0:00:15I
0:00:16dobré dopoledne jmenujete proč má s vybrali ste si že ode mě chcete slyšet přednášku
0:00:23o
0:00:24poslyš něco
0:00:25v pohodě spoj tak jo a o a panuj a vždycky posílám aspoň dvě přednášky
0:00:31si vybere vyberou lidi třeba jednu rovnici berou obě alespoň nešťastné že přípravu dvě S
0:00:36takové na začátek tady jsem se před deseti minutama začal připravovat ten počítač a zjistil
0:00:41jsem že minimum tu je ta imič na který virtuální detekci ukazovat i ukázky
0:00:47takže sem tady zachraňoval snad se mi to teda povedlo zachránit snad něco uvidíte protože
0:00:51to mám připravena že mám ukáže samozřejmě jak se ten apparmor
0:00:57ovládá a k čemu je to vlastně dobré
0:01:01tak
0:01:04v linuxu asi tušíte jak funguje řízení práv
0:01:10jsou v zásadě jenom west vtom normálním režimu nebo v tom výchozí v režimu
0:01:15chtěla přichází další zde
0:01:18skončil seznam asi po si
0:01:20sou vlastně dvě možnosti buď ste normálním uživatelem takže můžete to co vám dovoluje dovoluju
0:01:27práva na souborovém systému čili můžete zapisovat
0:01:32do svého hubu většinou někam do tempu můžete spouště
0:01:36nějaké příkazy zasekly který máte práva můžete si otvírat na síti nějaké porty na C
0:01:44únavu do P můžete navozovat komunikaci ven můžete si
0:01:49u sportu vyšší než tisíc dvacet čtyři nemůžete posílat nějaké speciální pakety nemůžete posílat i
0:01:56centra je za normálních okolností a podobně to se uživatel a nebo se root rovnou
0:02:01a to je ta druhá externí varianta tam zase můžete úplně všechno
0:02:06to je poměrně nepříjemné protože bychom potřebovali trošku to řízení prázdný T nějak jako
0:02:14specifičtější potřebovali bychom to rozlišit na jednotlivé aplikace
0:02:19potřebovali bychom
0:02:22prostě to rozlišení trochu menší
0:02:27zejména je to nebezpečné případě S tady mám napsáno setuid dinárech to sou takové vy
0:02:34náký které se provozují pod uživatelem který je vlastní ati spustí kdokoli
0:02:41což se používá zejména k tomu že některé by nároky například
0:02:50ping
0:02:53aby o ho je to vidět trochu asi jo
0:02:57aby mohl fx pouště kdokoli a nemusel být přitom root a přitom dostal ta práva
0:03:04tomu soketu aby si mohl otvírat libovolná spojení a posílat licence paket je přímá tak
0:03:10ping má tady vidíte esko místo X K to znamená že novej spustí i bytím
0:03:15uživatel petr tak ping poviš bodů ten
0:03:19takových binární máte systému poměrně hodně
0:03:25záleží samozřejmě co máte za systém
0:03:29mám problém napsat plus jo
0:03:31ale
0:03:36cink je program pro android tak si takže tady to třeba vypíše které by nároky
0:03:43S
0:03:44zdvihnu mají
0:03:45esko
0:03:47můžeme se o tom přesvědčit opět třebá
0:03:52jo mount abyste mohli připojovat libová zařízení tak musí být root ose pak podívat ve
0:03:57stavu jestli tomu máte práva ještě dál a případně vás vám to dovolit připojit
0:04:03to je průšvih v případě že ten program má nějakou bezpečnostní chybu
0:04:09třeba hypoteticky se může stát že ping bude mít nějakou bezpečností mezeru která skrz špatně
0:04:17ušetřené vstupy vám dovolí ten pin donutit aby provedl něco co nemá ping za normálních
0:04:22okolností přímé ati adresu nebo
0:04:24doménové jméno případě si doménové jméno teda přeloží najdi adresu a začne posílat chcete pakety
0:04:30ping na pojetí adresu poslouchá odpovědi by se vám tomu nějak informace nic víc ping
0:04:37neumí a teda by neměl dělat pokud mě bude chyba vyhodím vstupem donutíte abych zavolal
0:04:43X lomeno pí lomeno totéž a povede se mu po jeho kontextu tak se spustí
0:04:49bash a protože se ta práva dělí tak ten by se spustí poceni právě jakoby
0:04:54pinka ping sme si řekli že běží vždycky pod root
0:04:56to je průšvih
0:04:57samozřejmě podobná situace může nastat třeba u a pač E nebo u jakéhokoli jiného server
0:05:02který dostupných menší kdyby ho do musíte třeba přes ten buffer overflow nebo jinak
0:05:07udělat něco co nemá a
0:05:10on vám teda zpřístupní třeba tu konzoly nemusíte se zrovna spadnu ten access případě toho
0:05:18bleše ale prostě teda pardon poppingu ale prostě už dostanete řádku a nebo můžete provádět
0:05:24nějaké věci které by vám ten server dovolit neměl zmenší
0:05:29pardon
0:05:30úspory
0:05:31tak to je průšvih protože
0:05:35normální systém prásklo neumožňuje ošetři a otázka zní jestli by vůbec třeba P nedělní zprávu
0:05:43spouštět budeš
0:05:44no já si myslím že neměl protože on to normálně ni nedělá čili proč mu
0:05:48to právo dávat
0:05:52ovšem spustit bash
0:05:54má samotným linux úplně každý
0:05:56každý uživatel ho principů mít musí
0:05:59a rozlišit jestli omámí voči kterýho pak spouští nebo nějaký ten anebo má anebo ho
0:06:05nemám ty nebo no nemám pinkston za normálních okolností rozlišit možné není
0:06:11řešením jsou linuxe kryty modulus
0:06:14koše nějaký univerzální frymburk do jádra nebo který součástí jádra který umožňuje přidávat do něj
0:06:21bezpečnosti moduly tady věc já se vyvinula zase v roce dva tisíce tři protože na
0:06:27začátku někde kolem roku dva tisíce dva tisíce jedná se začaly objevovat snahy takovou věc
0:06:33do linuxu implementovat a
0:06:36takový nej nejzajímavější první byl selinux
0:06:39ale linus o by se nelíbilo že jsem se mnou samozřejmý spoustu věcí děláte
0:06:44a řekl že to je příliš není to moc obecné že té konkrétní že to
0:06:48tam nedá pak se začaly byla další ty moduly a tak se vymyslel únosem koše
0:06:54vlastně sada nějaký zvuků v jádře se s každým místě kde se snaží aplikace vždycky
0:07:00spustit nějakou funkci tak je možné tam pověsit nějakou další funkci toho sekli ty modulu
0:07:06který může třeba prověřit jestli je to možné si tam aplikace to dělat může že
0:07:12se době sou teda čtyři losova moduly v jádře apparmor se mnou sme k tomu
0:07:16jo já s toho ty dva spodní vůbec neznám mluvím o těch dvou prvních ten
0:07:21první používám ten druhý ne
0:07:24používat armor je taková na straně otázka jaký rozdíl mezi apparmor na se linuxem
0:07:31hlavní důvod prožitku apparmor
0:07:34ten sig vážku selinuxu samozřejmě a jeho výhodou je že se ovládá velmi jednoduše a
0:07:40vám tady ukážu teďkom později jak se to přesně ovládá jak to funguje že to
0:07:44je poměrně jednoduché že možné to
0:07:46za chvíli vysvětlit a budete to umět T u selinuxu si tím nejsem jistý že
0:07:53to je takle jednoduchém selinux našel několikrát pochopit a je to poměrně komplexní věc minimálně
0:07:58tam uvidíme no člověka černém klobouků R věci jsou zvlášť firma která se v nose
0:08:03voni zabývá hodně ho tlačí a já bych třeba byl moc rád kdyby mi třeba
0:08:07na příští mínus auto někdo připravil přednášku jak se za hodinu naučit selinux a já
0:08:12věřím tomu že to je možné ale a opravdu jako nemyslím do ironicky pak bych
0:08:16takovou přednášku dát viděl při by se dá třeba ten o tom selinuxu dozvěděl víc
0:08:20ale
0:08:21pro mě je to poměrně komplexní záležitost
0:08:26která vlastně vyžaduje velkou integraci do systému protože spousta aplikací aby to fungovalo musí o
0:08:34tom selinuxu vědět protože selinux přidávali blik procesům a souboru na disku I identifikuje soubory
0:08:42pomocí a nodů na disku košile apparmor nedělá ten identifikuje programy jenom pomocí cesty jestli
0:08:48za chvíli ukážeme
0:08:50výhodou je že je možné bezproblémové selinux ladit za jízdy troše zásadní
0:08:58principů je možné úplně oddělit sem boxíku to mám dlouhé víte
0:09:03pěkný
0:09:04S N boxy to je dneska hrozně moderní všechny prohlížeče uzavírají flash různé pluginy do
0:09:09vlastního paměťového prostoru tak principu to umí ten apparmor že prostě libovolné aplikaci která vám
0:09:15příjde vy nevíte co dělá a třeba ne neznáte
0:09:21nemáte k ní zdá k nemůžete si přečíst nebo někomu ukázat podívej se mi na
0:09:24to jestli to je vpořádku
0:09:26nějaký splaj skype a podobně tak si to aplikaci pouštíte do systému dává ty vlastně
0:09:32pola uživatelská práva tak apparmor vám umožní tu aplikaci na začátku třeba úplně zavřít že
0:09:38u ne prostoru nemůže vyjít ven můžete si dívat co dělám nakrásně loguje apparmor všechny
0:09:45akce které set aplikace snaží dělat
0:09:48a vy můžete i potom povolovat jenom to co chcete
0:09:52jo a samozřejmě s tím že uživatelsky přívětivý souvisí to že jak dole píšu za
0:09:57málo práce budete mít hodně muziky
0:09:59nevýhody a malym osum že souběžně uživatel ne si je běžný uživatel ne spravovatelný tím
0:10:05myslím to že k němu nejsou žádné klikací nástroje které by vám třeba vyskočili jako
0:10:10známe s takových těch personál firewallů z windows Ú jako tahle aplikace se snaží přistoupit
0:10:14na internet dovolit ano ne a vydáte ano a je to takto pro armor neexistuje
0:10:19neviděl se nic takového další věc že a farmu neumí práva zvyšovat umí jenom udavač
0:10:26ruby čili jenom směrem dolů takže k tomu koutu tady píšu proto byly these nebo
0:10:31setuid takže vy můžete tomu pingu musí zůstat ten setuid bit aby měl tento s
0:10:37K práva vy potom ti apparmor M je moje seberete nebo částmi seberte takle co
0:10:42šije ten postup který potřebujete
0:10:44takovou drobnost renatce potřeba myslet pokud se apparmor nahrává jako modul až při zavádění systému
0:10:51tak cokoli nastartuje předním tak on neumí hlídat
0:10:54což umí potom vypsat S ve svém ve své stavové obrazovce to vám ukážu a
0:10:59může se tam objevit informace o tom že je tam nějaký program kterému existuje tak
0:11:04zvaný profil čili B apparmor oni G
0:11:07ale teďko nehlídá protože nastartoval ještě třetí co Š se dá vyřešit vůči restartem systému
0:11:14někdy ale stačí restartovat o službu aby znova na se za pláž o tom apparmor
0:11:20opravdu čtu chvíli dívám ten apparmor běží
0:11:23jsem říkal nemá žádný automat
0:11:25a pozor důležitá věc jakmile začnete používat apparmor musíte myslet na to že ho používáte
0:11:31protože se vám začne občas říct že vám tom systém bude straší
0:11:35to znamená že nějaká věc kterou normálně používáte na jednu nefunguje a vy nevíte proč
0:11:40volky koukáte prostě ty pak budete toho sto úplně zoufalý asi za týden vzpomenete že
0:11:45jste slyšeli o a pan úloh kde se s ním hráli a podíváte se dolů
0:11:49apparmor a tam tak grupy chyby zákaz a pak se říkáte no jo vydělat nepovolil
0:11:55tady přístup k těm souboru
0:11:57to je mimochodem ještě se vrátím tomu selinuxu největší zájem o selinux vždycky když se
0:12:03díváte kde se co sem šel jsem vnucuje jak to vypnout
0:12:06protože lidi selinuxu nerozumí já mu taky nerozumím
0:12:10a třeba s stane se že vy chcete používat řezačku klíče cože úplně ultimátum bloku
0:12:17se s z áčka kdo používáte se z áčku ještě hesla tak
0:12:21neumíte S háčko a L ondra caletka tady bude tyhle věci přednášet dneska myslím že
0:12:26dneska nebo zítra určitě tam je přednáška losses háčků
0:12:30ano to se těší no a když máte selinux tak zapnutý tak třeba nemůžete bude
0:12:35klíče nefunguje tu a pavel jsem se o tom s public sem který dělá frčet
0:12:39on říkal ujasněte se normální tady tohleto vytřeštili byly a ty tomu stoly bilovat a
0:12:44dobře takže bysme selinux ono to funguje
0:12:47to že špatně ale samozřejmě a klobouk se nahlásí povídejte
0:12:55a
0:12:56ano
0:13:00tak to restore kontext ano to pak říkal hotový ale jenom je třeba mu říct
0:13:03aby si ty ten kontech obnovil tak no jasně ano ale prostě důsledek toho bohužel
0:13:09je říkám bohužel já se to na ten seznam se útočím jenom prostě říkám že
0:13:13test asi takový že lidi prostě se toho bojí a všichni leda jednu selinuxu že
0:13:17úplně ale špatně že místo abys o naučili používat takže doufám že příště bude ta
0:13:21přednáška před těžší
0:13:23tak vopravdu jako tak vážně abych tomu teda viděl
0:13:29tak
0:13:30před jak ten jak se na pár more teda funguje já jsem to nazval že
0:13:34tady jaderní firewall asi znáte to je nějaký
0:13:39počítač nebo zařízení nebo software který je ve vašem systému který sleduje komunikace po síti
0:13:45a podle nějaký filtru vydírá co projde a co ne a pardon funguje velmi podobně
0:13:50ale není na síti samozřejmě ale je vlastně postavení jako by mezi jádro aplikaci a
0:13:56když aplikace potřebuje komunikovat někam ten něco potřebuje připojit cena C celá noci na soubor
0:14:02ni pár přišli na disku cokoliv ten kromě toho když tam něco počítá nebo něco
0:14:06vypisuje na obrazovku pokud si napíšete hallovo tak tento nepotřebuje samozřejmě ale
0:14:13cokoli složitější už ano tak vlastně potře požadavku jádra stuff potřebuje požádat jádro tu věc
0:14:18jádro uvěří jestli ta aplikace to udělat může a provede to za něj pokud je
0:14:24tam ten armor tak nastává ještě na vrstva on se podle nějakých pravidel podívá jestli
0:14:29ste mu to dovolili té aplikaci ten požadavek dělat
0:14:32a pokud ano tak to běžně projde pokud ne tak je to zablokováno zaurguje se
0:14:37že ta aplikace sou to pokusil
0:14:39jak už sem říkal ty aplikace rozlišují cestou poměrně jednoduše každý den každej ten soubor
0:14:47má svůj vlastní profil ve kterém ten program který chcete aby apparmor hlídal atom profiluje
0:14:53zapsáno jsou nebo sou zapsána ta pravidla je to jednoduchý textový soubor ukážeme si
0:15:00tak výchozí chování apparmor u je nedělám nic
0:15:03to znamená že pokud
0:15:06nechcete nějaký program a argonem ovlivňovat tak mu nevytvoříte profiles takle můžete ten proces mazat
0:15:13a v tu chvíli se ten apparmor oni nezajímá
0:15:16jakmile vytvoříte být i prázdný profil tak se to obočí
0:15:21a stane nastane klasický bezpečí stáv co není povoleny zakázáno takže jakmile vytvoříte prázdný profil
0:15:30opět si ukážeme stačí napsat vytvořit soubor napsat lomeno begin nebo jo ta lomeno pí
0:15:36lomeno bash a prázdné složené závorky tu chvíli ste vytvořili prosila amosovi program začne zajímat
0:15:42a filtry jsou prázdné takže ten program nebude umět nic nebude umět komunikovat směrem ven
0:15:46vůbec
0:15:47pokud chcete aby uměl komunikovat venuší sem to výslovně povolit
0:15:52co zase sem tady zpátky znova tohoto upozorňuju je třeba na ten okoukat předlohu se
0:15:58pak objevují vyhlášky takže jakmile dejme tomu to S řezáč o může nastat podobný problém
0:16:04pokud vytáhnete šrouby a po čase se rozhodnete používat klíče a nedá se mu přístup
0:16:09do toho souboru nebo do těch souboru kde ty klíče jsou tak prostě to je
0:16:13se začnu řekněme dostane a nebude to fungovat a bude vám tom systému strašit nebudu
0:16:16se diví jiné věci budete na dál
0:16:19a je to jenom o tom že stane nastavili
0:16:22mutes právě ten přístup
0:16:25ty profily jsou standardně uložené se to co apparmor de tam jsou textové soubory které
0:16:30kde to je popsáno já budu ukazovat na ubuntu protože ubuntu dneska je distribuce která
0:16:37velmi dobře a anebo používání na tom hodně staví tam vlastně podpora začalo někdy v
0:16:41roce dva tisíce sedum
0:16:42pro o objemu nátiskového právě aby ho zabezpečili takže na to mám to budu ukazovat
0:16:49třeba já to udělám kdyby antoš
0:16:51buďto je teda taky skoro debian ale
0:16:54debianu ta podpora formuluje dost problematická jednu dobu byla rozbitá nebo taková pólu funkční pak
0:17:01se to někdo snažil spravit a tak to úplně rozbil a tak snad s posledním
0:17:06stack bude to úplně jako rozbité a teď je snaha to zase dá dohromady a
0:17:11ale sem koukal tak se zatím tam nejsou úplně všechny peče v tom jádře a
0:17:16byla fungovalo potřebujete post potrhat nejnovější verzi S webu a o pečovat jádru protože sice
0:17:23v jádře jakoby poprat formuluje ale nejsou tam tento úplně všechny novinky a které jsou
0:17:29zase ale v těch u život těch metrikách takže takto jako ničíš vám já si
0:17:34chybí tohle autorita opomíjel nemůžete použít a podobně ale snímky to funguje velmi dobře
0:17:41bluetooth standardně je několik málo profilů ty mám přijedou sou základní instalací dejme tomu jich
0:17:48tam šest asi pokud chcete další tak si můžete ne toho balíček armor pro file
0:17:52s a tam jich je spousta dalších
0:17:55případně pokud chcete ještě jiné tak na webu apparmor nebo existuje loučka je walsh
0:18:01počkejte takováto služba myslím ubuntu a tam je nějaký účet na kterém se vyvíjí type
0:18:07ty profily takže pokud hledáte není problém prostě kde procesy můžete vytvořit ukážeme si třeba
0:18:13pro opačným se sítě chrání apparmor páč a může typu cestou budu vyrábět sám vědět
0:18:19co tam mám a mladi nějakou dobu a nebo může sáhnu po něčem jsou s
0:18:23někdo připravil ušetřeno zdola tímto si druhá varianta
0:18:27pokud chcete ubuntu ty profily vytvářet a opravdu s tím apparmor nechci to nechat com
0:18:33výchozím stavu kdy teda chrání těch pár programů
0:18:36tak slyším potřebuje ta anebo ústil s já jsem vtom té testovací vymýtit která možná
0:18:42nebude fungovat že na jsou zase může upil schválené ty pro fans abychom že profilu
0:18:46tolik nemělo abychom si mohli ukazuje se vytváří
0:18:52tak ty soubory se jmenují normálně C T cestou takže když něco vzory je to
0:18:57tak že by wget tak se nesvobodné nejvíce tečka pin tečka tak je logická v
0:19:02názvech souboru být nemůžou takže tam sou takle tečky je to velmi jednoduchý textový soubor
0:19:07který můžete buď editovat normálně třeba vjemem jako se děláme a ukážu anebo osum na
0:19:12to nástroje které mám umí ten profil připravit
0:19:16dosedl základu vypadá si takhle víte že to je poměrně jednoduché
0:19:21tenhle profil se týká binárku lomeno v jednom elfů vymyšlené a ta má práva přečíst
0:19:27soubor je to co se ptát
0:19:30předčí si o přečíst a spustit kdy by
0:19:36následuje přístup do pro do souboru uživatelském profilu do souboru slůvko adresáře teďka config do
0:19:44něj je možné či je tedy možné číst obsazení a připisovat oni a je předtím
0:19:49napsáno únor to znamená že se ještě kontrolu jestli ste vlastníkem toho souboru
0:19:54to znamená že kdyby
0:19:57kdybyste mě kdyby tam ne soubor byl kdybyste hnanice ta práva stejný měli na disku
0:20:02ale vlastně obě někdo jiný dva to tam přes ten a parmou nepustí
0:20:06že se ještě navíc kontrole spisy o fakt vlastníte
0:20:09to je šikovné třeba u tempu jak mám lízaly výzkumem ten R V a prostě
0:20:13pro jistotu i tak
0:20:15stentu můžete sahat můžete číst psát přidávat do libovolný souboru v libovolných podadresářích proto si
0:20:21dvě hvězdičky jedna hvězdička znamená soubory tady jedničky znamená soubory tady a kdykoliv huby
0:20:28ale eště se kontroly zase vlastník takže i kdyby vtom tento měl někdo jiný soubory
0:20:33vy tím prostě nesmíte apparmor mám tam přístupné na
0:20:39vrátím se ještě po C putna čtvrtý řádek a pátý zále tím dovolujete přístup internetu
0:20:46stream je
0:20:48link
0:20:49pro TCP jinými slovy čili povoli byste T C T tomu schůzce povolili tímhle ty
0:20:55sítí provo zná dive čtyři a šest
0:20:57následuje teda ten potom sme si řekli a tak mobility ty dvě čárky na konci
0:21:01sou chyba
0:21:02kapa byly ty jsou
0:21:06tam se předává space předávají stejné parametry jako okapo byly u jádra jenom je to
0:21:13se taky ukážeme je to vlastně zápis úplně stejný takže když nějaké aplikaci dáte jadernou
0:21:21kapa byly to třeba jako tady otvírat se do sokety F na čem do sítě
0:21:26tak můj musíte povolit tím ose barboru aby to opravdu fungovalo
0:21:30zrovna tohle třeba potřebujete X
0:21:33přesně tenleten řádek
0:21:36tak to všech meta možné regulovat často jste viděli takže soubory čtení zápis použít tvorba
0:21:42a jasně mapování paměti tam ještě jako síť
0:21:45čili může tady ty ve čtyři šest kultistkou bude P náhodou pakety adresy je možné
0:21:50tam i filtrovat to s nepoužívám ale nebo z dokumentace to je že můžete vyfiltrovat
0:21:56třeba komunikaci po šiftu jenom proti nějakým server umnou podobně můžete to omezovat nějak podle
0:22:02adres
0:22:03můžete kostře možné mutovat
0:22:07můžete
0:22:09určovatele další práva jo jaká práva kam může jestli může ten program sahat na práva
0:22:15na disku jestli může nastavovat
0:22:17vlastníka práva souborům co může nastavovat může tom tam na masku na to přesně může
0:22:23selhat takže můžete říct tenhle program má právo nastavovat stamp u souboru moje může nastavovat
0:22:31práva ale jenom práva třeba skupiny jenom group na práva vlastníka napravo ostatní sahat nemůže
0:22:38se tak nemůže mít takhle vlastníky kdyby byl root nový dopouštěl root který si to
0:22:44sem řek ty věci může změnit ten profil ale prostě může tomu třeba říct že
0:22:48tenleten konkrétní program když budu ten prostě nemůže měnit nemůže stát na práva u programů
0:22:54souboru
0:22:55kapa byly tyto sme si řekli a pak tam sou další věci jako přístup nad
0:22:59vás a
0:23:01a podobně tady na té stránce wiki apparmor net
0:23:04lomeno jinde ztráta lomeno pro fallen kvičet popsaný celý ten
0:23:09jazyk profilu
0:23:11vůbec na té wiki je ta dokumentace ta je to takové ten projekt je celkem
0:23:18jako se tak jako by výtoku překotně divoce takže ta dokumentace není úplně dokonalá bohužel
0:23:24ale ty hlavní věci tyhlety které server ukazovat tam sou
0:23:30tak
0:23:31praktická ukázka
0:23:34podíváme se teda na ty adresáře na ten to se apparmor D vytvoříme si prázdný
0:23:38profil upravíme si ho myslím se sou je
0:23:41a vyzkoušíme jestli to funguje
0:23:44tak se ukaž kuben a výborně
0:23:50podíváme se
0:23:51nastav a statusy je první utilita víte že modul je připojen ale není připojený of
0:23:57a systém
0:23:59tak to nastartovalo vtom
0:24:04záchranném režimu tak se nenastartoval ten apparmor tady vidíte že se připojuje notting víte to
0:24:11sou vám je tady to nebudu moc z řeči ale toto trochu je vidět
0:24:15víte že se tam unpin cyklit SSL jsem připojí nějaký svůj souborový systém kdo se
0:24:21objevují
0:24:25informace
0:24:27o
0:24:30poté o tom ste napadlo dělá ten souborový systém pro vás slušně není on
0:24:35se tady je vidět potom to je ten com podivnou to a statusů pokud to
0:24:39všechno běží
0:24:43tady vidíte ty informace nemusíte hledat tom souborovém systému co vidíte víte že moduly nahraný
0:24:49že to funguje fajn a protože to dlouhé tak jasný že to funguje víte že
0:24:53u všech patnáct profilu na hraných
0:24:57teď tudle chytnete ten výchozí stav ubuntu tam jich je patnáct teda vy víte vítej
0:25:02sezná víte že sou performs modu
0:25:05ty profily může být ve dvou režimech
0:25:09jak se máte semene ten druhý ale jeden jako výkonný to je tenhleten kdy skutečně
0:25:14sou vynucována ta práva těch profilů a druhý je testovací a ten funguje tak že
0:25:20ten profil tam je
0:25:22apparmor ani je ten profily natažený a používá se ale ne vynucují set pravidla jenom
0:25:29sem obuvi jejich
0:25:31překročení tak
0:25:33čili pokud je tam C dejme tomu pravidlo
0:25:39pro čtení někde disku ze souboru a ten program se pokusí přičíst tak pořád nic
0:25:45se neděje pokud se pokusí přitiskne tak se mu to normálně povede ale apparmor to
0:25:49zalomuje
0:25:50a to se hodí právě chvíli kdy potřebujete odladit ten profil takže by připravíte nějakou
0:25:54základní strukturu které si třeba miss když by mohla stačit a pustíte to ano tak
0:25:59mi normální běží aby sledujete log co eště navíc naprosto třeba zapomněli utišíme to no
0:26:03jo naše musí se to co samozřejmě ale ten program funguje ho nezadá žádnou chybu
0:26:07jenom apparmor pouze louhuje
0:26:09toho budeme používat za chvíli při automatickém vytváření těch profilu což je možné to je
0:26:14to vytváření profilů těmi následky sem mluvil tady vidíte seznam profilu aktuálně a com play
0:26:21mu tyto ano stěžovat či režim to je ten režim čili N for a com
0:26:25planck on line režim je ten který kdysi ten apparmor jenom stěžuje důvodů ale ne
0:26:31nezakazuje nikomu nebo tomu program nic
0:26:34jeden s těch
0:26:36pro s a jo ten poslední botto nula to je tam se objeví nějaké číslo
0:26:41v případě že nějaký ten proces teda profil ale byl spuštěn ještě před apparmor M
0:26:47čili apparmor vás upozorňuje pozor ten proces ale nehlídá tady je problém musí to restartovat
0:26:54tak mrknem se teda do toho
0:27:00adresáře
0:27:02více teda že tady nějaké profily jsou je tady profil pro evidenci F alfo s
0:27:07a tak dále ale ty jsou myslím design let
0:27:11jo když na link budete do adresáře mizej bylo některých těch profilů to sedum linky
0:27:17teda vtom
0:27:19vy vidíte
0:27:20vtom disable tak tukwila barboru bude ignorovat takže jenomže nemusíte poslaní mazat nemusíte něco v
0:27:26něm o tom zakomentovat nebo tak stačí prostě uděl takle link
0:27:29a ten restartnout apparmor a on na ten profil nebude hodit čili víte že jo
0:27:35na to bych kde se fajn fuchs
0:27:40nehlídá dost docela ještě zajímavý adresáři up strašim kde sou
0:27:47já bych řekl že to jsou takové knihovny pravidel pro apparmor pokud chcete některou běžnou
0:27:53věc třeba je tady paní ten uprostřed zhruba když se podíváte podle abecedy když chcete
0:27:58nějakému jak aplikaci povolit přístup I Q to si třeba rozhodí nebo to mi ruby
0:28:04samba podobně tak prostě jednoduše ta pingnete do toho jo profilu některý si souboru sto
0:28:11podadresáře
0:28:13abstrakcím
0:28:15a tam jsou připravené ty sady těch pravidel tak aby to prostě fungovalo je to
0:28:20odladěné aby ten platí prostě běžel můžete se musí do toho zasahovat můžete si to
0:28:24sami upravovat nemusím že to dělat ty a nemusí to by slinkovat tohleto ta pravidla
0:28:28právě sou tady protože to sou poměrně komplexní věci
0:28:32můžeme si to potom ukázat
0:28:35tak
0:28:37já přemýšlím jestli
0:28:40ale jo já vám to ukážu
0:28:42normálně ručí tak můžeme si předvést nejdřív že na ping pinka
0:28:49ping nám letinka neunaví síť
0:28:54s a pro lodi další s tak to zkusíme jestli
0:28:59se nám to povede
0:29:01no network
0:29:05tak se ukaž call budeme
0:29:09tak co se teda mu vám to tady je problém co tady
0:29:17no teda problém včera mi to fungovalo samozřejmě neska se tady běží v nějakém záchranném
0:29:21režimu
0:29:24tak
0:29:25nevím jestli
0:29:27zkusíme taková oblast no tohoto by mohlo fungovat
0:29:30uvidím takový damping a uvidíme se nám nebude pinka režimu tohlencto zakážeme jo
0:29:37spin eště jednou pinty takže se založíme ručně
0:29:41bin tečka ping
0:29:45dostali za informaci
0:29:51nelze jo dobře
0:30:08dobře
0:30:12máte dvě na
0:30:14no já se omlouvám prostě se to sypalo a
0:30:19remote o volné server je tam R ven
0:30:23tak nevím
0:30:43prvek B na začátku
0:30:49no to je pravda takže nemoudrého zkusíme
0:30:54poradíte mi
0:30:59takle
0:31:02jo
0:31:04tak uvidíme
0:31:07jo
0:31:09ráda tak by to mohlo fungovat
0:31:12to je tak ten generálský efekt no říkal mladím železny
0:31:21tak prázdný profil
0:31:23vypadá takhle víte že tam ta cesta k tomu programu který se to řešit a
0:31:32a závorky složené kterých je teda ten obsah
0:31:40my si tam ten profil zavedeme co to vlastně nepotřebu rysem stejně root
0:31:45apparmor pár se
0:31:48mínus a jako a D a dáme by ping
0:31:51tak
0:31:55a
0:31:56tak a tady to máme
0:31:57čili vidíte že já jsem zavedl prázdný
0:32:02prázdný profil pingu api na přestal pingl protože na tom nemá právě když je ping
0:32:08pořád root
0:32:09tak víte že ta benátkám nemá právo vlastně zničím komunikovat na nic aha ping teďkom
0:32:13prostě neudělám vůbec nic
0:32:16a aby to fungovalo
0:32:20tak
0:32:21můžeme si ukázat automaticky režim
0:32:24to by šlo
0:32:34no tak
0:32:36tady není ani to není na céčko to se omlouvám
0:32:40no
0:32:41vypadá to asi tak vám to předvedu takle jako nasucho
0:32:46ten program který vám může generovat ten profil je agent provoz čili genera apparmor generuj
0:32:52profil mimo dáte jenom
0:32:56cestu k tomu souboru
0:32:59který chcete ohlídat a funguje to tak
0:33:02že on pro ni založí vlastně
0:33:06prázdný profil a přepne ho do toho stěžovat si ho režim
0:33:10a zapamatuje si kdy to udělal a tady mám tady píše než začnete měl by
0:33:15sis kontrolo že tamten dosazení protože vám o přepíšu
0:33:18a teď byste měli začít spinkat
0:33:22co šátek teda bohužel nemůže protože se na to z další terminál
0:33:27jakmile budu pinkat a vtom lomu se začne objevovat i záznamy co se tam děje
0:33:34proč ping nebo co se snaží P dělat jakmile skončím
0:33:38tak budeme to pro skenuje
0:33:41o to pro skenuje
0:33:44samozřejmě ťkam žádný žádné a události tam nejsou
0:33:47ale já to je naštěstí natahat napsané celý ten profil toho pinguje aby to fungovalo
0:33:53takže o tom napíšu ručně
0:33:54a on si ten moh projde a podle něj vlastně vymyslí zpětně ten profil tak
0:34:00aby odpovídal tomu logů aby všechno co
0:34:03se zamlouvalo
0:34:05aby užší příště sem alokoval o eště mám to pěkně vypisuje prostě princezna že přesto
0:34:10pitoma k tomu se tomuto povolit ano nemůžete to ještě ladit couře pak můžete kdykoli
0:34:15ten soubor do editovat ručně
0:34:18čili principy vtom že byste s tou aplikací měli udělat ideálně všechno co bys to
0:34:22byste pozdě jakou běžný uživatel tak u brány uživatel té aplikace
0:34:27prováděli tak aby ten pharmos i skutečně všiml všech přístupu ke všemu co
0:34:33s u ho
0:34:37no je pořád prázdný
0:34:39aby si všiml všeho K ke všemu S se snažil ten ping přistoupit k čemu
0:34:44snažil ten tým přistoupit aby mu to potom
0:34:47do pro pozdější
0:34:48práci povolil tak
0:34:53include známé si
0:34:59extract šáns potřebuje tam je nějaký based nějaký obecný základ
0:35:05tak se na ni můžeme jít podívat
0:35:09určitě potřebuje
0:35:11není servis aby mohl bych přistupovat k
0:35:16kde nechce jinak to nebude fungovat
0:35:19eště součástí toho prostoru name servis je přístup na internet nalitý ve čtyři lety ve
0:35:26šest
0:35:27takže automaticky ve službě které dáte D nesku samotný pohled je přístup na síť
0:35:33to můžete potlačit můžete si to nějak upravit že třeba D přístupná dense to znamená
0:35:38pravdu přístup bude téčkem jenom na tedleten počítač nebo osude tečkovanou větších odpovědi stejně nestačí
0:35:46takže prostě Ú D P T C P na tendle počítači ostatní potom budete muset
0:35:50povolovat zvlášť když to můžete takle tak aplikace prostě může na síť
0:35:54pak budeme potřebovat
0:35:57povolit tu síť
0:36:06se ui
0:36:09setuid je tam republika proto aby mohl ten program zahodit své právo to funguje že
0:36:16jo jako by to nejbezpečnější takže on provede na začátku tu potřebu jako root a
0:36:20pak se ta pravá změní ná nějakého prostě uživatele já nevím nul nebo něco nebo
0:36:26na vašeho uživatele a
0:36:28aby pak push případě chyby nemohlo žádný problém dojít
0:36:33a teď i zásadní
0:36:36aby mohl
0:36:38jo aby mohl ten
0:36:40ten program si teda otevřít throw soket a posílat po něm ty pakety
0:36:45svoje
0:36:46nestandardní vlastně
0:36:50tak opět o načteme můžete buď restartovat celý ten apparmor ale to je při úpravě
0:36:54skutečné spočítat mínus rekord lout
0:37:01honza semestru R rozpozná
0:37:03cože
0:37:04tak výstup tak dobře tak vám předvedu dostat
0:37:12tak pěkně
0:37:16jo to možná tak
0:37:17bude
0:37:19S tak je to dva
0:37:24jo tady mám ukazuje že přeskakuje ten fans lososi slot
0:37:29je tam sice se jo
0:37:35ta sme udělali
0:37:42tam eště totiž
0:37:44na začátek patří
0:37:48tam totiž mají připravené
0:37:54ty profily tak takovéhle jako obecné věci
0:37:57které
0:38:01tu na druhé straně
0:38:04co tam takové obecné profily které se předpokládá že budete dávat úplně všude účtu funguje
0:38:12jo
0:38:13a tak vidíte že by nám pinka je tam teda ještě tento unable set global
0:38:17který se přidalo úplně do každého profilu na začátek a tam jsou nějaké
0:38:21můžeme se podívat
0:38:24jaká obecná pravidla
0:38:27další které se přidávají jako přístup do procesů
0:38:30přístupu hubu a podobně aby to aplikace aspoň ty základní P věci které prakticky umí
0:38:36každá aplikace aby nebo potřebuje tak
0:38:42aby měl
0:38:45jo tady vidíte nastaví u třeba ještě se tam includu další potom zoom do tam
0:38:49je tam celá
0:38:51jo
0:38:52tam je prostě celá zcela ten celý takový strom pravidel který se tam automaticky přidává
0:38:58takle prostě to k tomuto standardně funguje neznamená to že to takle budete používat vy
0:39:04když se podíváme na status tak už víte nahoře že už máme šestnáct profilů všechny
0:39:09jsou teda sem furt modu a úplně nahoře printing
0:39:14takle vypadá ten ping já jsem chtěl ještě před předvést vám jak vypadá profil soketu
0:39:20ale protože bohužel nemám cit tak tady nemám co větnou to bych to abych to
0:39:24předvedl ten profily jako podobný akorát tam chybí teda ta síť protože on síť dostane
0:39:31přes ten M services
0:39:33a dá se tam zase zapsat po ste viděli vtom
0:39:38tady tom slajdu
0:39:41že třeba já jsem zkoušel na začátku si tak je ten se něco do tempu
0:39:46takže apparmor dovolí pingu pardon sem soupis ghettu zapisovat do lomeno todleto lomené deset omyl
0:39:55N
0:39:56stačí mu tam zápis right samozřejmě takovýto potřeby nějak s vůbec nic tak ideálně tam
0:40:01napíšete že uvede lomeno tomuto lomeno hvězdička nebo výška hvězdička a stejně tak je to
0:40:08tady k tomu tak mu prostě dovolíte tomu ghettu ručně třeba ještě zapisovat domů pravý
0:40:14tomuto takhle
0:40:15abyste si mohli opravdu stahovat něco humus to čemu jak říkám
0:40:20de třeba reálná ukázka potom toho využití toho ghettu stačí mu vlastně zápis do
0:40:28těch souborů
0:40:29a protože on vlastně nepotřebuje nižší s takže i kdyby někdo se nějak prostě využil
0:40:35třeba v nějakém vašem skriptů špatně napsaném zvenku wget aby vám třeba vyčetl nějaké informace
0:40:42sou Ú nebo podobně tak jsem to nepodaří protože apparmor mu dovolí jenom
0:40:46jenom zapisovat mši souboru protože to je to má stahovat a nemá dělat
0:40:52žádnou jinou
0:40:53zlobivost tak prozkoumání adresářů udělali toto jsme si profil automaticky vytvoří profilu se má teda
0:40:59bohužel neukázal
0:41:01ale nepřerušíme si bych to muka v nějakém jiném programu ještě
0:41:06asi tečný nic rozumnou nenapadá
0:41:10to asi to je já myslím že to chcete to ukázat na ubuntu tady nutnosti
0:41:14na se
0:41:15myslím že vám to takhle si snad doufám stačilo jo prohlédnutí voltů jsme ukázali ještě
0:41:21ten blok je
0:41:36tak takle vypadají ty jeho výkřiky do logu
0:41:42pro file outs tady vidíte že se sem se snažil na ludva teda ten profil
0:41:48jo jde totiž že neplyne výkřik ani nebudu
0:41:50protože sme neprováděly ten
0:41:53jinak je tam teda napsáno normálně co se snažila tato snažil ten to snažila kabinách
0:42:00a dělat jenom normální napsáno že se třeba snažila přistoupit na ne C otevřít i
0:42:05C P spojení
0:42:06a že jí to třeba bylo zakázáno nebo že to prošlo protože to jenom to
0:42:09křižovat tím režimu a právě na základě tyhleti houby potom ten gen prof tento projde
0:42:15a nabídne vám co chcete do toho posun a přidat
0:42:20takže doporučuji sledovat existuje i v bundu nějaká integrace do
0:42:25takového ty vyskakovat singly sou vpravil
0:42:28takže vám to umí potom případně jako nahlas vás to upozorní že se zavazovalo něco
0:42:33kokos
0:42:34co se týká pár moru abyste si to fakt všimli protože jsem říkal že tam
0:42:38straší a díky ten disku char bublině mám to prostě řekne teď tady ping se
0:42:43snaží dělat nějakou nestandardní věc
0:42:46tak
0:42:47máme ještě
0:42:48čili času protože to ukázka je teda takle zkrácená v tom bodě tak
0:42:52jako ukázku máte
0:42:54si proud a
0:43:07ne to není samo C proces to je normální modul v jádře
0:43:18protože se vzala ano protože se zavádí ty profily
0:43:21tam není vidět si tam nevím D
0:43:24ale on se zavádí ty profily jsou zásadní bodu se načte někdy prostě na začátku
0:43:29ale až prostě během startu systému se zavede to co je tedy do apparmor což
0:43:33znamená že se že se pomocí toho parseru načtu všechny moduly a čtu chvíli začíná
0:43:39starat ten apparmor o ty
0:43:42o ty procesy které mají ty profily takže pokud se předtím ještě podaří něco nastartovat
0:43:47nebo třeba se stane jako they že ten apparmor ty profily nenačte
0:43:51a spouštělo by se něco s těch profilů předtím ještě aby si vzpomněl nemálo armor
0:43:58tak pokud už něco běží třeba ten pin kůžemi pinka tak není kontrolován ani dodatečně
0:44:03u neumíte práva jako by sebrat dodatečně připíchnu si pinka u si to na otvíral
0:44:07ty sokety a užší dělá co chce a tábor modelu stojí a čeká jsou počítat
0:44:12pak teprve jakoby nebo při dalším spuštění na něm teprve převezme kontrolu
0:44:25to na to dominate na odpovědět já jako ne nejsem derivace do netušíme to funguje
0:44:29tom jádře
0:44:32je to možné no ale každopádně to takle prostě jen jako je s taky neumím
0:44:37by se to je ten proces proč to také proč při
0:44:42abychom na záznam řekl jsem měl při dodatečnému spuštění to apparmor u proč neumí převzít
0:44:48tu kontrolu to neumřít s taky
0:44:53tak ještě někdo nějaký dotaz tam
0:45:11to bylo ideální možnost zkombinovat
0:45:14víc tělesem do modu pardon
0:45:17jo opakuju že je tady dotaz na možno S zkombinování více osum modulu to by
0:45:22bylo ideální protože no protože by se dalo to doladit jednoduše ale nevím o tom
0:45:26že by to bylo možné netuší myslím si že skutečně jako je možný jo
0:45:32u tě jedno nebo druhý
0:45:35tak jo tak vám děkuju na tom za pozornost a dobrou chuť
0:45:38obědu vám přeju díky