linux, token

NetworkManager a připojení k 802.1x síti s EAP-TLS

Aneb jak se s NetworkManagerem připojit do sítě (lhostejno zda WiFi nebo po kabelu) s RADIUS serverem a ověřování certifikátem. A jak k certifikátu přijít.

Různá rozložení pro různé klávesnice

Aneb jak v Linuxu nastavit pro různé "klávesnice" různé rozložení a zajistit, aby to přežilo restart a přihlášení uživatele. Motivací bylo pořízení čtečky čárových kódů z aliexpressu. Na čtečce sice lze konfigurovat její rozložení, nicméně to české na ní zrovna nefungovalo. Reálně pokud je pak v systému nastavení česká klávesnice, tak čtečka místo čísel posílá diakritiku a tak podobně. Při nastavení US rozložení čtečka funguje normálně, ale zase na klávesnici tu diakritiku nenapíšem...

Automatické odemykání šifrovaných disků: Tang, Clevis a Gentoo

Full system encryption s pomocí LUKS už funguje delší dobu a není problém ji rozchodit. Zajímavější část nastává ve chvíli, kdy chceme disky odemykat trochu jinak, než jenom zadáváním hesla z klávesnice. Takže si vyzkoušíme Network Bound Disc Encryption, tedy stav, kdy se počítač automaticky odemkne pomocí klíče získaného ze sítě (který by měl dostat jen ve chvíli, kdy je počítač spuštěn v bezpečné síti). Zní to možná pitomě, nicméně pokud encryption server běží někde schovaný a je přístupný jen z lokální sítě (třeba přes VPN někam), při ukradení počítače/serveru má obvykle daná osoba smůlu, protože ke klíči se již nedostane. Takže jediná chvíle, kdy se lze ke klíči dostat, je v prostředí, kde stanice zrovna běží. Ano, v tuhle chvíli (narozdíl od TPM, u kterého se sází na to, že ten klíč prostě nikomu jinému nevydá) se lze ke klíči teoreticky dostat. Pokud má někdo dost času si s tím v té lokalitě hrát... u TPM na druhou stranu systém nabootuje vždy, takže i po odnesení je dost prostoru hledat bugy ve všem, co na dané stanici naběhne...

Jak dostat data z šifrovaného oddílu QNAPu

Aneb když to jednou zrestartujete a stane se vám ošklivý... zlý... nepěkná věc. Moje domácí úložiště od QNAPu po restartu jaksi někde ztratilo konfiguraci disků, polí a tak dále. Takže po naběhnutí byly jaksi všechna data zmizelá... Co s tím?

YubiKey a PAM

Další pokračování návodu s používáním YubiKey tokenů. Tentokrát se podíváme na PAM modul pam_yubico, který v rámci PAMu umožňuje ověřovat yubikey jednorázová hesla. Konkrétně to vyzkoušíme na SSH, nicméně tím, že je to PAM modul, nic nebrání tomu využít OTP autentizaci jinde - přímo do systému, na screensaver, atd.

YubiKey NEO a OpenPGP Card

V předchozím blogu o klíči YubiKey NEO bylo nastíněno, že může fungovat i jako OpenPGP Card. Tedy stát se pro PGP (resp. budeme zkoumat GnuPG) tím, co jsou hardwarové PKI tokeny pro X.509 certifikáty. Výhodou tedy je, že privátní klíč je uložen přímo v klíči a nelze jej softwarově nijak vyexportovat ven. Operace, při kterých je privátní klíč potřeba (podepisování, dešifrování) se pak provádí tak, že data se předají klíči a ten vrátí zpracovaná data zpátky. Narozdíl od situace, kdy privátní klíč je uložen na disku počítače, tady prakticky nelze privátní klíč zkopírovat bez vědomí jeho vlastníka. Lze ukrást celý token, ale toho si vlastník patrně již všimne.

eToken 72k Java PRO a SAC 8.1 na (Gentoo) Linuxu

Krátké howto o rozchození dalšího USB tokenu na nezastaralé distribuci Linuxu. Dříve jsem se zmiňoval o tom, jak rozchodit Rainbow iKey 3000 s pomocí OpenSC. Jelikož iKey 3000 už dnes svými parametry asi příliš nezaujme (jen 1024b RSA klíče) a navíc už ani není moc k dostání. Bylo tedy na místě poohlédnout se po nějaké náhradě. Kandidátem se stal SafeNet eToken PRO 72k Java (dříve Aladdin, nyní označovaný jako SafeNet eToken 5100 - nicméně všechno to jsou shodné tokeny). Ten již není podporovaný pomocí OpenSC (alespoň ne nijak jednoduše), za to ale originální middleware (SAC - SafeNet Authentication Client) podporuje celou škálu operačních systémů (Linux, MacOS X, Windows). Nicméně; podpora na Linuxu lehce pokulhává, pokud je distribuce novější 2 let, ale dá se to rozchodit :)

Pohyb po virtuálních plochách v Gnome Shell pomocí tlačítek myši

Gnome Shell přišel s trochu jinou implementací virutálních ploch, než je u většina desktopových prostředí běžné. Virtuální plochy jsou "dynamické" a vytvářejí se podle potřeby. Poměrně tady dává smysl nějaké rychlé přecházení na předchozí a další plochu - tedy věc, na kterou jsem doteď nebyl zvyklý, protože jsem měl zatím všude fixní počet ploch a klávesové zkratky na každou plochu.

V základním nastavení jsou dvě možnosti, jak plochu změnit. Buď klávesovou zkratkou nebo myší v okně aktivit. Klávesová zkratka je fajn, nicméně pokud má člověk v ruce jenom myš (což u takto klikacího prostředí je poměrně běžné), šahat na klávesnici není zrovna komfortní (navíc s výchozí zkratkou ctrl+alt+šipky to ani jednou rukou nejde). Přepínání v okně aktivit je zase poměrně dost zdlouhavé. Moje myš Logitech MX Revolution má na sobě tlačítek celou zásobu. Dlouhou dobu jsem tápal, co udělat s tím druhým kolečkem po levé straně a zrovna tohle vypadá jako dobré využití.

USB Tokeny a jak je použít

Většina dnes běžně používaných asymetrických šifrovacích algoritmů stojí na principu veřejného a privátního klíče. A je jedno, zda jde o podepisování e-mailů, autorizaci do VPN či cokoliv jiného - pokud se někdo zmocní privátního klíče, je obvykle zaděláno na velký problém. Vzhledem k tomu, že privátní klíč se obvykle válí jako soubor na disku, je riziko ukradení poměrně velké. Nešlo by to udělat nějak lépe?

XMonad

O XMonadu

XMonad je jedním z mnoha window managerů (jako KDE, Gnome a spousty dalších). Tím, čím se vymyká je, že je to tillingový window manager a těch už až tak moc není. A co že to přesně znamená? Zatímco ostatní WM si kolem každého okna vykreslí rámeček a nějak ho prsknou do prostoru (a umožní s nim hýbat), tillingový wm okna poctivě rozskládá do plochy. Tedy okna jsou rozestavěna tak, aby využily celou plochu a jsou umisťována podle nějakých pravidel (layoutu) a typické rozestavění také zajišťuje, že se okna nepřekrývají (ne

Stránky

Subscribe to linux, token