Přepis řeči - Triky s OpenSSH

0:00:15	ruší tak
0:00:17	takže ještě jednou dobré odpoledne pokud ste mě ještě neznáte tak mu jmenné ondřej caletka
0:00:23	sem sdružení cesnetu šest zároveň vyndali si to sou spojující veřejné vysoké školy v české
0:00:29	republice a terénní věc provozující národní sítě jde výzkumu
0:00:34	a dneska bych tady chtěl mít jako je praktické slyšení démonech přednášku takže slajdu bude
0:00:39	míní pověst nic ukazovat ohledně neúplné se zná
0:00:45	a je to protože úplné řez slyšení používají do nepoužil někdy první S dva
0:00:51	nikde se hlásí jeden člověk
0:00:53	tak
0:00:55	takže já se musím udělat jako je prakticky ukázky co by vás tak mohlo zajímat
0:01:01	tak nejdřív takový drobný úvod ohledně se opoj F S H protože většina věcí bude
0:01:08	specifická právě pro tuhle konkrétní implementaci je z a je to svobodná intervence s projektu
0:01:13	úplný vězí
0:01:15	po i používat nade všechny cely kompresní systémech
0:01:19	windowsech o podbízí samozřejmě poslední jednička je různých M byly platformách
0:01:26	rozhodně nejenom o šifrovaný telnet ačkoli to byla motivace dělníků protože protokol telnet jan ale
0:01:33	se používá pro vzdálené připojení počítačů a přinášel data po síti v otevřené podobě
0:01:38	a že se jseš den nezná protokole standardizovaných je té se že jsi F téčka
0:01:43	která říkají jak to bude jak to má je jak to má vypadat
0:01:49	i jak to má fungovat jeden protokol má několik vrstev
0:01:53	pracuje po T C P spojení na portu číslo dvacetdva M
0:01:59	a potom T C P spojení jednom dokáže posílat šifrované zprávy víc více míst
0:02:05	takže úplně co bych měl předvést na začátek
0:02:09	to co už všichni určitě umíte
0:02:11	běžně přihlášení jsem jak to probíhá server na privátní klíč L o C každého algoritmu
0:02:19	který podpolem neska bude tři algoritmy takže má tři klíče jezdí si vybere nabídnem jeho
0:02:25	a
0:02:26	když já se zkusím přihlásit
0:02:29	takže napíšu S H
0:02:31	a název počítače kam se budou hlásit
0:02:37	tak
0:02:38	jeden server nabídnout klíč a klient se mě ptá že nemůže uvěřit autenticitu toho počítače
0:02:44	kam se hlásím říkám že tu že to že ten počítač tou danou víte adresu
0:02:49	B svoje přes T P ve šest tak jiného nemůže znát a říkáme že tady
0:02:53	má fingerprint algoritmu S C D S a který je nějaký a já bych jedno
0:02:58	nějakým sem nezávisle ověřit že ten je pingneme že ten správný že není do uprostřed
0:03:03	doby mě různě tu komunikaci narušoval a boural se minulýho tak
0:03:09	já jsem to dejme tomu nějak ověřil samozřejmě nikdo nedělá tady nikdy nikdo já smíšenou
0:03:14	takže možná si to vědí dáte know takže to prostě skončí ani
0:03:18	další udělat nemůžete takže jsem se zeptat exaktně zbývající režie
0:03:22	chvíli se dozvíte se ten otisknout výčet na natrvalo uloží do uloží do souboru tečka
0:03:29	S H lomeno known host
0:03:32	spolu s adresou toho serveru takže už když se už budou pro příště to nebude
0:03:36	fungovat tady ceněné se natáhne heslo takže já zadám nějaké heslo
0:03:41	a sem tam vidíte se změnil pro takže jsem na vzdáleném serveru
0:03:45	a pomocí kontrole se souhlasím to je v podstatě jenom který sestřinou tak vidíte že
0:03:50	změnu kopta rovnou neslo a nechce to po mně žádné ověřování protože když se podíváme
0:03:58	toho souboru
0:03:59	nutnost
0:04:01	tak tam uvidíte tam při byl tento záznam na třetí nebyl ten soubor tam vůbec
0:04:05	nebyl kde adresa serveru
0:04:07	víte address register připojilo
0:04:10	ty klíče a tady je ten vlastní veřejný klíč celý nevyhoví sejících se mi
0:04:18	tak tohleto není asi vůbec nic nového to předpokládám že tím bych vás nějakého silnil
0:04:24	vidíte že už je to jsme představili heslem a pomocné to udělat nespustil šel to
0:04:29	je úplně to nejběžnější to můžete řezáčkem dělat
0:04:32	a úplně teď už bych začal takové věci které této nezná odvezla podporuje ale musíte
0:04:38	nastavit takže taková drobná vylepšení nejsi psár za soubor teďka seznal na konci k nebo
0:04:44	eventuelně když se ten s pro všechny uživatele tak S H je podobný konfigurační soubor
0:04:49	ty kvality samozřejmě může dělat jenom root ale víte stupně N nastavit je pouze pro
0:04:54	všechny pro všechny uživatele tak zajímavá věc je hran doma obrázek téže tentýž se vám
0:05:01	nepředstaví jenom otiskem
0:05:03	ale objeví se vám hodí objeví se vám i obrázek který by vám měl pomoci
0:05:10	světě hodin za pomoc zatržení dosimetr máme sedlovou sekvence čísel
0:05:15	zatímco ještě u eště vymaže vynuceno třeba zatímco když se ti teď přihlásím tak že
0:05:21	kromě otisku čísel se mi tady objevil obrázek tento obrázek je jak se jižnější měl
0:05:26	by měl by měl bydlí v podstatě překlad tohoto dlouhého čísla do nějaké zisky stravitelnější
0:05:33	formy
0:05:34	intel teoreticky když změníte yankee k tomu toho zeměpis nebude zobrazen vracejí změnit a vypadat
0:05:40	úplně jinak takže když budete mít jako obrazu paměť tak si pomocí tohleto můžete jednoduše
0:05:45	zjistit jestli se něco nezměnilo ten obrázek sám mimochodem ukazuje vždy vždycky přijde nepřidáš měl
0:05:51	v tom prvním takže vidíte že pokaždé když se přihlásíte předmět rated ale to sálový
0:05:57	obrázek se certifikát N A že ten klíč důvěryhodný
0:06:01	tak jako že by to přinášelo nějaké extrémní zabezpečení to asi ne ale je taková
0:06:05	hezká eska hezká věc
0:06:09	další věc udržení spojení ta řezáč seznam uděláte sebe protokol a ve standardní podobě se
0:06:15	to spojení mě udržuje pouze pomocí těch pomocí těch vlastností protokolu T C P kde
0:06:22	udržování spojení podstatě probíhá tak že se jednou za hodinu pošle nějaký pak kdy skutečně
0:06:27	funguje tak že M je problém je že některé firewall i taková nějaký jiný spojení
0:06:33	když dluhonice píšete a server louise píše tak je
0:06:36	rádi shazují nebo zruší a pak máte problém a to je se zašle vypouštěli vytuhne
0:06:43	takže já sem sto v závěru že pro mě lepší čtverce zátkami vytuhne ale místo
0:06:48	tohodle řezačku prostě chcípne znamená že a když tady dám třeba deset sekund
0:06:55	tak a teď kdybyste teoreticky přihlásil
0:06:58	jo neslo
0:06:59	časových důvodů vlastně u předváděla totiž bych odboj do C a nebo já to zkusím
0:07:03	přední
0:07:05	tak
0:07:05	zkusíme o policí doufám se ještě vono připojíme
0:07:09	no tak teď víte že mačkám to chci a nepíše se nic
0:07:12	jo N po chvíli by se to po chvíli se to rozpadl
0:07:16	další je tomu důkazy T rozpad můžete urychlit pomocí interaktivního režimu ně se dostane takže
0:07:21	myslím na chcete entered pak mlhovku a pak tečku
0:07:26	příkaz ten blok T tečka vám vinutí zrušení spojení a kterýkoliv kdekoli takže když nám
0:07:31	takle zase zaveze řezačku není potřeba otevírat nový terminál a psát příkaz kilové nějaké let
0:07:39	nějakém
0:07:40	P T toho S H procesu a kilo cílového normálně můžete pomocí říkáme intelovská tečka
0:07:48	zabít vždycky to je myslím ten další typ který tam kde jsem tam měl
0:07:53	ano tento vlnovka tečka
0:07:57	a další zajímavá věc co možná máte možná nemáte je že souboru to mnou množství
0:08:03	že sou záleží známá na máme na pomstít ukrytým se připojili tak to sou z
0:08:08	domu čerpat vajíček bychom position a udělám tím pádem napoví a když se někam hlásíte
0:08:12	takže nemusí tu adresu vypisovat celou
0:08:15	já sem to lze připojit tu síť
0:08:18	tak se to povede
0:08:21	to že jo
0:08:22	tak
0:08:23	takže jiří cache navyšuje se s napíšu o S začnu tabelátor cucaje doplní nemusím se
0:08:30	o to starat jednoduché
0:08:34	přihlašování heslem bych řek že používali po používali nebo používají skoro všichni určit a přivede
0:08:41	jak vylepšit tak
0:08:42	první takové vylepšení co si myslím že ta těším už nekdo ještě nikdy nepoužije uživatelský
0:08:47	je se zdát
0:08:49	jeden zas
0:08:51	tak zase menšině takže zase jen tak velice rychle kromě toho že představíme heslem což
0:08:58	není vystupuje bezpečné tak se můžem představit
0:09:01	stejně jako se nastavuje server nějakým ale elektronickým podpisem nemůže když vygenerujeme certifikát
0:09:08	normálně zadáme se základě ty parametry na standardu celkem rozumné jenom doporučuju
0:09:14	vyplnit nějak rozumně komentářové pole to znamená třeba tady napíšu ondřej caletka linux dál
0:09:23	hobita možná se mně bejt mezery a ten určíme
0:09:27	tak
0:09:28	teď se mi vygeneroval nějaký pár tasemnice tam o chci uložit nechám výchozím variantu která
0:09:33	je tam přednastavena zvolí nějaké silné heslo třeba heslo
0:09:41	nesneslo projde
0:09:43	změním ztrátě
0:09:44	prošlo takže kleslo
0:09:47	a to bych vás hrozně neměl říkat a tady je tady je ten tady je
0:09:51	ten jeho otisky
0:09:53	a tuto chvíli mi vznikne tam adresáře z soubory je takže ten privátní klíč nemění
0:09:59	com ukazovat podle byste neměli vidět ale je šifrovaný takže když nevíte heslo tak se
0:10:04	mně nemění dostanete
0:10:05	a pak a pak je tady ten veřejný klíč to že to zajímavé to je
0:10:10	totiž ten když ten veřejný klíč který budete dávat tím server úterý má mají věřit
0:10:14	tak my musíme zelený předat aby věděli že devět že je o váš klíč a
0:10:18	tím pádem kostním podepíšete budovala kvalitní boty je tady zase ty algoritmu pak tady assembly
0:10:23	šedesát čtyři vlastní klíč a na konci ten komentáři na vyplnil takže víte že když
0:10:28	tady tisíců sejdem víte index nejsvětější
0:10:32	tak ty bychom ten když potřebujeme stanoven server do souboru autorizací s můžeme to udělat
0:10:37	ručně nějakým kopírování malej lepšímu desatera sem se zákopy I D dáme si zákopy I
0:10:43	D a minus tak tam to chceme nakopírovat
0:10:46	našem N teda která nevím sto
0:10:50	tak
0:10:50	tečná tam přihlásilo a řekla že to je to je tečka že záludnou to ženský
0:10:55	tedy nosím přihlásit znovu na ten počítačovými se tam zrovna mně dostat rovnou
0:11:00	a neušel a totální kolja heslo tomu samého systému a tam se na to naprosto
0:11:05	názvy k tomu k tomu klíči
0:11:07	jedna vážou pak někdo není tak rychlé velmi dosti známou říct těm stoce ukázat bydliště
0:11:12	teďka na tom projektu zase z rychlost alias zastihli to nešlo zase zruším
0:11:16	no dostávat
0:11:18	no tak já to radši tuším nette že víte jsem se přihlásil
0:11:23	eště a ještě abyste věděli teďkon tečka S teďka bude auto reset these normálně zvířetem
0:11:28	útlý by tam byl přidáte podstatě všechno co uděláte udržet katedře zakoupí de já tak
0:11:33	a odstraní a tím ze tím že už tam zase nepřihlásil oslo se úrovně pojetí
0:11:38	heslo
0:11:38	tak
0:11:42	další vylepšení které můžete snadno
0:11:45	snadno používat koukám že mi telefon který má za čas už vůbec já nevím kolik
0:11:50	mám času
0:11:51	eště hodně určitě
0:11:54	aha on se norma toho počítání zastavil se pěkně
0:11:57	zruš nesouvislým bodem access
0:11:59	jo
0:12:00	tak
0:12:03	ještě přitom generování david moří když je tady přibyla tesla těch každý den každý ten
0:12:08	můžete si zvolit zase různý algoritmus nejsem je vede ten svůj osobně zákonných vyjde standardní
0:12:15	na tento vygenerovalo myslím že žívat ještědu bitů R S klíčů jestli svoje dva tisíce
0:12:21	osum nebo chtějí devadesát šest když budete chtít jako nějaký extra bezpečný může zvolený algoritmus
0:12:26	jenom nedoporučuju volit algoritmus STD a zde byl přidat do S H asi ve verzi
0:12:32	pět sedum a pořád ještě může za nějakou vykopáváte aby vůbec nerozuměla specielně je myslím
0:12:39	že mišu ty takový teorie úplně sezná taktu pověsilo křídované ale občasných nějaká hadrová zlíně
0:12:46	nějaká teska ještě asi neumí vůbec za klíče
0:12:50	no něm prostě já se mi to nedoporučoval není to úplně není to úplně vhodné
0:12:57	tak rozhodně
0:13:00	teďka duše kvazi má věc o které si myslím málo V F která by mohla
0:13:05	být lavinová tak je sdílené spojení říkal potom jednou S H kanálu do minut sebe
0:13:11	spojení vy můžete provozovat
0:13:14	ten protokol jakoby třívrstvou víte model toho S H
0:13:18	a poté jedně todle případy fyzické vrstvy která tvořená tím šifrovaný D sebe spojení míjení
0:13:24	spojení je možné multiplexovat napsat více naprosto nezávislých dat vždycky je dvou žádný dolování ukáže
0:13:30	se za chvilku ale ne já je určena provozovat tak se i více terminál vysílací
0:13:35	takže přes jedno internetové spojení může vám běžet více terminálů sezení na nemusíte tedy když
0:13:43	se to otevřít dva terminály navzájem se v dvakrát navazovat se z a nemusí daní
0:13:48	bude žádný multiplexorech lidství nebo týmu prostě to uděláte přímo na úrovni toho S H
0:13:53	stačí si zase tydlety tři celé tři konfigurační riki víte zajímá takle sou tak napíšete
0:14:00	do konfigurace jak to funguje ty i řádu jedi prací než u máte a svej
0:14:06	když se připojujete nějakému sedum poprvé tak se to chová úplně stejně jako beztoho sdílení
0:14:13	normálně srovnávání spojení přes Í ale kromě toho ten esesák nejen založí na téhle cestě
0:14:19	unixový soket C názvem který tady je tím že ten chcete třeba na tomto hustota
0:14:25	pak bude mít tady s display shodli té a R se za se dosadí hosts
0:14:31	port a remote uzenej jo to znamená jednoho ohoz tak anticipujeme číslo portu a už
0:14:37	je to s těmi na které se hlásíme no a
0:14:40	když potom spustíme další proces tak ten se podívat na vzhledem souboru už není proto
0:14:45	pro tu danou protože ten cíl v momentě kdy ho najde tak se k němu
0:14:50	připojí tím se spojí s tím máte procesem a vlastně už jednotný a žádné síťové
0:14:55	spojení a co je to jede přesto jedno síťové spojení takže
0:15:00	když nebyli že to nebylo známo hlasem tří praktická ukázka
0:15:04	to se vám tady hodí proto že tím že to všechno jede přes jednu síťové
0:15:08	spojení tak jenom se autentizaci dochází jenom jednu
0:15:11	takže já sem vám připravena zdokumentované jako prostě moc comment u
0:15:18	nekouká z
0:15:23	tak
0:15:25	aha
0:15:26	teď se zkusíme se přihlásit víte sazeb normálně vode spojím přes síť já se přihlašuje
0:15:32	sem teďka jezera neslo
0:15:34	sem přihlášen
0:15:35	tak teďka ten druhý terminál aha prosím skutečně tak
0:15:40	teď když se podíváme na toho adresáře tečka S H tak poštou vidíte skutečně tady
0:15:46	vzniknou kontrolu s o
0:15:49	ten soket
0:15:50	který má název toast a kam se připojíme číslo portu potřebujeme a vzdáleného je to
0:15:55	s těmi na té potřebujeme a já není si musím připojit na stejné stejný server
0:16:02	tak značku N treats tady jde to rychlost
0:16:05	vůbec nic nestalo vůbec žádný neprobírali větší než je to je to ovšem navzájem sem
0:16:10	a sem tam jako druhý
0:16:11	tak možná by vás zajímalo co se teďka tady když ten první nemá se odpojí
0:16:18	tak se odpojíme normálně se to dobře
0:16:21	spojení nejsem K nevyřešen selections ostatní C close
0:16:25	ovšem ten celej stále běží tady pořád o funguje vidíte
0:16:30	je to je to
0:16:33	je to proto že von ten nástroj když máš nějaké aktivní slave i tak on
0:16:37	přijde na pozadí to mimochodem dělá ta třetí volba kterou sem tam měl znamená taková
0:16:42	ta
0:16:43	takovéto kontroverze třicet znamená to že on když skončí ten master jak při na pozadí
0:16:51	a osobu ještě displej vy a dokonce ty slave ještě obsluhuje nějakou dobu potom co
0:16:56	se poslední odpojí náhlý co odpojí
0:16:59	tak když čas třicet cechu aby věci milisekund já se to můžu rozmyslet je se
0:17:03	eště připojí
0:17:05	a vidíte spojení ještě otevřené a ještě svobodná navázal všemi to výborné publice připojujete například
0:17:11	je třeba šla heslem a nevaď měl jas heslo
0:17:15	ne a není možné vyřešit nějaké serte nějaké ty veřejné klíče jsme to sice ze
0:17:20	předváděli tohle krásná varianta jak to udělat D jak to udělat aniž byste tomu se
0:17:26	s pořád napíšete ho jednou a dokud máte otevřeno splněno relaci nebo i když je
0:17:30	rychlostí já ten čas nějaké použití se teplo jako kopírování nebo se proto P tak
0:17:35	jednoduše tu
0:17:39	danou relaci danou relace tak nevidíte a vona mám tam vydrží když se podíváme na
0:17:44	přehled procesů
0:17:48	tak vidíte že tady je to přesně je do přesně ten proces
0:17:54	který to obsluhuje
0:17:55	a teďka ještě pořád osvojení stále drží já vysvětlím třicet sekund mluvit tou se možná
0:18:01	povedlo a pak to spustím pozdního ano
0:18:09	otázka byla jak je to s bezpečností a ano je to přesně tak doplněna přístup
0:18:13	tomu soketu dostanete na druhou stranu sem se tedy samozřejmě má taková práva že se
0:18:18	k němu dostane jenom jeho vlastní
0:18:20	když už ten proces zmizel znáte to využito se odpojeno ty když se budu chtít
0:18:25	připojit neusněte zase bude táta nejsou
0:18:28	eště jednou polí se podíváme na ty práva
0:18:32	ale jako
0:18:33	to není to není v podstatě ve většině případů nepředstavuje problém protože je to jste
0:18:39	to stejně vy kdo má znovu souboru a nikdo jiný a samozřejmě místní root ale
0:18:43	místní root vám může na tom že ublížit jakýmkoli způsobem takže tohle to není tohoto
0:18:48	jenom jeden z mnoha způsobu vidíte že tam jsou práva jenom R V pro uživatele
0:18:53	a pro ostatní pro ostatní je to na no
0:18:57	tady to vidět
0:19:00	tak
0:19:01	takže vy když sdílené připojení v podstatě skoro nic nestojí
0:19:07	vidíte že může vám to určit trošku práci budeš vám to počet spojení kterého z
0:19:12	dobře sítě litoval se zas nějak netrápí a co vás ještě může dělat ruští může
0:19:18	pomoct
0:19:19	tak třeba kdybyste používat byste C P dešenice jste co nejvíce deset C
0:19:25	když se tedy slibované kompilování už a začnou takový ty si musíte se všechno kompiluje
0:19:30	jedno možnost že prostě rozložíte to kompilování přes více přes více s počítačů a jeden
0:19:35	možností je posílat ty zdrojové kódy nance počítače tak už je se za problémy že
0:19:41	ten zrovna ten by se to funguje tak že těch spojení a voze mnoho sou
0:19:45	krátká hezky ruší a pokud by to spojení došla normální autentizací síťovou a otevíral martě
0:19:51	vysoké jak se to celé strašně zdrží možná i na to je sami platit vůbec
0:19:55	rozprostírat mezi serviced kompilát jako bylo to většinou chaosu to znamená že jimi nastavíte sdílení
0:20:01	odvezenou jedno spojení na ně se budou dynamicky zakládat rušit ta jednotlivá pro spojení tesly
0:20:07	spojení a bude to všechno strašně rychle viděli jste že ten rozdíl je naprosto markantní
0:20:12	a to i když té tady způsobem tím že tam zase zadám heslo samozřejmě kdyby
0:20:16	nezahrávala to tak by to i změřit a je to třeba deseti násobně rychlejší to
0:20:21	otevření toho svejch sezení
0:20:24	když těchto mě nějaký dotaz třeba
0:20:27	ne
0:20:29	dobře tak další věc že mezi jednou založené S H klíč tak dobrá věci je
0:20:35	dobrá věc se zná agent
0:20:39	a nebo ne já se ještě vrátím já se ještě vrátím pardon
0:20:44	je jak auto má nevýhoda tady modelový hrátek nevýhoda je že pokud zapnete tento režim
0:20:50	sdílení tak přestane fungovat interaktivní režim to znamená že to chtěl k jakému semafory začátku
0:20:54	N troska tečka tak může zase si nezapomenutelný přestane fungovat ale tak jak odezva výrazu
0:21:00	časem spravěj to nebude fungovat nevidím nebudu vodě by program nemohl fungovat
0:21:05	N
0:21:07	a druhá nevýhoda je když C začnete použít nějaké tunelování forwardování tak většina těchto voleb
0:21:13	která je nějak spjatá s tou síťovou kolektivy tou tak se uplatněnou toho máte spojení
0:21:18	a už neutichly spojení mezi se i spojení nic nikam pořídit nebo sídla jen se
0:21:22	spojitým soucitem na to je potřeba myslet a proto je dobré když se toto jestli
0:21:26	máte nastavené a to spojení chcete vypnout tak to je na té jednoduchá rada přidáte
0:21:32	parametr mínus velké S no ne jako soket no ne těmi nutíte že i když
0:21:36	máte spojení dvakrát ke stejnému cíli se naváže pořídit znovu takže první spojení více tady
0:21:42	a druhé spojení mínus S no ne tady
0:21:46	a víte že obě dvě stejně ptejna heslo takže obliby sou teďka naprosto nezávislá
0:21:50	ani žádný soud je tady nevznikl
0:21:53	tak
0:21:56	tak teď se teda sice teda popojedu dál
0:22:00	na S agenta
0:22:02	když jsme vytvořili ten privátní denně které se nějaký čas dešifrovali lesklém tak sme si
0:22:08	vlastně moc nepomohli protože místo jedno heslo ke vzdálenému se různé přesáhlo tomu klíči a
0:22:14	tak jako ta myšlenka samozřejmě to mnohem bezpečnější protože musíte z už vůbec ne putuje
0:22:18	předtím datovou šifrování takže nebo taky dost bezpečně ale něm tady to resumed neprojevuje svého
0:22:24	vlastně z lokálního dobře o počítač z hlediska uživatele tu jednu vypadá to stejně tak
0:22:29	to se dá dělat já se použít S H agent řez agentně softwarový nástroj který
0:22:34	slouží jako tyčinka
0:22:36	uložena v paměti počítače eventuelně dokáže spolupracovat různými smát kartami a hladovými to ke jasný
0:22:43	věcmi
0:22:44	takže tahleta klíčem k a
0:22:48	funguje tak že vydělení nahrajete se provádí myslíš rozšifrovaný přidáváním rozšifrujete a následně tak nečeká
0:22:56	se stará o to že by ten řadič neměl sebe nějak pustit samozřejmě pokud má
0:23:00	nejvíc operační paměti počítače tak jsou procesy kterými opustí aniž by o tom věděla že
0:23:05	jo nižní libida pojedou paměť nějaký operační paměť nebo proces trávím ta tak tomu nikdo
0:23:10	nezabrání
0:23:13	ale jako by jiný způsob registry a když je to na nějaké hardvér celkem tak
0:23:18	mi ani tyto postupy neměl Í
0:23:20	no tahleta klíčení K zase si záložně dějiny soket a přes ten vysoké se k
0:23:25	ní připojí klient S dva a vyžádá si o ní podpis proto konkrétní autentizaci takže
0:23:30	při každém přihlášení se vlasová zepta
0:23:35	jak se udělá ten hágen by se vám měl spouštět při startu prostředí aby byl
0:23:39	společný pro celé prostě je ten proces takže mně se třeba slušně se zájmem při
0:23:44	startu toho prostředí K D které používá a
0:23:48	takže o něm jako vy oni se a moc nemusí starat asi nemů nemůže máte
0:23:54	to ukazoval prostě nejen si musíme distribuce litrů nakreslit ruce a S zánět rozdíl způsob
0:24:00	jak se ten zánět aktivovat pokud ušatý není
0:24:04	a to celé potřebujete přidat do ní klíč
0:24:07	a to se dělá příkazem S H N mínus nejde
0:24:10	ten příkaz můžete pustit takhles parametru asi pro s ty standardní cesty a nejde klíšťovej
0:24:15	dámy a zeptá se vás na jeho neslo v jednom takle přidáte
0:24:20	ovšem musíte si to heslo to šest
0:24:23	identity a devět když se teďka dáme mínus L
0:24:26	tak se tady ukáže tam ten klíč je
0:24:30	fakulty o té chvíle už se můžu pomocí S na přihlašovat
0:24:35	ovšem ten za předpokladu tam ten klíč nechal takže já jsem nula uděláme se zakoupí
0:24:40	je
0:24:46	tak teď sem nakopíroval ateista budu přihlašovat
0:24:49	tak tohle do dané spojení to byste mi to tu to byste měl to byste
0:24:53	nevěřil že to je opravdu tak dáme no ne a tady když nepřihlásil přímo sto
0:24:57	agenta
0:24:58	problém je že daně matice teďka jako by neměl vyjasnič ale vydávám neomezené množství podpisu
0:25:04	na libovolně dlouho dobu takže pokud vám toho agenta někdo napadne nebo něco tak je
0:25:12	to vlastně o ekvivalentní jakousi té doby nespěchá neukradli klíč a když mám když si
0:25:16	nechat mu že vyhraje nebo mi na cokoli takový nejvíc nepotřebují
0:25:20	takže aby se tomu zabránili tak jednoduchá pomocný ty klíče mě odstraníme to se dělá
0:25:26	mínus velké de
0:25:28	olin systému teď příměsový když už tam nejsou
0:25:31	a když dáme mínus C jako koncovým
0:25:35	co se zadané heslo číslo
0:25:38	tak teď víte že tady výhozem a toto je těžký činnost obětí a tuto chvíli
0:25:44	když já se tady přihlásí někam
0:25:47	tak mi vyskočí jak se dělalo takže na a stát ty věta opravdu ty P
0:25:51	je vystavit takovýhle podpis a já řeknu ano
0:25:54	a pře přihlášen
0:25:56	a nebo řeknu ne
0:25:58	a přihlášení menší a tam se něco na něco protože to spadne na druhou možnost
0:26:06	tak
0:26:07	ceny malé tom agentovi tím že to komodit nebo musím celé soketu tak ho můžete
0:26:11	tunelovat to znamená že vy když páteře na mínus velké a nebo napečete dokonce budete
0:26:18	volbu formát a že agendě
0:26:21	tak když se přihlásí anální server tak spolu s tou vaší terminálu relací odevzdání se
0:26:26	dobrý den co to je pro komunikaci s tím S H S H je agentem
0:26:31	můžeme si to ukázat to znamená že vlastně tu svoji identitu kterou máte kterou máte
0:26:36	V
0:26:38	kterou máte teďka pět efektivní čeřena sem počítači
0:26:42	tak může dojít nemůže přenýst na vzdálený server já bych to uděláno nám sem taky
0:26:46	dá se seznámíme s a že mínus L
0:26:48	a uvidíme že tam ten samý klíče a dokonce můžu vzdáleně nejdřív třeba sto peněženky
0:26:53	vymazat
0:26:56	jehož tam není je D se odpojí a tady se podívám tak tady učte veřejných
0:27:00	taky nebude
0:27:02	L vidíte takže používán mám jednu klíče u sebe na počítači ať kultura řezáčkem přestři
0:27:09	sedmi postupně dál někam dál pořád prostě tu ta moje tyčinka je na mém počítači
0:27:15	a kdokoli vzdáleně bude chtít použít můj tyčinku tak mě na myslím tučnějšími složí dialogové
0:27:20	okno opravdu chci použít já to ano a nebo definuje když prostě když prostě vůbec
0:27:25	a na počítači někdo úplně vynalezeno neměli složí obecně se podepsat tak po svým dětem
0:27:29	se na řezáč chová a formát doval to toho agenta ne nějaký se vejde někdo
0:27:34	kde někdo seš něčem šťourá a snaží se mi vylákat popisného agenta tak spustím poplach
0:27:42	tak tolika C F za agentovi tunelování
0:27:46	tady je to je taková zvlnění květnová řezáčkem
0:27:53	všichni jeden člun invazí tři tak tři vidíte S a to je docela dobré protože
0:28:00	já tady mám jenom takovou částečnou ukázku jak sme říkali že potom jednou access zaskleni
0:28:06	možné definovat více terminálů spojení jedno možné do agenta přesměrovat také tak je možné přesměrovat
0:28:12	X pro to bylo pomocí předmět že mínus velkej neumí za K Y
0:28:17	když ho funguje slyším s velkej konečný také i
0:28:20	to tady mimochodem vůbec nemám vlastně budem ukazovat
0:28:24	a nebo bude
0:28:27	budem
0:28:28	sme to časem půlhodinový R
0:28:31	a co je ale zajímavé konstrukce prakticky krásně využitelné to
0:28:37	oni takle on často lidi plout syntaxi těch příkazů já sem tady se pokusil adresy
0:28:43	takový obrázek se kterého to je pro mě pochopitelné to samozřejmě neznamená toho trochu vdaly
0:28:48	pro někoho jiného vezmou tento obraz
0:28:52	tak základní režim celý den nejčastěji může podle mě mínus velké L jako slova log
0:28:59	a znamená to že lokální port na klientovi přesně láme na vzdálený server je to
0:29:06	je to tahleta zelená barva a znamená to že na tom klientovi se nám otevře
0:29:11	or daného číslo osumdesát
0:29:14	na houby pojem rozhraní
0:29:16	a myslím nemůžem připojit ty šifty vždycky ukazují směr který se navozujete C P spojení
0:29:21	funguje to jenom pro T C P spojení
0:29:23	my se k němu tady můžeme připojit a blondýny se k němu tady připojíme
0:29:28	takhle tak obsah tohoto tam posíláme se zašifruje pro neletíme syna spojení na serveru na
0:29:34	server a zeseru se naváže T C P spojení na adresu kterou jsme nazvali zná
0:29:39	server někde té ze dvojtečka osumdesáté toho ví detekce takže to je znám třeba vodní
0:29:45	systém připojit na nějaké sebe potřeba chceme vyzkoušet jak vypadají jak se chová jsem T
0:29:51	P server pro daného jména z jiné části tele že zrovna lyžovat ne jsem aktivitě
0:29:59	list někde nějaký farmu tak se přihlásí na nějaký jiný server a odtamtud naváže spojení
0:30:03	kam dál je potřeba si uvědomit že šifrované pouze toku to znamená tady na toto
0:30:08	už v otevřené podobě a tady samozřejmě tak já těch místní smyčka takže tam nemají
0:30:13	kam se
0:30:16	druhý velice podobný případ je to dynamické přidělování
0:30:20	to funguje tak že ten se znáte je implementuje sloupce se protokol že se někdy
0:30:26	osob zase protokolu do někde slyšel
0:30:30	dost viděli neslyšel té takový proteosyntéze archeologie když ještě neexistoval nás a takové věci a
0:30:38	zároveň duše to nestačil to byl procvičovat ani sítu a takové věci tak intenzivní vzniknul
0:30:44	jakoby univerzální protokol něco jako vylepšený HDTV pro psy adem funguje neseme sops a funguje
0:30:51	tak že ten klient tady otevře spojení soap protokolem a teprve uvnitř toho spojení si
0:30:58	vyžádá na kterou adresu se spoji a na tu adresu se dynamicky na straně sem
0:31:03	naváže spojení detail nadšením oblakem do kterého se do kterého sem spojení navazuje jo a
0:31:09	no momentě kdy
0:31:11	v momentě kdy to znamená že to nemůže použít proto že telefon podpora such protokoly
0:31:16	ve většině internetových prohlížečů takže to můžete poměrně snadno využít zkusíme si to přede
0:31:25	R
0:31:27	přidáme mínus velké D tisíc osumdesáté standardní port osob strofy
0:31:33	a eště můžu předvést musel K Y T zosnování serveru to když tam přijde zadala
0:31:39	a teď teda napíšu heslo
0:31:42	tak teď můžu spustit na vzdálené straně nějaký stojí program a on se proto je
0:31:47	sem
0:31:48	ovšem by nevyděsili kasou a dále straně a tak věřte mi že sou
0:31:55	tak
0:31:56	a
0:31:58	a druhá věc asi před V teďka spustím prohlížeč
0:32:02	a teďka nějakém prohlížeči
0:32:07	tady někde je nastavení procesem proužky google ochromit tak dokonalý doma nastavení proces
0:32:13	to nebývalo rotačního
0:32:15	taktéž děláme ručně nastavíme si je sops prosím bude lokál na portu tisíc osumdesát
0:32:20	tak
0:32:21	a tuto chvíli se podíváme jaká je naše I D adresa
0:32:36	a zjistíme že naše aipí adresa je tato suše rozhodně není místní adresa
0:32:40	eště můžeme zkusit možná třeba Í T tečka odkaz úsečka net
0:32:45	že radistova ten zauvažuju oznámení bere šest ovšem víte že
0:32:50	spi reverzní já zamíří napouští těch oscar CC teďka se cz troše ten počet dávaný
0:32:55	a teďka se přihlašoval
0:32:56	vy to asi nevidíte ale jestliže za mě
0:33:00	tak já to ještě dat ještě tady vrátím zpátky rychle aby se pak strašně není
0:33:04	vložen je funguje internet
0:33:05	protože v momentě kdy to spojení
0:33:08	a V datové typický přísliby příznak že některé s některá spojení se nějakého důvodu nechtějí
0:33:13	otevřít
0:33:14	je řazen fronty samo zapnou tak okamžitě takže otevírat děsící různých T C P spojení
0:33:20	takhle se dnešní rodiče chovají
0:33:22	něco se mu s toho nepovedlo takto vlastně pojem chyby ale že si chyby to
0:33:27	funguje
0:33:29	takže to jsou měkké chyby
0:33:36	tunelování ano
0:33:37	tak a zajímavá věc já se vám hodí třeba když má potřebujete vyřešit nějaký jednoduchý
0:33:43	průchod na té M
0:33:44	tak je ten remote no to je ten značí takovou tou nemůžou nebo hnědou barvu
0:33:51	a to je to doslova demo znamená jak to funguje opačně že to je hloubek
0:33:57	o vysoké se otevře na straně serveru
0:34:01	a
0:34:02	když se na něco připojis toho serveru eventually zda přesně že přepnu že ten že
0:34:07	ten scan je otevřený do toho internetu ale standardně tenleten ze strany se mu tak
0:34:12	ten server to tady zase zašifruje pošlete zdržovali je znak a kanál a na straně
0:34:17	klienta to vystoupí na ten konfigurovaný server doma cz a jeho budovaný měl
0:34:23	takže to sám krásně voní
0:34:26	když potřebujete když potřebujete třeba tady samozřejmě seznáš zkusíme formou poraní s na té hraně
0:34:31	když je tady třeba na a tady není mezi náves na a chcete se dostat
0:34:35	někde internetu domu
0:34:37	tak můžete udělat tak že odvezete spojení můžete použít nějaké auto řez která se spojíme
0:34:41	trvale udržovat a jednoduše že si na požádání takle přes ten objekt nula svojí domů
0:34:49	vlastně proti směru toho na tu
0:34:53	důležitá věc je tam napsáno ale eště zůstal vysvětlení denním to T C P T
0:34:59	C P vždycky když budete někde slouží něco znova vyvarujte se toho abyste polosvazy TCP
0:35:05	na TCP vypadá tak že to funguje pouze do roviny se něco že se nějaká
0:35:10	linka na saturuje protože to kuba přestane protože CC protokol tohle fungoval tak potřebuje ztráty
0:35:16	paketů a pokud je po tý jiný protokolem spolehlivý protokol TCP ty Z rádi pak
0:35:22	negeneruje místo toho debugging zdržuje tak ten horní živýho to bylo funguje špatně tady je
0:35:28	důležité že tady to tak není tady sice seznamech vás že se to jednu ze
0:35:33	sebe spojení pro závidím zelen který je taky zůstaly nějaké se pevná tady máme ten
0:35:37	chcete alespoň že si to spojení sou tři úplně nezávislá první spojeně ze jednoho objektu
0:35:43	třeba tu zájem případě
0:35:45	to je první spojení té začíná tady a končí tady
0:35:48	druhé spojení proto S nás pointy začíná tady a končí tady a třetí spojení zase
0:35:52	začínáte jenom se nula končí zde znamená sou to tři nezávislá spojení mezi kterými se
0:35:57	ty data rosario seskládají takže se vám nestane to že by to fungovalo špatně to
0:36:02	jenom jedno ze sebe spojení to T C B T C P
0:36:05	eště řezáč vliv podpole že vertex dívá může zpřístupnit zařízení typu tu nebo ta myslím
0:36:11	že tu
0:36:12	na kteří mi nasadit adresy a posílat cestování potřebuju dva lepenka a todle právě nepoužívejte
0:36:17	totálně můžete kvůli tomu že když potom vedou zařízení budete provede sebe tak se dostanete
0:36:22	do stavu že budete mít T C P T C P a bude fungovat špatně
0:36:30	ne svět mode taková naprostá blbost jednoduchá je ale může se může se hodit
0:36:37	když dáte si zástin dobře nějak mínus dvojité V a adresu sport tak ten váš
0:36:44	terminály vstup a výstup se propojíte vzdáleným hostem a portem zaváže u vás to terminál
0:36:51	výstup a na vzdálené straně je to je to normálně té sebe splnila není kam
0:36:56	pro z domu říká netscape moc držet odpovídá tomu jako kdybyste na vzdálené straně prostě
0:37:00	že tady byl seznam že jo slyšel M a prostě kanadou adresu
0:37:04	takže můžu třeba můžu třeba udělat takže
0:37:09	že se připojím
0:37:11	že se připojí
0:37:15	trakční se přiznám že tady
0:37:18	ano stejná ve svém tak mám napsáno předvést
0:37:22	že velice popisné k tomu abych věděl co mám teďka dělat
0:37:29	mínus W tak si zkusíme třeba připojit na
0:37:33	na tak třeba na to IP tečka o starts tečka ne
0:37:38	dvojtečka osumdesát
0:37:41	tak
0:37:43	se musí já se já stránkovaným tak nemusím pořád hrál
0:37:48	heslo
0:37:54	tak teď se vzorky připojil ten dám vědět lomítko
0:37:58	ten trend R
0:38:02	a klasický generálský syndrom
0:38:05	no každém případě tak to by to mělo fungovat
0:38:09	můžeme si nějaký S N T P server to by setřou ten by se třeba
0:38:12	mohu ozvat
0:38:14	dvacet pět
0:38:16	a ten se vozval vidíte může musíte ho
0:38:21	tak
0:38:23	a není řádkovým příslušný
0:38:25	takže vidíte že tady na místní tady mám terminál na vzdálené straně na vzdálené straně
0:38:30	je T C P spojení no a čemu se taková věc může hodit no ona
0:38:34	se perfektně hodí
0:38:36	zero jediným parametrem si se menuje pro přitom a
0:38:40	příkaz pro přitom a
0:38:42	můžeš zakázat dost konverzi z usa klienta a znamená že pro přístup danému klientovi se
0:38:48	nenaváže to klasické sebe spojení na pod dvacetdva ale místo toho se proto ještě hádáte
0:38:55	na vánoce standardní vstup a výstup říct entryway napsaný a když sem jako příkaz napíšete
0:39:00	seznámí zujte
0:39:02	máte vlastně máte trošku kde spojení u mně spojí máte vnější spojení ty nelžete vnitřně
0:39:09	se z spojení zase to není T C B C B nemusíte se bát že
0:39:12	to bude fungovat blbě funguje to je dobře mám to tady připravené můžeme to zkusit
0:39:20	ten mise vezmeme se vybírají firewall takže ramesse vzácné blbě high firewall
0:39:27	a
0:39:28	ano tak teď se toto je neviděli protože tam zase
0:39:33	aha protože já znám přístup já to musím
0:39:36	no
0:39:40	ano tak to bude zase moje chyba nedokonalá příprava
0:39:44	a zkusím tady nastavit nějaký jiný server kam ten přístup budu mít
0:39:52	uděláme to jinak uděláme takže tady na prohodíme
0:39:56	tady dáme tenhle
0:39:58	a sem dáme tam ten
0:40:00	to znamená že
0:40:03	to znamená že teďka aby co se teda vědí
0:40:08	když se musí připojit na adresu serbian firewall tak se nejdřív spustí profíků má tu
0:40:14	že tohle náskok trénování spojení s tímto server
0:40:18	a protože a rozmělňuje spojení tomto se nulu a následně se mi tak podle tento
0:40:23	server aby se mu představil
0:40:30	tak teď se spojitou první musel otevření ta tentýž použiju teče a vyúsťují druhý server
0:40:36	který je tam slova verifikační k o
0:40:39	takže ti takle postupně sme se přebor tady vidíte taky dva obrázky první obrázek jeden
0:40:43	co sme viděli a druhý obrázek je toho druhého server vyjde soucitný různé s mají
0:40:47	různé klíče
0:40:49	takže takle to funguje hesla považovat jako tam lepší ale nebudu protože to důvod proč
0:40:59	tak
0:41:00	S kávě když máte desek systém dělení
0:41:06	třicet osum procent nebo kolik
0:41:08	můžu doména line sekt
0:41:11	se skoro každý
0:41:13	tak desek se dá mimo jiné použitou
0:41:17	že dojde nést můžete uložit záznamy
0:41:23	ty otisky těch klíčů pak se vyvarujete tomu trapné mu dotazu na začátku když neviděli
0:41:28	že autenticito stane lze ověřit a co s tím teda jako budeme dělat a jestli
0:41:32	tomu věříme a jako ten nezávisí dělá prověření žebrák může bezpečně D S a desek
0:41:38	takže co proto musí udělat musí si vygenerovat navzájem straně na tom serveru ty správné
0:41:45	záznamy a musíme uvědomit obrázek musí S H místě gens parametrem provede mínus R takže
0:41:53	verzální server
0:41:56	nějak normálně pokud možno
0:41:59	zápisu voleč
0:42:02	tak
0:42:03	sem na vzdáleném serveru a teď napíšu S týden
0:42:07	mínus R ten semestru rozklad T C takže se C
0:42:11	tak viděli ruzyni takovéhle S H S P záznamy
0:42:15	které je potřeba vložit do D S
0:42:18	no teďka uděláme takový ten efekt televizního vařením růstem takže vloženo takže já teda musel
0:42:23	tisíce sme C Z
0:42:25	S H S P G typ záznamu a uvidíte že tady ty záznamy prostě jsou
0:42:31	takže to zase ušetřete tady nemusíme předvádět
0:42:34	prostě standardním postupem jako editujete DNS tak nevím zařizuje tady i ten
0:42:39	tento záznam a je co musíte udělat ovšem na klientovi ten totiž na toho věnování
0:42:44	při výchozí nastavení kašle
0:42:46	tak zase konfiguraci povolíte volbu ve neprojevuje file s týden S a máte dvě možnosti
0:42:52	buďto a
0:42:54	nebo je
0:42:56	dáme svou je a volba jednáme na
0:42:59	že tedy že tam budou přihlašovat zase vymažu ten know mnohost soubor
0:43:04	který tam budou přihlašovat
0:43:08	bez sdílení
0:43:13	tak víte že se to vůbec mně to dokonce ani objevil obrázek tím klíče
0:43:17	protože se došlo k tomu ověření někde se kultuře to bude v pořádku takže se
0:43:22	to což do personál lepší ještě když to na ve mínus vut pak ukecaný ten
0:43:26	klient říká toho strašně moc ale ten tady zajímaj říká toto
0:43:31	von fajn sekyr fingerprint indie nést phone nula SHA jedna takže proto máme H rozpočet
0:43:38	fingerprint
0:43:39	té sečné těžiště a slyšel krásných nás nebo vedla a víte že tady došlo k
0:43:45	myší match nutí znamená jestliže ty klíče se kdy otisky vynesení s těmi křížíte jeden
0:43:50	semena D a takovýdle všechno v pořádku
0:43:53	eště druhá varianta taková ten když se parní a nevěříte že vám to desku nikdo
0:43:57	nepozoruje již sandinistek tak to může hrát a
0:44:02	a bylo klima ztratí přijde s automaticky zjistí že vy nemáte validity dejme si na
0:44:06	straně klienta když to dáte s
0:44:09	tak
0:44:10	se vás to zeptal plně stejně jsem ta předtím ale přibyde tady nová víčka zkrátka
0:44:15	matching hostinci nebude samozřejmě takže vám ten dává další vodítko prostě našel jsem DSP intenzívně
0:44:22	by se ní je to správně ale je to na tobě se bude už
0:44:26	jo takže já mám formu rozříznou
0:44:31	tak testem dámy S
0:44:34	použít takže používat uživatele
0:44:38	takže takle záznamy pohoršeně nesek máte tak je to poměrně jednoduché
0:44:43	můžete to můžete to snadno
0:44:46	můžete to snadno implementovat stačí jenom trošku nelitovat
0:44:49	Ú D rezolu a při a tam ty záznamy samozřejmě pokud to chcete dělat bezpečně
0:44:54	tak byste to neměli dělat tak byste neměli používat že seš tenký si svítí zjistíte
0:45:00	vzdáleně z dálnice C která by byla tedovi kompromitován levně zdi tak
0:45:05	přímo na tom přímo na tom serveru který tam dáváte výhoda proti všem ostatním systému
0:45:11	nevýhoda hlavní je že ten zvyšujete mění to co podle mě nikdo moc zátka nedělal
0:45:17	M ostatních věcí jako se říká se dělá nejvýš pokud byste jako chtěl mít nějakou
0:45:22	studovalo někdo časem rozláme tak byste měli jednou za čas mění nejmenuje dnů ročně
0:45:28	vůbec nějakého u normálně zaznačeno prakticky není možné měnit protože výměnná by znamenalo že by
0:45:34	všem vyskočila hláška s že jo že klíče změnila poplach někdo vás odposlouchává hodnotu jo
0:45:42	to spojení když to tady můžete udělat tak že vystavíte věnec nové otisky nového klíče
0:45:48	přeje předem
0:45:49	a pak se pak ty klíče změníte o nevadí když tam nenesou nancy starej klíčová
0:45:54	neřek sem říkal včera je stavy na webu říká s tím že tam prostě ní
0:45:59	nebude úplná konzistence a nikde veliká změna takže nevadí show jestli či navíc vadíš nabízíš
0:46:04	není identita mám
0:46:06	no a pak tím pádem můžete klíče měnit a pokud klienti důvěrou desce a provádí
0:46:12	ověření pozdě jeden se ku tak voni ani vůbec nemají nesvornost
0:46:17	a tím pádem nemají protí problém
0:46:23	tak
0:46:24	a
0:46:25	před poslední věc kterou tě ukázat
0:46:28	a mám na to dvě minuty takže to asi
0:46:31	brusky že teoreticky je možné je možné používat nezná certifikáty
0:46:40	certifikát znamená že nebudeme používat přímo samostatné klíče
0:46:45	ale vidím uděláme si autoritu certifikační a S věříme tu důvěru znamená kryje řekne já
0:46:52	důvěřuju všem sedum zajímající zajímají certifikát vystavený o certifikační autority této a této
0:46:58	a nebo naopak server řekne já přihlásím každého uživatele který se prokáže platným certifikátem o
0:47:06	této autority
0:47:07	máte několik možností jak to využít můžete použít o jako osobní C to znamená že
0:47:13	například já mám se počítačů každý vás z více možných řešení je a pokud se
0:47:19	má zároveň rezervujete nehlásit tak často nejjednodušší řešení je prostě používat stejně závisí na všech
0:47:25	svých počítačích ale sezení se nějaké bezpečnosti to určitě není dál takže
0:47:30	lepší je když si založíte vlastně se ze větší autoritu tou autoritou si podepíšete všechny
0:47:37	své klíče a pak místo aby sejmu dávaje se zákon cenu prostě dáte nebo prostě
0:47:43	dáte oni své autority a řeknete všechny klíčovými dané mojí autoritou sou moje klíče a
0:47:48	na každé zařízení můžete mít i jiných víš
0:47:52	druhá možnost rosserova to je taková alternativa k tomu D nese kupte jsme převedli před
0:47:57	chvilkou zase vydá udělali tedy většinou větu kterou podepíšete všechny cedrové klíče všech vaši dceru
0:48:03	a pak klientovi do souboru do noci přidáte pouze jeden řádek je řeknete tento
0:48:10	důvěřují všem serverům které se představí tímto jaké zbaví klíčem
0:48:17	podepsaný vystavený touto certifikační autoritou
0:48:20	a eště třetí možnost můžete decentralizovat až do té míry že naseru nebude vůbec ten
0:48:28	soubor autorizací se jsme si ukazovali a by budete jako semestrální aut měl ten server
0:48:35	bude důvěřovat N centrální autoritě ta centrální autorita si přímej nějaký je bude vystaví certifikát
0:48:44	jednotným uživatelů písmeny uživatelských účtů a když
0:48:50	když začnete když se když sem si zjistí přihlásit tak jednoduše ten že ten server
0:48:59	se ověří jestliže ta kvalifikovala vyrovnat gilberta prohlásila že tenhle uživatelský do klíčem má právo
0:49:06	přihlásit se jako uživatel zanimují je a povolí přihlášení
0:49:14	vtip divně na tom je že certifikační autorita je normální neřezat víceúrovňové úplně normálně pomocí
0:49:21	a se základě
0:49:22	a vlastní podepisování pak použijete pak jsem se můžete utilitkou S zatím tě mínus S
0:49:29	protože na kratší čas tak já si dovolím přeskočit a před přeskočit odkázali vás na
0:49:35	stejnojmenný nebo téměř podobný článek nouzový který sem tam kdysi psal
0:49:40	u vyskytovat se budete se prý má nebo nemá nebo ne
0:49:44	a někde to je budete popsanej návodem takže když prostě jak si ukážeme tak možnost
0:49:49	existuje a možná ukážu praktickou ukázku kteří austin klíčem viděli jste že viděli jste že
0:49:56	na tom pošetilost R T C
0:50:00	cesnet cz
0:50:02	ano přesně na tom takže
0:50:05	že tam máme že tam toho S teďka se z teďka autorizačních mám jeden klíště
0:50:10	rozmažu klidně
0:50:12	tak
0:50:13	a teď hrdej do klíčem ti přidám
0:50:15	svůj ostrý certifikát protože já sem dělal sem sice to říkáte začal používat takže opravdu
0:50:21	používám
0:50:23	tak
0:50:26	a teď ačkoli ten teď víte že teda když se podíváme čtyři bychom statečný učenky
0:50:33	takový řekli že souš teďka tři klíče ten původní sme tady dělali před tím a
0:50:37	pak tam je ten můj skutečný klíč a mu certifikát jeden pro ten skutečný chvíli
0:50:43	mají stejné otisky akorát že má typ D S a vy máte acer
0:50:48	a teďka já můžu teďka můžu se přihlásit přestože tam žádný soubor authorized keys není
0:50:54	tak já jsem unaven server klidně přihlásit
0:50:57	a projde to
0:51:02	a dokonce protože máme ten certifikát napsáno je se může rozhled jako root tak se
0:51:06	možná jako
0:51:07	opět tam tečka S H není žádný není žádný ten tečný daný ani není auto
0:51:13	řecký s vůbec tam není potřeba prostě ten server nastaven že důvěřuje mému dvě řemene
0:51:20	certifikačního to některou mám pečlivě schovanou doma na to jsou plynout internetu takže nevydá žádné
0:51:25	se říká do tejdne věděl
0:51:27	a v tom je schovaná důvěra všechny jsem
0:51:32	pěkně poslední věc není to úplně s S H ale ní je to moc pěkná
0:51:37	věc na vzdálený přístup
0:51:39	a jak se neopakovala řezačku používá ten protokol T C P a tak sebe proto
0:51:46	malé příjemné vlastnosti tom že když dojde tě výpadku jednoho paketu tak
0:51:53	on se neposílá on se posílá znovu to opakování se jak dokážeš po sekundě a
0:51:58	nebo potom když se naplní fronta u toho se zase neposílám oddat takže ta fronta
0:52:02	se většinou nenaplní a vyzděny že když vám vypadne jeden paket na to je nějaké
0:52:06	ztráta velice tak se vám to neznáš na chvilku za zasekne a ta interaktivní práce
0:52:13	není dobrá další problém je že když pracujete na nějaké pomalé list já tady mám
0:52:17	jarek například pro zničili testu tak ne tak ta práce není příjemná protože odezva utekl
0:52:25	ale funkce není taková jaká by mohla být
0:52:27	a tohle všechno řeší mohou S mobil šel je to taková poměrně novinka vzniklo pronajímající
0:52:34	adres amosovi tečkami teďka jedu vyslovili a
0:52:39	T tohle je software který používá vítej používá Ú D P přenos takže když vám
0:52:46	funguje Ú D P provoz
0:52:48	tak můžete mít terminál dáno rázy která je já se mnohem lépe užívané tomu lízinka
0:52:55	a to ví dokonce funguje i dokonce funguje i dokáže inovovat můžete naprosto změní tvojí
0:53:01	k adresu a při a spojení vám stane běžet můžete rovnice ustat použít takže spojení
0:53:07	vám stane věže
0:53:08	a velká výhoda nepotřebujete instalovat na stromu se vo žádný němu veškerý kód běží pouze
0:53:15	v uživatelském prostoru nová stačí na klienta i na server najeto algoritmus a pak už
0:53:22	můžete ho používat používá se velice jednoduše pouze místo S zdatný systému se
0:53:29	takže teďka vlastně předvést teď sem tady připojen teda přes jestli napíšem US
0:53:35	tam jezdíš takový tím že jo se k navazování spojení používá access na tak spojnicemi
0:53:41	navázalo
0:53:42	a teď tady třeba začnou editovat
0:53:45	kdy tu i nějaký
0:53:48	text
0:53:52	štětec
0:53:53	tak
0:53:55	a teďka mi to spojení vypadne
0:53:57	to se tak jako běžně stává
0:54:00	tak spojení se přeruší
0:54:03	s nebes internetu tak co se stane cítění dostupná no to je příjemné ale
0:54:08	vidíte hádanek pořád můžu editovat
0:54:11	teďka píšu
0:54:14	něco a vůbec nejsem online
0:54:18	tak když to chvilku trvá tak se vám vemte který je predikovaný jednu změnu je
0:54:23	nemusí odhrnuje jak to asi se bude se chovat
0:54:25	on totiž má prediktivnímu jo rozhoduje jak se to bude chovat když načtěte klávesu protože
0:54:31	u normálního znásobuje tak nezbytno že říkáme sou a ono se pošle na server sdružovač
0:54:36	walesu a sem desátýho kolik vytěsní klávesu a vyděsíme písmenko a v budu doprava a
0:54:42	tohle přesně to se dá predikovat na straně klienta je se asi mání
0:54:46	nemusíme do správně predikuje takže vidíte že já sem teďka offline a on to pořád
0:54:50	funguje tak že já sem to připojím sedící a S
0:54:57	aha su
0:55:05	tak
0:55:06	obvykle nebo nějakou trvat vypadat huffman připojení
0:55:10	tak
0:55:11	a víte že známe sedmdesát sedm ve spojení
0:55:14	a za chviličku by si to měl všechno annou sme spojení víte že podtržení zmizelo
0:55:19	to znamená že přesně se ty lokálně ten a ten byl jeden model odpovídá té
0:55:23	predikci takže všecko funguje rádi můžu s dál a vidíte že se snaží jarek tak
0:55:28	ta odezva je úplně krásna ale když podržím třeba bych sejtech lízinkovejch mazlím proud A
0:55:34	se pak následně tu díky tomu srovnání tě syntézy budeme se vrátí zpátky
0:55:39	další je to můžu předvést na můžete úplně už zná variant věc je že můžete
0:55:43	zapnout binární soubor
0:55:46	ani se vám nerozbije termín a
0:55:49	znamená de uran do
0:55:52	jenže známý výrobě termín a i když říká se tedy pomalu ale začnu kontrol otce
0:55:59	a kontrola se funguje okamžitě
0:56:01	ten já se nerozbil kontrolu C funguje okamžitě opravdu výborná věc
0:56:07	má to samozřejmě nějaká ale
0:56:09	ta ale tudle chvíli jsou
0:56:11	ta že umí jenom terminál neumí obnovování neumí přes souboru stejně kde se můžou to
0:56:17	potřebuje S H takže rozhoduje si musíte prostě bude z a
0:56:21	co mě hodně ztrácí tak neumí bere šest slibují už tam bude a zatím není
0:56:25	a to bych velice uvítali nativní klient pro windows formy se to reproduce tam by
0:56:30	se ukázalo ta veliká důra toho roamingu a toho C D první chcete to je
0:56:36	prostě sou výborné vlastnosti no máme padesát osum takže já se ta missing majícího ta
0:56:43	a pokud
0:56:46	všechny zase chvíli zvyklosti jeden
0:56:50	ne na
0:56:51	tak
0:56:52	tam ano
0:56:55	tu prezentaci byste mě určitě tam na mínus a kdyby ne tak mi napište na
0:56:59	adresu neznamenáš placka teďka cz raman pošlu nebo
0:57:03	nebo kterou někde na je se tak jo
0:57:05	tak já vám děkuji užite si odpoledne hezký vítě zase

Triky s OpenSSH

Neděle 4.11.2012 - velký sál D105

Ondřej Caletka