0:00:15 | I |
---|
0:00:16 | dobré dopoledne jmenujete proč má s vybrali ste si že ode mě chcete slyšet přednášku |
---|
0:00:23 | o |
---|
0:00:24 | poslyš něco |
---|
0:00:25 | v pohodě spoj tak jo a o a panuj a vždycky posílám aspoň dvě přednášky |
---|
0:00:31 | si vybere vyberou lidi třeba jednu rovnici berou obě alespoň nešťastné že přípravu dvě S |
---|
0:00:36 | takové na začátek tady jsem se před deseti minutama začal připravovat ten počítač a zjistil |
---|
0:00:41 | jsem že minimum tu je ta imič na který virtuální detekci ukazovat i ukázky |
---|
0:00:47 | takže sem tady zachraňoval snad se mi to teda povedlo zachránit snad něco uvidíte protože |
---|
0:00:51 | to mám připravena že mám ukáže samozřejmě jak se ten apparmor |
---|
0:00:57 | ovládá a k čemu je to vlastně dobré |
---|
0:01:01 | tak |
---|
0:01:04 | v linuxu asi tušíte jak funguje řízení práv |
---|
0:01:10 | jsou v zásadě jenom west vtom normálním režimu nebo v tom výchozí v režimu |
---|
0:01:15 | chtěla přichází další zde |
---|
0:01:18 | skončil seznam asi po si |
---|
0:01:20 | sou vlastně dvě možnosti buď ste normálním uživatelem takže můžete to co vám dovoluje dovoluju |
---|
0:01:27 | práva na souborovém systému čili můžete zapisovat |
---|
0:01:32 | do svého hubu většinou někam do tempu můžete spouště |
---|
0:01:36 | nějaké příkazy zasekly který máte práva můžete si otvírat na síti nějaké porty na C |
---|
0:01:44 | únavu do P můžete navozovat komunikaci ven můžete si |
---|
0:01:49 | u sportu vyšší než tisíc dvacet čtyři nemůžete posílat nějaké speciální pakety nemůžete posílat i |
---|
0:01:56 | centra je za normálních okolností a podobně to se uživatel a nebo se root rovnou |
---|
0:02:01 | a to je ta druhá externí varianta tam zase můžete úplně všechno |
---|
0:02:06 | to je poměrně nepříjemné protože bychom potřebovali trošku to řízení prázdný T nějak jako |
---|
0:02:14 | specifičtější potřebovali bychom to rozlišit na jednotlivé aplikace |
---|
0:02:19 | potřebovali bychom |
---|
0:02:22 | prostě to rozlišení trochu menší |
---|
0:02:27 | zejména je to nebezpečné případě S tady mám napsáno setuid dinárech to sou takové vy |
---|
0:02:34 | náký které se provozují pod uživatelem který je vlastní ati spustí kdokoli |
---|
0:02:41 | což se používá zejména k tomu že některé by nároky například |
---|
0:02:50 | ping |
---|
0:02:53 | aby o ho je to vidět trochu asi jo |
---|
0:02:57 | aby mohl fx pouště kdokoli a nemusel být přitom root a přitom dostal ta práva |
---|
0:03:04 | tomu soketu aby si mohl otvírat libovolná spojení a posílat licence paket je přímá tak |
---|
0:03:10 | ping má tady vidíte esko místo X K to znamená že novej spustí i bytím |
---|
0:03:15 | uživatel petr tak ping poviš bodů ten |
---|
0:03:19 | takových binární máte systému poměrně hodně |
---|
0:03:25 | záleží samozřejmě co máte za systém |
---|
0:03:29 | mám problém napsat plus jo |
---|
0:03:31 | ale |
---|
0:03:36 | cink je program pro android tak si takže tady to třeba vypíše které by nároky |
---|
0:03:43 | S |
---|
0:03:44 | zdvihnu mají |
---|
0:03:45 | esko |
---|
0:03:47 | můžeme se o tom přesvědčit opět třebá |
---|
0:03:52 | jo mount abyste mohli připojovat libová zařízení tak musí být root ose pak podívat ve |
---|
0:03:57 | stavu jestli tomu máte práva ještě dál a případně vás vám to dovolit připojit |
---|
0:04:03 | to je průšvih v případě že ten program má nějakou bezpečnostní chybu |
---|
0:04:09 | třeba hypoteticky se může stát že ping bude mít nějakou bezpečností mezeru která skrz špatně |
---|
0:04:17 | ušetřené vstupy vám dovolí ten pin donutit aby provedl něco co nemá ping za normálních |
---|
0:04:22 | okolností přímé ati adresu nebo |
---|
0:04:24 | doménové jméno případě si doménové jméno teda přeloží najdi adresu a začne posílat chcete pakety |
---|
0:04:30 | ping na pojetí adresu poslouchá odpovědi by se vám tomu nějak informace nic víc ping |
---|
0:04:37 | neumí a teda by neměl dělat pokud mě bude chyba vyhodím vstupem donutíte abych zavolal |
---|
0:04:43 | X lomeno pí lomeno totéž a povede se mu po jeho kontextu tak se spustí |
---|
0:04:49 | bash a protože se ta práva dělí tak ten by se spustí poceni právě jakoby |
---|
0:04:54 | pinka ping sme si řekli že běží vždycky pod root |
---|
0:04:56 | to je průšvih |
---|
0:04:57 | samozřejmě podobná situace může nastat třeba u a pač E nebo u jakéhokoli jiného server |
---|
0:05:02 | který dostupných menší kdyby ho do musíte třeba přes ten buffer overflow nebo jinak |
---|
0:05:07 | udělat něco co nemá a |
---|
0:05:10 | on vám teda zpřístupní třeba tu konzoly nemusíte se zrovna spadnu ten access případě toho |
---|
0:05:18 | bleše ale prostě teda pardon poppingu ale prostě už dostanete řádku a nebo můžete provádět |
---|
0:05:24 | nějaké věci které by vám ten server dovolit neměl zmenší |
---|
0:05:29 | pardon |
---|
0:05:30 | úspory |
---|
0:05:31 | tak to je průšvih protože |
---|
0:05:35 | normální systém prásklo neumožňuje ošetři a otázka zní jestli by vůbec třeba P nedělní zprávu |
---|
0:05:43 | spouštět budeš |
---|
0:05:44 | no já si myslím že neměl protože on to normálně ni nedělá čili proč mu |
---|
0:05:48 | to právo dávat |
---|
0:05:52 | ovšem spustit bash |
---|
0:05:54 | má samotným linux úplně každý |
---|
0:05:56 | každý uživatel ho principů mít musí |
---|
0:05:59 | a rozlišit jestli omámí voči kterýho pak spouští nebo nějaký ten anebo má anebo ho |
---|
0:06:05 | nemám ty nebo no nemám pinkston za normálních okolností rozlišit možné není |
---|
0:06:11 | řešením jsou linuxe kryty modulus |
---|
0:06:14 | koše nějaký univerzální frymburk do jádra nebo který součástí jádra který umožňuje přidávat do něj |
---|
0:06:21 | bezpečnosti moduly tady věc já se vyvinula zase v roce dva tisíce tři protože na |
---|
0:06:27 | začátku někde kolem roku dva tisíce dva tisíce jedná se začaly objevovat snahy takovou věc |
---|
0:06:33 | do linuxu implementovat a |
---|
0:06:36 | takový nej nejzajímavější první byl selinux |
---|
0:06:39 | ale linus o by se nelíbilo že jsem se mnou samozřejmý spoustu věcí děláte |
---|
0:06:44 | a řekl že to je příliš není to moc obecné že té konkrétní že to |
---|
0:06:48 | tam nedá pak se začaly byla další ty moduly a tak se vymyslel únosem koše |
---|
0:06:54 | vlastně sada nějaký zvuků v jádře se s každým místě kde se snaží aplikace vždycky |
---|
0:07:00 | spustit nějakou funkci tak je možné tam pověsit nějakou další funkci toho sekli ty modulu |
---|
0:07:06 | který může třeba prověřit jestli je to možné si tam aplikace to dělat může že |
---|
0:07:12 | se době sou teda čtyři losova moduly v jádře apparmor se mnou sme k tomu |
---|
0:07:16 | jo já s toho ty dva spodní vůbec neznám mluvím o těch dvou prvních ten |
---|
0:07:21 | první používám ten druhý ne |
---|
0:07:24 | používat armor je taková na straně otázka jaký rozdíl mezi apparmor na se linuxem |
---|
0:07:31 | hlavní důvod prožitku apparmor |
---|
0:07:34 | ten sig vážku selinuxu samozřejmě a jeho výhodou je že se ovládá velmi jednoduše a |
---|
0:07:40 | vám tady ukážu teďkom později jak se to přesně ovládá jak to funguje že to |
---|
0:07:44 | je poměrně jednoduché že možné to |
---|
0:07:46 | za chvíli vysvětlit a budete to umět T u selinuxu si tím nejsem jistý že |
---|
0:07:53 | to je takle jednoduchém selinux našel několikrát pochopit a je to poměrně komplexní věc minimálně |
---|
0:07:58 | tam uvidíme no člověka černém klobouků R věci jsou zvlášť firma která se v nose |
---|
0:08:03 | voni zabývá hodně ho tlačí a já bych třeba byl moc rád kdyby mi třeba |
---|
0:08:07 | na příští mínus auto někdo připravil přednášku jak se za hodinu naučit selinux a já |
---|
0:08:12 | věřím tomu že to je možné ale a opravdu jako nemyslím do ironicky pak bych |
---|
0:08:16 | takovou přednášku dát viděl při by se dá třeba ten o tom selinuxu dozvěděl víc |
---|
0:08:20 | ale |
---|
0:08:21 | pro mě je to poměrně komplexní záležitost |
---|
0:08:26 | která vlastně vyžaduje velkou integraci do systému protože spousta aplikací aby to fungovalo musí o |
---|
0:08:34 | tom selinuxu vědět protože selinux přidávali blik procesům a souboru na disku I identifikuje soubory |
---|
0:08:42 | pomocí a nodů na disku košile apparmor nedělá ten identifikuje programy jenom pomocí cesty jestli |
---|
0:08:48 | za chvíli ukážeme |
---|
0:08:50 | výhodou je že je možné bezproblémové selinux ladit za jízdy troše zásadní |
---|
0:08:58 | principů je možné úplně oddělit sem boxíku to mám dlouhé víte |
---|
0:09:03 | pěkný |
---|
0:09:04 | S N boxy to je dneska hrozně moderní všechny prohlížeče uzavírají flash různé pluginy do |
---|
0:09:09 | vlastního paměťového prostoru tak principu to umí ten apparmor že prostě libovolné aplikaci která vám |
---|
0:09:15 | příjde vy nevíte co dělá a třeba ne neznáte |
---|
0:09:21 | nemáte k ní zdá k nemůžete si přečíst nebo někomu ukázat podívej se mi na |
---|
0:09:24 | to jestli to je vpořádku |
---|
0:09:26 | nějaký splaj skype a podobně tak si to aplikaci pouštíte do systému dává ty vlastně |
---|
0:09:32 | pola uživatelská práva tak apparmor vám umožní tu aplikaci na začátku třeba úplně zavřít že |
---|
0:09:38 | u ne prostoru nemůže vyjít ven můžete si dívat co dělám nakrásně loguje apparmor všechny |
---|
0:09:45 | akce které set aplikace snaží dělat |
---|
0:09:48 | a vy můžete i potom povolovat jenom to co chcete |
---|
0:09:52 | jo a samozřejmě s tím že uživatelsky přívětivý souvisí to že jak dole píšu za |
---|
0:09:57 | málo práce budete mít hodně muziky |
---|
0:09:59 | nevýhody a malym osum že souběžně uživatel ne si je běžný uživatel ne spravovatelný tím |
---|
0:10:05 | myslím to že k němu nejsou žádné klikací nástroje které by vám třeba vyskočili jako |
---|
0:10:10 | známe s takových těch personál firewallů z windows Ú jako tahle aplikace se snaží přistoupit |
---|
0:10:14 | na internet dovolit ano ne a vydáte ano a je to takto pro armor neexistuje |
---|
0:10:19 | neviděl se nic takového další věc že a farmu neumí práva zvyšovat umí jenom udavač |
---|
0:10:26 | ruby čili jenom směrem dolů takže k tomu koutu tady píšu proto byly these nebo |
---|
0:10:31 | setuid takže vy můžete tomu pingu musí zůstat ten setuid bit aby měl tento s |
---|
0:10:37 | K práva vy potom ti apparmor M je moje seberete nebo částmi seberte takle co |
---|
0:10:42 | šije ten postup který potřebujete |
---|
0:10:44 | takovou drobnost renatce potřeba myslet pokud se apparmor nahrává jako modul až při zavádění systému |
---|
0:10:51 | tak cokoli nastartuje předním tak on neumí hlídat |
---|
0:10:54 | což umí potom vypsat S ve svém ve své stavové obrazovce to vám ukážu a |
---|
0:10:59 | může se tam objevit informace o tom že je tam nějaký program kterému existuje tak |
---|
0:11:04 | zvaný profil čili B apparmor oni G |
---|
0:11:07 | ale teďko nehlídá protože nastartoval ještě třetí co Š se dá vyřešit vůči restartem systému |
---|
0:11:14 | někdy ale stačí restartovat o službu aby znova na se za pláž o tom apparmor |
---|
0:11:20 | opravdu čtu chvíli dívám ten apparmor běží |
---|
0:11:23 | jsem říkal nemá žádný automat |
---|
0:11:25 | a pozor důležitá věc jakmile začnete používat apparmor musíte myslet na to že ho používáte |
---|
0:11:31 | protože se vám začne občas říct že vám tom systém bude straší |
---|
0:11:35 | to znamená že nějaká věc kterou normálně používáte na jednu nefunguje a vy nevíte proč |
---|
0:11:40 | volky koukáte prostě ty pak budete toho sto úplně zoufalý asi za týden vzpomenete že |
---|
0:11:45 | jste slyšeli o a pan úloh kde se s ním hráli a podíváte se dolů |
---|
0:11:49 | apparmor a tam tak grupy chyby zákaz a pak se říkáte no jo vydělat nepovolil |
---|
0:11:55 | tady přístup k těm souboru |
---|
0:11:57 | to je mimochodem ještě se vrátím tomu selinuxu největší zájem o selinux vždycky když se |
---|
0:12:03 | díváte kde se co sem šel jsem vnucuje jak to vypnout |
---|
0:12:06 | protože lidi selinuxu nerozumí já mu taky nerozumím |
---|
0:12:10 | a třeba s stane se že vy chcete používat řezačku klíče cože úplně ultimátum bloku |
---|
0:12:17 | se s z áčka kdo používáte se z áčku ještě hesla tak |
---|
0:12:21 | neumíte S háčko a L ondra caletka tady bude tyhle věci přednášet dneska myslím že |
---|
0:12:26 | dneska nebo zítra určitě tam je přednáška losses háčků |
---|
0:12:30 | ano to se těší no a když máte selinux tak zapnutý tak třeba nemůžete bude |
---|
0:12:35 | klíče nefunguje tu a pavel jsem se o tom s public sem který dělá frčet |
---|
0:12:39 | on říkal ujasněte se normální tady tohleto vytřeštili byly a ty tomu stoly bilovat a |
---|
0:12:44 | dobře takže bysme selinux ono to funguje |
---|
0:12:47 | to že špatně ale samozřejmě a klobouk se nahlásí povídejte |
---|
0:12:55 | a |
---|
0:12:56 | ano |
---|
0:13:00 | tak to restore kontext ano to pak říkal hotový ale jenom je třeba mu říct |
---|
0:13:03 | aby si ty ten kontech obnovil tak no jasně ano ale prostě důsledek toho bohužel |
---|
0:13:09 | je říkám bohužel já se to na ten seznam se útočím jenom prostě říkám že |
---|
0:13:13 | test asi takový že lidi prostě se toho bojí a všichni leda jednu selinuxu že |
---|
0:13:17 | úplně ale špatně že místo abys o naučili používat takže doufám že příště bude ta |
---|
0:13:21 | přednáška před těžší |
---|
0:13:23 | tak vopravdu jako tak vážně abych tomu teda viděl |
---|
0:13:29 | tak |
---|
0:13:30 | před jak ten jak se na pár more teda funguje já jsem to nazval že |
---|
0:13:34 | tady jaderní firewall asi znáte to je nějaký |
---|
0:13:39 | počítač nebo zařízení nebo software který je ve vašem systému který sleduje komunikace po síti |
---|
0:13:45 | a podle nějaký filtru vydírá co projde a co ne a pardon funguje velmi podobně |
---|
0:13:50 | ale není na síti samozřejmě ale je vlastně postavení jako by mezi jádro aplikaci a |
---|
0:13:56 | když aplikace potřebuje komunikovat někam ten něco potřebuje připojit cena C celá noci na soubor |
---|
0:14:02 | ni pár přišli na disku cokoliv ten kromě toho když tam něco počítá nebo něco |
---|
0:14:06 | vypisuje na obrazovku pokud si napíšete hallovo tak tento nepotřebuje samozřejmě ale |
---|
0:14:13 | cokoli složitější už ano tak vlastně potře požadavku jádra stuff potřebuje požádat jádro tu věc |
---|
0:14:18 | jádro uvěří jestli ta aplikace to udělat může a provede to za něj pokud je |
---|
0:14:24 | tam ten armor tak nastává ještě na vrstva on se podle nějakých pravidel podívá jestli |
---|
0:14:29 | ste mu to dovolili té aplikaci ten požadavek dělat |
---|
0:14:32 | a pokud ano tak to běžně projde pokud ne tak je to zablokováno zaurguje se |
---|
0:14:37 | že ta aplikace sou to pokusil |
---|
0:14:39 | jak už sem říkal ty aplikace rozlišují cestou poměrně jednoduše každý den každej ten soubor |
---|
0:14:47 | má svůj vlastní profil ve kterém ten program který chcete aby apparmor hlídal atom profiluje |
---|
0:14:53 | zapsáno jsou nebo sou zapsána ta pravidla je to jednoduchý textový soubor ukážeme si |
---|
0:15:00 | tak výchozí chování apparmor u je nedělám nic |
---|
0:15:03 | to znamená že pokud |
---|
0:15:06 | nechcete nějaký program a argonem ovlivňovat tak mu nevytvoříte profiles takle můžete ten proces mazat |
---|
0:15:13 | a v tu chvíli se ten apparmor oni nezajímá |
---|
0:15:16 | jakmile vytvoříte být i prázdný profil tak se to obočí |
---|
0:15:21 | a stane nastane klasický bezpečí stáv co není povoleny zakázáno takže jakmile vytvoříte prázdný profil |
---|
0:15:30 | opět si ukážeme stačí napsat vytvořit soubor napsat lomeno begin nebo jo ta lomeno pí |
---|
0:15:36 | lomeno bash a prázdné složené závorky tu chvíli ste vytvořili prosila amosovi program začne zajímat |
---|
0:15:42 | a filtry jsou prázdné takže ten program nebude umět nic nebude umět komunikovat směrem ven |
---|
0:15:46 | vůbec |
---|
0:15:47 | pokud chcete aby uměl komunikovat venuší sem to výslovně povolit |
---|
0:15:52 | co zase sem tady zpátky znova tohoto upozorňuju je třeba na ten okoukat předlohu se |
---|
0:15:58 | pak objevují vyhlášky takže jakmile dejme tomu to S řezáč o může nastat podobný problém |
---|
0:16:04 | pokud vytáhnete šrouby a po čase se rozhodnete používat klíče a nedá se mu přístup |
---|
0:16:09 | do toho souboru nebo do těch souboru kde ty klíče jsou tak prostě to je |
---|
0:16:13 | se začnu řekněme dostane a nebude to fungovat a bude vám tom systému strašit nebudu |
---|
0:16:16 | se diví jiné věci budete na dál |
---|
0:16:19 | a je to jenom o tom že stane nastavili |
---|
0:16:22 | mutes právě ten přístup |
---|
0:16:25 | ty profily jsou standardně uložené se to co apparmor de tam jsou textové soubory které |
---|
0:16:30 | kde to je popsáno já budu ukazovat na ubuntu protože ubuntu dneska je distribuce která |
---|
0:16:37 | velmi dobře a anebo používání na tom hodně staví tam vlastně podpora začalo někdy v |
---|
0:16:41 | roce dva tisíce sedum |
---|
0:16:42 | pro o objemu nátiskového právě aby ho zabezpečili takže na to mám to budu ukazovat |
---|
0:16:49 | třeba já to udělám kdyby antoš |
---|
0:16:51 | buďto je teda taky skoro debian ale |
---|
0:16:54 | debianu ta podpora formuluje dost problematická jednu dobu byla rozbitá nebo taková pólu funkční pak |
---|
0:17:01 | se to někdo snažil spravit a tak to úplně rozbil a tak snad s posledním |
---|
0:17:06 | stack bude to úplně jako rozbité a teď je snaha to zase dá dohromady a |
---|
0:17:11 | ale sem koukal tak se zatím tam nejsou úplně všechny peče v tom jádře a |
---|
0:17:16 | byla fungovalo potřebujete post potrhat nejnovější verzi S webu a o pečovat jádru protože sice |
---|
0:17:23 | v jádře jakoby poprat formuluje ale nejsou tam tento úplně všechny novinky a které jsou |
---|
0:17:29 | zase ale v těch u život těch metrikách takže takto jako ničíš vám já si |
---|
0:17:34 | chybí tohle autorita opomíjel nemůžete použít a podobně ale snímky to funguje velmi dobře |
---|
0:17:41 | bluetooth standardně je několik málo profilů ty mám přijedou sou základní instalací dejme tomu jich |
---|
0:17:48 | tam šest asi pokud chcete další tak si můžete ne toho balíček armor pro file |
---|
0:17:52 | s a tam jich je spousta dalších |
---|
0:17:55 | případně pokud chcete ještě jiné tak na webu apparmor nebo existuje loučka je walsh |
---|
0:18:01 | počkejte takováto služba myslím ubuntu a tam je nějaký účet na kterém se vyvíjí type |
---|
0:18:07 | ty profily takže pokud hledáte není problém prostě kde procesy můžete vytvořit ukážeme si třeba |
---|
0:18:13 | pro opačným se sítě chrání apparmor páč a může typu cestou budu vyrábět sám vědět |
---|
0:18:19 | co tam mám a mladi nějakou dobu a nebo může sáhnu po něčem jsou s |
---|
0:18:23 | někdo připravil ušetřeno zdola tímto si druhá varianta |
---|
0:18:27 | pokud chcete ubuntu ty profily vytvářet a opravdu s tím apparmor nechci to nechat com |
---|
0:18:33 | výchozím stavu kdy teda chrání těch pár programů |
---|
0:18:36 | tak slyším potřebuje ta anebo ústil s já jsem vtom té testovací vymýtit která možná |
---|
0:18:42 | nebude fungovat že na jsou zase může upil schválené ty pro fans abychom že profilu |
---|
0:18:46 | tolik nemělo abychom si mohli ukazuje se vytváří |
---|
0:18:52 | tak ty soubory se jmenují normálně C T cestou takže když něco vzory je to |
---|
0:18:57 | tak že by wget tak se nesvobodné nejvíce tečka pin tečka tak je logická v |
---|
0:19:02 | názvech souboru být nemůžou takže tam sou takle tečky je to velmi jednoduchý textový soubor |
---|
0:19:07 | který můžete buď editovat normálně třeba vjemem jako se děláme a ukážu anebo osum na |
---|
0:19:12 | to nástroje které mám umí ten profil připravit |
---|
0:19:16 | dosedl základu vypadá si takhle víte že to je poměrně jednoduché |
---|
0:19:21 | tenhle profil se týká binárku lomeno v jednom elfů vymyšlené a ta má práva přečíst |
---|
0:19:27 | soubor je to co se ptát |
---|
0:19:30 | předčí si o přečíst a spustit kdy by |
---|
0:19:36 | následuje přístup do pro do souboru uživatelském profilu do souboru slůvko adresáře teďka config do |
---|
0:19:44 | něj je možné či je tedy možné číst obsazení a připisovat oni a je předtím |
---|
0:19:49 | napsáno únor to znamená že se ještě kontrolu jestli ste vlastníkem toho souboru |
---|
0:19:54 | to znamená že kdyby |
---|
0:19:57 | kdybyste mě kdyby tam ne soubor byl kdybyste hnanice ta práva stejný měli na disku |
---|
0:20:02 | ale vlastně obě někdo jiný dva to tam přes ten a parmou nepustí |
---|
0:20:06 | že se ještě navíc kontrole spisy o fakt vlastníte |
---|
0:20:09 | to je šikovné třeba u tempu jak mám lízaly výzkumem ten R V a prostě |
---|
0:20:13 | pro jistotu i tak |
---|
0:20:15 | stentu můžete sahat můžete číst psát přidávat do libovolný souboru v libovolných podadresářích proto si |
---|
0:20:21 | dvě hvězdičky jedna hvězdička znamená soubory tady jedničky znamená soubory tady a kdykoliv huby |
---|
0:20:28 | ale eště se kontroly zase vlastník takže i kdyby vtom tento měl někdo jiný soubory |
---|
0:20:33 | vy tím prostě nesmíte apparmor mám tam přístupné na |
---|
0:20:39 | vrátím se ještě po C putna čtvrtý řádek a pátý zále tím dovolujete přístup internetu |
---|
0:20:46 | stream je |
---|
0:20:48 | link |
---|
0:20:49 | pro TCP jinými slovy čili povoli byste T C T tomu schůzce povolili tímhle ty |
---|
0:20:55 | sítí provo zná dive čtyři a šest |
---|
0:20:57 | následuje teda ten potom sme si řekli a tak mobility ty dvě čárky na konci |
---|
0:21:01 | sou chyba |
---|
0:21:02 | kapa byly ty jsou |
---|
0:21:06 | tam se předává space předávají stejné parametry jako okapo byly u jádra jenom je to |
---|
0:21:13 | se taky ukážeme je to vlastně zápis úplně stejný takže když nějaké aplikaci dáte jadernou |
---|
0:21:21 | kapa byly to třeba jako tady otvírat se do sokety F na čem do sítě |
---|
0:21:26 | tak můj musíte povolit tím ose barboru aby to opravdu fungovalo |
---|
0:21:30 | zrovna tohle třeba potřebujete X |
---|
0:21:33 | přesně tenleten řádek |
---|
0:21:36 | tak to všech meta možné regulovat často jste viděli takže soubory čtení zápis použít tvorba |
---|
0:21:42 | a jasně mapování paměti tam ještě jako síť |
---|
0:21:45 | čili může tady ty ve čtyři šest kultistkou bude P náhodou pakety adresy je možné |
---|
0:21:50 | tam i filtrovat to s nepoužívám ale nebo z dokumentace to je že můžete vyfiltrovat |
---|
0:21:56 | třeba komunikaci po šiftu jenom proti nějakým server umnou podobně můžete to omezovat nějak podle |
---|
0:22:02 | adres |
---|
0:22:03 | můžete kostře možné mutovat |
---|
0:22:07 | můžete |
---|
0:22:09 | určovatele další práva jo jaká práva kam může jestli může ten program sahat na práva |
---|
0:22:15 | na disku jestli může nastavovat |
---|
0:22:17 | vlastníka práva souborům co může nastavovat může tom tam na masku na to přesně může |
---|
0:22:23 | selhat takže můžete říct tenhle program má právo nastavovat stamp u souboru moje může nastavovat |
---|
0:22:31 | práva ale jenom práva třeba skupiny jenom group na práva vlastníka napravo ostatní sahat nemůže |
---|
0:22:38 | se tak nemůže mít takhle vlastníky kdyby byl root nový dopouštěl root který si to |
---|
0:22:44 | sem řek ty věci může změnit ten profil ale prostě může tomu třeba říct že |
---|
0:22:48 | tenleten konkrétní program když budu ten prostě nemůže měnit nemůže stát na práva u programů |
---|
0:22:54 | souboru |
---|
0:22:55 | kapa byly tyto sme si řekli a pak tam sou další věci jako přístup nad |
---|
0:22:59 | vás a |
---|
0:23:01 | a podobně tady na té stránce wiki apparmor net |
---|
0:23:04 | lomeno jinde ztráta lomeno pro fallen kvičet popsaný celý ten |
---|
0:23:09 | jazyk profilu |
---|
0:23:11 | vůbec na té wiki je ta dokumentace ta je to takové ten projekt je celkem |
---|
0:23:18 | jako se tak jako by výtoku překotně divoce takže ta dokumentace není úplně dokonalá bohužel |
---|
0:23:24 | ale ty hlavní věci tyhlety které server ukazovat tam sou |
---|
0:23:30 | tak |
---|
0:23:31 | praktická ukázka |
---|
0:23:34 | podíváme se teda na ty adresáře na ten to se apparmor D vytvoříme si prázdný |
---|
0:23:38 | profil upravíme si ho myslím se sou je |
---|
0:23:41 | a vyzkoušíme jestli to funguje |
---|
0:23:44 | tak se ukaž kuben a výborně |
---|
0:23:50 | podíváme se |
---|
0:23:51 | nastav a statusy je první utilita víte že modul je připojen ale není připojený of |
---|
0:23:57 | a systém |
---|
0:23:59 | tak to nastartovalo vtom |
---|
0:24:04 | záchranném režimu tak se nenastartoval ten apparmor tady vidíte že se připojuje notting víte to |
---|
0:24:11 | sou vám je tady to nebudu moc z řeči ale toto trochu je vidět |
---|
0:24:15 | víte že se tam unpin cyklit SSL jsem připojí nějaký svůj souborový systém kdo se |
---|
0:24:21 | objevují |
---|
0:24:25 | informace |
---|
0:24:27 | o |
---|
0:24:30 | poté o tom ste napadlo dělá ten souborový systém pro vás slušně není on |
---|
0:24:35 | se tady je vidět potom to je ten com podivnou to a statusů pokud to |
---|
0:24:39 | všechno běží |
---|
0:24:43 | tady vidíte ty informace nemusíte hledat tom souborovém systému co vidíte víte že moduly nahraný |
---|
0:24:49 | že to funguje fajn a protože to dlouhé tak jasný že to funguje víte že |
---|
0:24:53 | u všech patnáct profilu na hraných |
---|
0:24:57 | teď tudle chytnete ten výchozí stav ubuntu tam jich je patnáct teda vy víte vítej |
---|
0:25:02 | sezná víte že sou performs modu |
---|
0:25:05 | ty profily může být ve dvou režimech |
---|
0:25:09 | jak se máte semene ten druhý ale jeden jako výkonný to je tenhleten kdy skutečně |
---|
0:25:14 | sou vynucována ta práva těch profilů a druhý je testovací a ten funguje tak že |
---|
0:25:20 | ten profil tam je |
---|
0:25:22 | apparmor ani je ten profily natažený a používá se ale ne vynucují set pravidla jenom |
---|
0:25:29 | sem obuvi jejich |
---|
0:25:31 | překročení tak |
---|
0:25:33 | čili pokud je tam C dejme tomu pravidlo |
---|
0:25:39 | pro čtení někde disku ze souboru a ten program se pokusí přičíst tak pořád nic |
---|
0:25:45 | se neděje pokud se pokusí přitiskne tak se mu to normálně povede ale apparmor to |
---|
0:25:49 | zalomuje |
---|
0:25:50 | a to se hodí právě chvíli kdy potřebujete odladit ten profil takže by připravíte nějakou |
---|
0:25:54 | základní strukturu které si třeba miss když by mohla stačit a pustíte to ano tak |
---|
0:25:59 | mi normální běží aby sledujete log co eště navíc naprosto třeba zapomněli utišíme to no |
---|
0:26:03 | jo naše musí se to co samozřejmě ale ten program funguje ho nezadá žádnou chybu |
---|
0:26:07 | jenom apparmor pouze louhuje |
---|
0:26:09 | toho budeme používat za chvíli při automatickém vytváření těch profilu což je možné to je |
---|
0:26:14 | to vytváření profilů těmi následky sem mluvil tady vidíte seznam profilu aktuálně a com play |
---|
0:26:21 | mu tyto ano stěžovat či režim to je ten režim čili N for a com |
---|
0:26:25 | planck on line režim je ten který kdysi ten apparmor jenom stěžuje důvodů ale ne |
---|
0:26:31 | nezakazuje nikomu nebo tomu program nic |
---|
0:26:34 | jeden s těch |
---|
0:26:36 | pro s a jo ten poslední botto nula to je tam se objeví nějaké číslo |
---|
0:26:41 | v případě že nějaký ten proces teda profil ale byl spuštěn ještě před apparmor M |
---|
0:26:47 | čili apparmor vás upozorňuje pozor ten proces ale nehlídá tady je problém musí to restartovat |
---|
0:26:54 | tak mrknem se teda do toho |
---|
0:27:00 | adresáře |
---|
0:27:02 | více teda že tady nějaké profily jsou je tady profil pro evidenci F alfo s |
---|
0:27:07 | a tak dále ale ty jsou myslím design let |
---|
0:27:11 | jo když na link budete do adresáře mizej bylo některých těch profilů to sedum linky |
---|
0:27:17 | teda vtom |
---|
0:27:19 | vy vidíte |
---|
0:27:20 | vtom disable tak tukwila barboru bude ignorovat takže jenomže nemusíte poslaní mazat nemusíte něco v |
---|
0:27:26 | něm o tom zakomentovat nebo tak stačí prostě uděl takle link |
---|
0:27:29 | a ten restartnout apparmor a on na ten profil nebude hodit čili víte že jo |
---|
0:27:35 | na to bych kde se fajn fuchs |
---|
0:27:40 | nehlídá dost docela ještě zajímavý adresáři up strašim kde sou |
---|
0:27:47 | já bych řekl že to jsou takové knihovny pravidel pro apparmor pokud chcete některou běžnou |
---|
0:27:53 | věc třeba je tady paní ten uprostřed zhruba když se podíváte podle abecedy když chcete |
---|
0:27:58 | nějakému jak aplikaci povolit přístup I Q to si třeba rozhodí nebo to mi ruby |
---|
0:28:04 | samba podobně tak prostě jednoduše ta pingnete do toho jo profilu některý si souboru sto |
---|
0:28:11 | podadresáře |
---|
0:28:13 | abstrakcím |
---|
0:28:15 | a tam jsou připravené ty sady těch pravidel tak aby to prostě fungovalo je to |
---|
0:28:20 | odladěné aby ten platí prostě běžel můžete se musí do toho zasahovat můžete si to |
---|
0:28:24 | sami upravovat nemusím že to dělat ty a nemusí to by slinkovat tohleto ta pravidla |
---|
0:28:28 | právě sou tady protože to sou poměrně komplexní věci |
---|
0:28:32 | můžeme si to potom ukázat |
---|
0:28:35 | tak |
---|
0:28:37 | já přemýšlím jestli |
---|
0:28:40 | ale jo já vám to ukážu |
---|
0:28:42 | normálně ručí tak můžeme si předvést nejdřív že na ping pinka |
---|
0:28:49 | ping nám letinka neunaví síť |
---|
0:28:54 | s a pro lodi další s tak to zkusíme jestli |
---|
0:28:59 | se nám to povede |
---|
0:29:01 | no network |
---|
0:29:05 | tak se ukaž call budeme |
---|
0:29:09 | tak co se teda mu vám to tady je problém co tady |
---|
0:29:17 | no teda problém včera mi to fungovalo samozřejmě neska se tady běží v nějakém záchranném |
---|
0:29:21 | režimu |
---|
0:29:24 | tak |
---|
0:29:25 | nevím jestli |
---|
0:29:27 | zkusíme taková oblast no tohoto by mohlo fungovat |
---|
0:29:30 | uvidím takový damping a uvidíme se nám nebude pinka režimu tohlencto zakážeme jo |
---|
0:29:37 | spin eště jednou pinty takže se založíme ručně |
---|
0:29:41 | bin tečka ping |
---|
0:29:45 | dostali za informaci |
---|
0:29:51 | nelze jo dobře |
---|
0:30:08 | dobře |
---|
0:30:12 | máte dvě na |
---|
0:30:14 | no já se omlouvám prostě se to sypalo a |
---|
0:30:19 | remote o volné server je tam R ven |
---|
0:30:23 | tak nevím |
---|
0:30:43 | prvek B na začátku |
---|
0:30:49 | no to je pravda takže nemoudrého zkusíme |
---|
0:30:54 | poradíte mi |
---|
0:30:59 | takle |
---|
0:31:02 | jo |
---|
0:31:04 | tak uvidíme |
---|
0:31:07 | jo |
---|
0:31:09 | ráda tak by to mohlo fungovat |
---|
0:31:12 | to je tak ten generálský efekt no říkal mladím železny |
---|
0:31:21 | tak prázdný profil |
---|
0:31:23 | vypadá takhle víte že tam ta cesta k tomu programu který se to řešit a |
---|
0:31:32 | a závorky složené kterých je teda ten obsah |
---|
0:31:40 | my si tam ten profil zavedeme co to vlastně nepotřebu rysem stejně root |
---|
0:31:45 | apparmor pár se |
---|
0:31:48 | mínus a jako a D a dáme by ping |
---|
0:31:51 | tak |
---|
0:31:55 | a |
---|
0:31:56 | tak a tady to máme |
---|
0:31:57 | čili vidíte že já jsem zavedl prázdný |
---|
0:32:02 | prázdný profil pingu api na přestal pingl protože na tom nemá právě když je ping |
---|
0:32:08 | pořád root |
---|
0:32:09 | tak víte že ta benátkám nemá právo vlastně zničím komunikovat na nic aha ping teďkom |
---|
0:32:13 | prostě neudělám vůbec nic |
---|
0:32:16 | a aby to fungovalo |
---|
0:32:20 | tak |
---|
0:32:21 | můžeme si ukázat automaticky režim |
---|
0:32:24 | to by šlo |
---|
0:32:34 | no tak |
---|
0:32:36 | tady není ani to není na céčko to se omlouvám |
---|
0:32:40 | no |
---|
0:32:41 | vypadá to asi tak vám to předvedu takle jako nasucho |
---|
0:32:46 | ten program který vám může generovat ten profil je agent provoz čili genera apparmor generuj |
---|
0:32:52 | profil mimo dáte jenom |
---|
0:32:56 | cestu k tomu souboru |
---|
0:32:59 | který chcete ohlídat a funguje to tak |
---|
0:33:02 | že on pro ni založí vlastně |
---|
0:33:06 | prázdný profil a přepne ho do toho stěžovat si ho režim |
---|
0:33:10 | a zapamatuje si kdy to udělal a tady mám tady píše než začnete měl by |
---|
0:33:15 | sis kontrolo že tamten dosazení protože vám o přepíšu |
---|
0:33:18 | a teď byste měli začít spinkat |
---|
0:33:22 | co šátek teda bohužel nemůže protože se na to z další terminál |
---|
0:33:27 | jakmile budu pinkat a vtom lomu se začne objevovat i záznamy co se tam děje |
---|
0:33:34 | proč ping nebo co se snaží P dělat jakmile skončím |
---|
0:33:38 | tak budeme to pro skenuje |
---|
0:33:41 | o to pro skenuje |
---|
0:33:44 | samozřejmě ťkam žádný žádné a události tam nejsou |
---|
0:33:47 | ale já to je naštěstí natahat napsané celý ten profil toho pinguje aby to fungovalo |
---|
0:33:53 | takže o tom napíšu ručně |
---|
0:33:54 | a on si ten moh projde a podle něj vlastně vymyslí zpětně ten profil tak |
---|
0:34:00 | aby odpovídal tomu logů aby všechno co |
---|
0:34:03 | se zamlouvalo |
---|
0:34:05 | aby užší příště sem alokoval o eště mám to pěkně vypisuje prostě princezna že přesto |
---|
0:34:10 | pitoma k tomu se tomuto povolit ano nemůžete to ještě ladit couře pak můžete kdykoli |
---|
0:34:15 | ten soubor do editovat ručně |
---|
0:34:18 | čili principy vtom že byste s tou aplikací měli udělat ideálně všechno co bys to |
---|
0:34:22 | byste pozdě jakou běžný uživatel tak u brány uživatel té aplikace |
---|
0:34:27 | prováděli tak aby ten pharmos i skutečně všiml všech přístupu ke všemu co |
---|
0:34:33 | s u ho |
---|
0:34:37 | no je pořád prázdný |
---|
0:34:39 | aby si všiml všeho K ke všemu S se snažil ten ping přistoupit k čemu |
---|
0:34:44 | snažil ten tým přistoupit aby mu to potom |
---|
0:34:47 | do pro pozdější |
---|
0:34:48 | práci povolil tak |
---|
0:34:53 | include známé si |
---|
0:34:59 | extract šáns potřebuje tam je nějaký based nějaký obecný základ |
---|
0:35:05 | tak se na ni můžeme jít podívat |
---|
0:35:09 | určitě potřebuje |
---|
0:35:11 | není servis aby mohl bych přistupovat k |
---|
0:35:16 | kde nechce jinak to nebude fungovat |
---|
0:35:19 | eště součástí toho prostoru name servis je přístup na internet nalitý ve čtyři lety ve |
---|
0:35:26 | šest |
---|
0:35:27 | takže automaticky ve službě které dáte D nesku samotný pohled je přístup na síť |
---|
0:35:33 | to můžete potlačit můžete si to nějak upravit že třeba D přístupná dense to znamená |
---|
0:35:38 | pravdu přístup bude téčkem jenom na tedleten počítač nebo osude tečkovanou větších odpovědi stejně nestačí |
---|
0:35:46 | takže prostě Ú D P T C P na tendle počítači ostatní potom budete muset |
---|
0:35:50 | povolovat zvlášť když to můžete takle tak aplikace prostě může na síť |
---|
0:35:54 | pak budeme potřebovat |
---|
0:35:57 | povolit tu síť |
---|
0:36:06 | se ui |
---|
0:36:09 | setuid je tam republika proto aby mohl ten program zahodit své právo to funguje že |
---|
0:36:16 | jo jako by to nejbezpečnější takže on provede na začátku tu potřebu jako root a |
---|
0:36:20 | pak se ta pravá změní ná nějakého prostě uživatele já nevím nul nebo něco nebo |
---|
0:36:26 | na vašeho uživatele a |
---|
0:36:28 | aby pak push případě chyby nemohlo žádný problém dojít |
---|
0:36:33 | a teď i zásadní |
---|
0:36:36 | aby mohl |
---|
0:36:38 | jo aby mohl ten |
---|
0:36:40 | ten program si teda otevřít throw soket a posílat po něm ty pakety |
---|
0:36:45 | svoje |
---|
0:36:46 | nestandardní vlastně |
---|
0:36:50 | tak opět o načteme můžete buď restartovat celý ten apparmor ale to je při úpravě |
---|
0:36:54 | skutečné spočítat mínus rekord lout |
---|
0:37:01 | honza semestru R rozpozná |
---|
0:37:03 | cože |
---|
0:37:04 | tak výstup tak dobře tak vám předvedu dostat |
---|
0:37:12 | tak pěkně |
---|
0:37:16 | jo to možná tak |
---|
0:37:17 | bude |
---|
0:37:19 | S tak je to dva |
---|
0:37:24 | jo tady mám ukazuje že přeskakuje ten fans lososi slot |
---|
0:37:29 | je tam sice se jo |
---|
0:37:35 | ta sme udělali |
---|
0:37:42 | tam eště totiž |
---|
0:37:44 | na začátek patří |
---|
0:37:48 | tam totiž mají připravené |
---|
0:37:54 | ty profily tak takovéhle jako obecné věci |
---|
0:37:57 | které |
---|
0:38:01 | tu na druhé straně |
---|
0:38:04 | co tam takové obecné profily které se předpokládá že budete dávat úplně všude účtu funguje |
---|
0:38:12 | jo |
---|
0:38:13 | a tak vidíte že by nám pinka je tam teda ještě tento unable set global |
---|
0:38:17 | který se přidalo úplně do každého profilu na začátek a tam jsou nějaké |
---|
0:38:21 | můžeme se podívat |
---|
0:38:24 | jaká obecná pravidla |
---|
0:38:27 | další které se přidávají jako přístup do procesů |
---|
0:38:30 | přístupu hubu a podobně aby to aplikace aspoň ty základní P věci které prakticky umí |
---|
0:38:36 | každá aplikace aby nebo potřebuje tak |
---|
0:38:42 | aby měl |
---|
0:38:45 | jo tady vidíte nastaví u třeba ještě se tam includu další potom zoom do tam |
---|
0:38:49 | je tam celá |
---|
0:38:51 | jo |
---|
0:38:52 | tam je prostě celá zcela ten celý takový strom pravidel který se tam automaticky přidává |
---|
0:38:58 | takle prostě to k tomuto standardně funguje neznamená to že to takle budete používat vy |
---|
0:39:04 | když se podíváme na status tak už víte nahoře že už máme šestnáct profilů všechny |
---|
0:39:09 | jsou teda sem furt modu a úplně nahoře printing |
---|
0:39:14 | takle vypadá ten ping já jsem chtěl ještě před předvést vám jak vypadá profil soketu |
---|
0:39:20 | ale protože bohužel nemám cit tak tady nemám co větnou to bych to abych to |
---|
0:39:24 | předvedl ten profily jako podobný akorát tam chybí teda ta síť protože on síť dostane |
---|
0:39:31 | přes ten M services |
---|
0:39:33 | a dá se tam zase zapsat po ste viděli vtom |
---|
0:39:38 | tady tom slajdu |
---|
0:39:41 | že třeba já jsem zkoušel na začátku si tak je ten se něco do tempu |
---|
0:39:46 | takže apparmor dovolí pingu pardon sem soupis ghettu zapisovat do lomeno todleto lomené deset omyl |
---|
0:39:55 | N |
---|
0:39:56 | stačí mu tam zápis right samozřejmě takovýto potřeby nějak s vůbec nic tak ideálně tam |
---|
0:40:01 | napíšete že uvede lomeno tomuto lomeno hvězdička nebo výška hvězdička a stejně tak je to |
---|
0:40:08 | tady k tomu tak mu prostě dovolíte tomu ghettu ručně třeba ještě zapisovat domů pravý |
---|
0:40:14 | tomuto takhle |
---|
0:40:15 | abyste si mohli opravdu stahovat něco humus to čemu jak říkám |
---|
0:40:20 | de třeba reálná ukázka potom toho využití toho ghettu stačí mu vlastně zápis do |
---|
0:40:28 | těch souborů |
---|
0:40:29 | a protože on vlastně nepotřebuje nižší s takže i kdyby někdo se nějak prostě využil |
---|
0:40:35 | třeba v nějakém vašem skriptů špatně napsaném zvenku wget aby vám třeba vyčetl nějaké informace |
---|
0:40:42 | sou Ú nebo podobně tak jsem to nepodaří protože apparmor mu dovolí jenom |
---|
0:40:46 | jenom zapisovat mši souboru protože to je to má stahovat a nemá dělat |
---|
0:40:52 | žádnou jinou |
---|
0:40:53 | zlobivost tak prozkoumání adresářů udělali toto jsme si profil automaticky vytvoří profilu se má teda |
---|
0:40:59 | bohužel neukázal |
---|
0:41:01 | ale nepřerušíme si bych to muka v nějakém jiném programu ještě |
---|
0:41:06 | asi tečný nic rozumnou nenapadá |
---|
0:41:10 | to asi to je já myslím že to chcete to ukázat na ubuntu tady nutnosti |
---|
0:41:14 | na se |
---|
0:41:15 | myslím že vám to takhle si snad doufám stačilo jo prohlédnutí voltů jsme ukázali ještě |
---|
0:41:21 | ten blok je |
---|
0:41:36 | tak takle vypadají ty jeho výkřiky do logu |
---|
0:41:42 | pro file outs tady vidíte že se sem se snažil na ludva teda ten profil |
---|
0:41:48 | jo jde totiž že neplyne výkřik ani nebudu |
---|
0:41:50 | protože sme neprováděly ten |
---|
0:41:53 | jinak je tam teda napsáno normálně co se snažila tato snažil ten to snažila kabinách |
---|
0:42:00 | a dělat jenom normální napsáno že se třeba snažila přistoupit na ne C otevřít i |
---|
0:42:05 | C P spojení |
---|
0:42:06 | a že jí to třeba bylo zakázáno nebo že to prošlo protože to jenom to |
---|
0:42:09 | křižovat tím režimu a právě na základě tyhleti houby potom ten gen prof tento projde |
---|
0:42:15 | a nabídne vám co chcete do toho posun a přidat |
---|
0:42:20 | takže doporučuji sledovat existuje i v bundu nějaká integrace do |
---|
0:42:25 | takového ty vyskakovat singly sou vpravil |
---|
0:42:28 | takže vám to umí potom případně jako nahlas vás to upozorní že se zavazovalo něco |
---|
0:42:33 | kokos |
---|
0:42:34 | co se týká pár moru abyste si to fakt všimli protože jsem říkal že tam |
---|
0:42:38 | straší a díky ten disku char bublině mám to prostě řekne teď tady ping se |
---|
0:42:43 | snaží dělat nějakou nestandardní věc |
---|
0:42:46 | tak |
---|
0:42:47 | máme ještě |
---|
0:42:48 | čili času protože to ukázka je teda takle zkrácená v tom bodě tak |
---|
0:42:52 | jako ukázku máte |
---|
0:42:54 | si proud a |
---|
0:43:07 | ne to není samo C proces to je normální modul v jádře |
---|
0:43:18 | protože se vzala ano protože se zavádí ty profily |
---|
0:43:21 | tam není vidět si tam nevím D |
---|
0:43:24 | ale on se zavádí ty profily jsou zásadní bodu se načte někdy prostě na začátku |
---|
0:43:29 | ale až prostě během startu systému se zavede to co je tedy do apparmor což |
---|
0:43:33 | znamená že se že se pomocí toho parseru načtu všechny moduly a čtu chvíli začíná |
---|
0:43:39 | starat ten apparmor o ty |
---|
0:43:42 | o ty procesy které mají ty profily takže pokud se předtím ještě podaří něco nastartovat |
---|
0:43:47 | nebo třeba se stane jako they že ten apparmor ty profily nenačte |
---|
0:43:51 | a spouštělo by se něco s těch profilů předtím ještě aby si vzpomněl nemálo armor |
---|
0:43:58 | tak pokud už něco běží třeba ten pin kůžemi pinka tak není kontrolován ani dodatečně |
---|
0:44:03 | u neumíte práva jako by sebrat dodatečně připíchnu si pinka u si to na otvíral |
---|
0:44:07 | ty sokety a užší dělá co chce a tábor modelu stojí a čeká jsou počítat |
---|
0:44:12 | pak teprve jakoby nebo při dalším spuštění na něm teprve převezme kontrolu |
---|
0:44:25 | to na to dominate na odpovědět já jako ne nejsem derivace do netušíme to funguje |
---|
0:44:29 | tom jádře |
---|
0:44:32 | je to možné no ale každopádně to takle prostě jen jako je s taky neumím |
---|
0:44:37 | by se to je ten proces proč to také proč při |
---|
0:44:42 | abychom na záznam řekl jsem měl při dodatečnému spuštění to apparmor u proč neumí převzít |
---|
0:44:48 | tu kontrolu to neumřít s taky |
---|
0:44:53 | tak ještě někdo nějaký dotaz tam |
---|
0:45:11 | to bylo ideální možnost zkombinovat |
---|
0:45:14 | víc tělesem do modu pardon |
---|
0:45:17 | jo opakuju že je tady dotaz na možno S zkombinování více osum modulu to by |
---|
0:45:22 | bylo ideální protože no protože by se dalo to doladit jednoduše ale nevím o tom |
---|
0:45:26 | že by to bylo možné netuší myslím si že skutečně jako je možný jo |
---|
0:45:32 | u tě jedno nebo druhý |
---|
0:45:35 | tak jo tak vám děkuju na tom za pozornost a dobrou chuť |
---|
0:45:38 | obědu vám přeju díky |
---|