasználót és oda töltsük fel? A szabályzata nem tiltja?

Sziasztok!

Miért van az, hogy Debian 11 alatt a Chrome mindig az első fülre vált? Hiába nyomom meg a + gombot, hogy új lapot nyissak,  csak felvillan az új lap, de villámgyorsan visszavált az első lapra,ráadásul az új lap füle is furcsa. kb 2 napja csinálja. KDE az ablakkezelő.

Winsows 11-es és 10-es géppel szinkronizálva van a fiók, ott nem csinál ilyet, pedig más letöröltem és újratelepítettem a stable és beta verzót, sőt a fiókomat is a home könyvtárból.

Update: letöröltem a Google Chromet és felraktam a Chromiumot, ugyanez. Pedig nem emlékszem, hogy bármit elállítottam volna.

Üdv,

hm, rég volt, hogy ilyet kellett kreálnom.

A szitu, adott egy rakat apache log file rotálva, gz-vel *.35.*log néven egy könyvtárban.
Ebből a teljes log állományból kellene nekem valami "weben nézhető" statot kreálnom, lehetőleg úgy, hogy látszódjon hogy mondjuk az http://xyasd.hu/valaminagyon_fontos/ oldalt pl hányszor hit-elték ("nyitották" meg, stb)

awstatsot próbáltam, webalizer eléggé gyér, top20-100 cuccokat tol. Goaccess megvolt, de abból nem tudtam kinyerni konkrét URL-re való statot.

Egyéb ötlet valakinél? :) Lehet hogy n00b kérdés, de nagyon régen kellett ilyesmit csinálnom.

btw a logok standard apache logok, azaz tartalmaznak minden olyan infót amiből a fenti dolgok kinyerhetőek.

Válaszokat előre is köszi!

Sziasztok!

SMTP guruk! Van egy SMTP proxynk, ami leveleket fogad a nagyvilágból. Az SMTP protokoll szerint a küldő fél ezt mondja:

RCPT TO:<user@host.tld>

Hosszú idő óta most érkezett egy olyan ügyfél panasz, hogy kínai partner nem tud levelet küldeni nekünk. Kis keresgélés után kiderült, hogy a kínai rendszer az SMTP kommunikációban ezt küldi:

RCPT TO: <user@host.tld>

Tehát a kettőspont után van egy szóköz, és emiatt a proxynk 550-es kóddal bontja a kapcsolatot. Megnéztem a proxy logját és 225.000 bejövő kapcsolatból 289-et utasított vissza emiatt a szóköz miatt. Jellemzően mind spam lett volna, illetve ott szerepelt a kínai cím is, ahonnan az ügyfél várta a levelét. 

Szerintetek mi a jó megoldás? Módosítsuk a proxynkat úgy, hogy fogadja el a kettőspont utáni szóközt is? Viszont akkor máris több spam jut beljebb. Vagy mondjuk azt a kínainak, hogy olvasgassa az RFC 5321-et!?

Sajnos (?) én az a típus vagyok, aki kedveli a levelezőprogramokat azok gyorsasága és egyéb tulajdonságai miatt a webes levelezőkliensekkel szemben. A cégünk office365.com-ot használ a levelezéshez. Linuxon az Evolutionnel eddig szépen ment a mail account elérése IMAP-on, SMTP-n, az Office365 Outlook oldalán megadott beállításokkal. Egy-másfél hete azonban már nem enged be, az Evolutionben annyi jelenik meg, hogy "Failed to authenticate: IMAP server said BYE: Connection closed. 14". Gyors google-zés nem adott értelmes találatot. Support email címet nem találtam, ahova írhatnék a Microsoftnak (és nem a /dev/null-ba kerülne). Most használom a webfelületet kényszerből, de mindenképpen levelezőprogramot szeretnék hosszabb távon ismét. EWS-sel teljes kudarc.

Találkozott már valaki ezzel? Vagy esetleg próbáljam meg Thunderbirddel? (Sylpheed-del korábban sem sikerült csatlakoznom az Office365-höz)

kösz

==================================================================

Megoldás: Thunderbird + OAUTH2 authentikáció. Köszönöm mindenkinek!

Sziasztok!

Felmerült egy szakmai parázsvita, hogy nem biztos jó irányt követünk, lehetne máshogy is. A jelen:
Van egy kiépített, jól működő OpenVPN szerver. Hozzá saját fejlesztett webes admin felület, ahol usereket lehet kezelni.
OpenVPN szerver configban beállított auth script + webes frontend a következőket tudja:

• 2 faktoros login: előbb egy globális cert ellenőrzés, ha azon átjut, akkor usernév-pass páros ellenőrzés
• A kliens gép teljes IPv4 forgalma a VPN csatornába terelve, hogy a céges hálón való lógása alatt kontrollálni lehessen a forgalmat. Esetleges reverse shell és hasonló férgesedést tompítani.
• userenként VPN kliens IP kezelés, mely tematikus IP listából kiválasztható, pl. IT, könyvelés. Más-más subnetből, más tűzfal korlátokkal.Csatlakozáskor abba a subnetbe kerül.
• userenként egyedileg megadható forrás IP/subnet lista, amely publikus IP címekről becsatlakozhat
• userenként lejárati dátum, mely után azzal a loginnal nem tudnak belépni (határozott időre felvett dolgozónál vagy külső projekt partnernél hasznos).
• userenként engedélyezés, tíltás
• userenként látni, hogy milyen cert névvel jön fel (global cert van, időszakos cserével. Látszik, ha valaki még a régi global certet használja, ami le fog járni)
• userenként aktivitás, épp online-offline, mikor csatlakozott utoljára
• userenként eszköz hitelesítés = MAC cím engedélyezés, csak arról az eszközről jöhet fel, amit első csatlakozáskor automatikusan eltárol és lockol ahhoz a loginhoz.
• 2 aktiv VPN szerver, 2 független SQL backend, köztük szinkron, hogy az userkezelés, jogosoltságok megegyezzenek.

folyamatban van:

• token alapú +1 faktoros login
• IPv6 kikapcsolása, ha VPN-re csatlakozik, hogy a reverse shell IPv6-on ne tudjon felépülni, megkerülve a push "redirect-gateway def1" paramétert.
• a MAC alapú szűrés a jövőben nem biztos, hogy használható marad, mert az oprendszerek randomizálni akarják. Lehet más módon kell hitelesíteni a kliens gépet.
• 3 rossz login próbálkozás után forrás IP ban. (Bár cert, mint első védvonal miatt csak egy szűk réteg jut el a login részig)

Felmerült, hogy sok idő elmegy(/elment) a fejlesztésre, nem is tud mindent, vegyünk egy dobozos terméket, az majd jó lesz.

Kérdezem a tisztelt IT kollégákat, Cisco, Sophos, Sonicwall és társai ezeket így vagy máshogy tudják? Ha bizonyos dolgokat nem, van hozzá API lehetőség, hogy szabadabban lehessen hozzáilleszteni egy auth modult, mint pl. az OpenVPN auth scriptjén keresztül bármit?
Ha nem ingyenes, és ismeritek az egyszeri / rendszeres költségét, kérlek azt is osszátok meg.

Tippre nem vagyunk bentebb mással sem, de azért az esélyt megadom, nehogy részrehajló legyek :)
Ja evidens, de ki ne maradjon: multi platformos kliens legyen hozzá: Linux, Windows, mac OS X, Android, iPhone.

Köszönöm!

Az utóbbi időben többen is észrevettük, hogy random nem kattinthatóak bizonyos weboldalak. Betöltenek, de a linkre kattintva nem történik semmi. Alapvetően chrome/chromium böngésző alatt, de találkoztunk vele firefox esetében is. Mind Linux, mind Windows környezetben. Először a ublock-ra gyanakodtam, de az sem mindenütt van, ahol a hibát tapasztalták. Szóval nehéz a dolgot behatárolni.

Tapasztaltok ti is hasonlót? Én valami javascriptes disznóságot sejtek a háttérben, de Ti biztosan tudtok valami leírást a hibáról.

Sziasztok!

Routolt openvpnről szeretnénk áttérni bridgelt megoldásra, mert elvileg ilyenkor látszódnak a kliens MAC-ek.
Próbálom, de még sem látom. Az auth scriptbe beraktam ezt: (echo "$*" ; export)  >> $STAT_DIR/openvpn_debug.log
Majdnem ugyanazt hozza, mint a routolt megoldásnál. Nincs benne a MAC. A neten IV_HWADDR és client_hw_addr változókról beszélnek, de ilyenek nem jönnek fel.
Olvastam olyat is, hogy az opensource változatban már nincs benne ez a lehetőség.

Használ valaki ilyet?

A cél, hogy a kiadott  vpn certet, usernév-jelszó párost ne lehessen az IT nélkül idegen gépre feltenni és használni. Kézenfekvő megoldásnak tűnt az auth script MAC címmel történő bővítése.
Tekintsünk el a MAC másolástól, ettől egyszerűbb userekről van szó.

Mi lenne a megoldás?

Köszönöm!

-> ez lett a megoldás, ráadásként tun módban is működik. Kliens configba kell tenni: push-peer-info

GoDaddy felvásárolta a HostEurope-ot és idén végbement sok technikai összefonódás, ennek egyik hátránya, hogy minden blokkolás ami eddig a GoDaddy szervereket érintette, gyakorlatilag megoldhatatlan problémaként érte a HostEurope ügyfeleket, hiszen eddig legitim mailszerver üzemeltetések hirtelen nem tudnak t-online.hu irányba kézbesíteni, és a feketelista ellenőrzés CSAK az UCE3-at adja vissza.

Nem támogatom a spammereket, de én sem blokkolom a gmail.com, outlook.com, microsoft.com, t-online.hu -t csak mert nem képesek pár ügyfelüket megzabolázni, mert nem akaron a saját ügyfeleimet szivatni. Erre vannak a súlyozott pontszám alapú megoldások.

Ma 2022 októberében elmondható hogy a telekom e-mailes védelemért felelős rendszergzadája (vagy gazdái) nem dolgoznak, hanem lusta bastard operator from hell módra a többi rendszergazát szivatja.

https://www.uceprotect.net/en/index.php?m=3&s=5 két idézet:

A) The recommended use of Level 3 is incorporating it into a scoring system, to give e.g. 2 points on a ‘match’ where 5 or more points trigger a spam tag.
 

B) If you are a true BOFH you would logically block using all of our levels.

Tippelj a t-online.hu melyik ...