I

dobré dopoledne jmenujete proč má s vybrali ste si že ode mě chcete slyšet přednášku

o

poslyš něco

v pohodě spoj tak jo a o a panuj a vždycky posílám aspoň dvě přednášky

si vybere vyberou lidi třeba jednu rovnici berou obě alespoň nešťastné že přípravu dvě S

takové na začátek tady jsem se před deseti minutama začal připravovat ten počítač a zjistil

jsem že minimum tu je ta imič na který virtuální detekci ukazovat i ukázky

takže sem tady zachraňoval snad se mi to teda povedlo zachránit snad něco uvidíte protože

to mám připravena že mám ukáže samozřejmě jak se ten apparmor

ovládá a k čemu je to vlastně dobré

tak

v linuxu asi tušíte jak funguje řízení práv

jsou v zásadě jenom west vtom normálním režimu nebo v tom výchozí v režimu

chtěla přichází další zde

skončil seznam asi po si

sou vlastně dvě možnosti buď ste normálním uživatelem takže můžete to co vám dovoluje dovoluju

práva na souborovém systému čili můžete zapisovat

do svého hubu většinou někam do tempu můžete spouště

nějaké příkazy zasekly který máte práva můžete si otvírat na síti nějaké porty na C

únavu do P můžete navozovat komunikaci ven můžete si

u sportu vyšší než tisíc dvacet čtyři nemůžete posílat nějaké speciální pakety nemůžete posílat i

centra je za normálních okolností a podobně to se uživatel a nebo se root rovnou

a to je ta druhá externí varianta tam zase můžete úplně všechno

to je poměrně nepříjemné protože bychom potřebovali trošku to řízení prázdný T nějak jako

specifičtější potřebovali bychom to rozlišit na jednotlivé aplikace

potřebovali bychom

prostě to rozlišení trochu menší

zejména je to nebezpečné případě S tady mám napsáno setuid dinárech to sou takové vy

náký které se provozují pod uživatelem který je vlastní ati spustí kdokoli

což se používá zejména k tomu že některé by nároky například

ping

aby o ho je to vidět trochu asi jo

aby mohl fx pouště kdokoli a nemusel být přitom root a přitom dostal ta práva

tomu soketu aby si mohl otvírat libovolná spojení a posílat licence paket je přímá tak

ping má tady vidíte esko místo X K to znamená že novej spustí i bytím

uživatel petr tak ping poviš bodů ten

takových binární máte systému poměrně hodně

záleží samozřejmě co máte za systém

mám problém napsat plus jo

ale

cink je program pro android tak si takže tady to třeba vypíše které by nároky

S

zdvihnu mají

esko

můžeme se o tom přesvědčit opět třebá

jo mount abyste mohli připojovat libová zařízení tak musí být root ose pak podívat ve

stavu jestli tomu máte práva ještě dál a případně vás vám to dovolit připojit

to je průšvih v případě že ten program má nějakou bezpečnostní chybu

třeba hypoteticky se může stát že ping bude mít nějakou bezpečností mezeru která skrz špatně

ušetřené vstupy vám dovolí ten pin donutit aby provedl něco co nemá ping za normálních

okolností přímé ati adresu nebo

doménové jméno případě si doménové jméno teda přeloží najdi adresu a začne posílat chcete pakety

ping na pojetí adresu poslouchá odpovědi by se vám tomu nějak informace nic víc ping

neumí a teda by neměl dělat pokud mě bude chyba vyhodím vstupem donutíte abych zavolal

X lomeno pí lomeno totéž a povede se mu po jeho kontextu tak se spustí

bash a protože se ta práva dělí tak ten by se spustí poceni právě jakoby

pinka ping sme si řekli že běží vždycky pod root

to je průšvih

samozřejmě podobná situace může nastat třeba u a pač E nebo u jakéhokoli jiného server

který dostupných menší kdyby ho do musíte třeba přes ten buffer overflow nebo jinak

udělat něco co nemá a

on vám teda zpřístupní třeba tu konzoly nemusíte se zrovna spadnu ten access případě toho

bleše ale prostě teda pardon poppingu ale prostě už dostanete řádku a nebo můžete provádět

nějaké věci které by vám ten server dovolit neměl zmenší

pardon

úspory

tak to je průšvih protože

normální systém prásklo neumožňuje ošetři a otázka zní jestli by vůbec třeba P nedělní zprávu

spouštět budeš

no já si myslím že neměl protože on to normálně ni nedělá čili proč mu

to právo dávat

ovšem spustit bash

má samotným linux úplně každý

každý uživatel ho principů mít musí

a rozlišit jestli omámí voči kterýho pak spouští nebo nějaký ten anebo má anebo ho

nemám ty nebo no nemám pinkston za normálních okolností rozlišit možné není

řešením jsou linuxe kryty modulus

koše nějaký univerzální frymburk do jádra nebo který součástí jádra který umožňuje přidávat do něj

bezpečnosti moduly tady věc já se vyvinula zase v roce dva tisíce tři protože na

začátku někde kolem roku dva tisíce dva tisíce jedná se začaly objevovat snahy takovou věc

do linuxu implementovat a

takový nej nejzajímavější první byl selinux

ale linus o by se nelíbilo že jsem se mnou samozřejmý spoustu věcí děláte

a řekl že to je příliš není to moc obecné že té konkrétní že to

tam nedá pak se začaly byla další ty moduly a tak se vymyslel únosem koše

vlastně sada nějaký zvuků v jádře se s každým místě kde se snaží aplikace vždycky

spustit nějakou funkci tak je možné tam pověsit nějakou další funkci toho sekli ty modulu

který může třeba prověřit jestli je to možné si tam aplikace to dělat může že

se době sou teda čtyři losova moduly v jádře apparmor se mnou sme k tomu

jo já s toho ty dva spodní vůbec neznám mluvím o těch dvou prvních ten

první používám ten druhý ne

používat armor je taková na straně otázka jaký rozdíl mezi apparmor na se linuxem

hlavní důvod prožitku apparmor

ten sig vážku selinuxu samozřejmě a jeho výhodou je že se ovládá velmi jednoduše a

vám tady ukážu teďkom později jak se to přesně ovládá jak to funguje že to

je poměrně jednoduché že možné to

za chvíli vysvětlit a budete to umět T u selinuxu si tím nejsem jistý že

to je takle jednoduchém selinux našel několikrát pochopit a je to poměrně komplexní věc minimálně

tam uvidíme no člověka černém klobouků R věci jsou zvlášť firma která se v nose

voni zabývá hodně ho tlačí a já bych třeba byl moc rád kdyby mi třeba

na příští mínus auto někdo připravil přednášku jak se za hodinu naučit selinux a já

věřím tomu že to je možné ale a opravdu jako nemyslím do ironicky pak bych

takovou přednášku dát viděl při by se dá třeba ten o tom selinuxu dozvěděl víc

ale

pro mě je to poměrně komplexní záležitost

která vlastně vyžaduje velkou integraci do systému protože spousta aplikací aby to fungovalo musí o

tom selinuxu vědět protože selinux přidávali blik procesům a souboru na disku I identifikuje soubory

pomocí a nodů na disku košile apparmor nedělá ten identifikuje programy jenom pomocí cesty jestli

za chvíli ukážeme

výhodou je že je možné bezproblémové selinux ladit za jízdy troše zásadní

principů je možné úplně oddělit sem boxíku to mám dlouhé víte

pěkný

S N boxy to je dneska hrozně moderní všechny prohlížeče uzavírají flash různé pluginy do

vlastního paměťového prostoru tak principu to umí ten apparmor že prostě libovolné aplikaci která vám

příjde vy nevíte co dělá a třeba ne neznáte

nemáte k ní zdá k nemůžete si přečíst nebo někomu ukázat podívej se mi na

to jestli to je vpořádku

nějaký splaj skype a podobně tak si to aplikaci pouštíte do systému dává ty vlastně

pola uživatelská práva tak apparmor vám umožní tu aplikaci na začátku třeba úplně zavřít že

u ne prostoru nemůže vyjít ven můžete si dívat co dělám nakrásně loguje apparmor všechny

akce které set aplikace snaží dělat

a vy můžete i potom povolovat jenom to co chcete

jo a samozřejmě s tím že uživatelsky přívětivý souvisí to že jak dole píšu za

málo práce budete mít hodně muziky

nevýhody a malym osum že souběžně uživatel ne si je běžný uživatel ne spravovatelný tím

myslím to že k němu nejsou žádné klikací nástroje které by vám třeba vyskočili jako

známe s takových těch personál firewallů z windows Ú jako tahle aplikace se snaží přistoupit

na internet dovolit ano ne a vydáte ano a je to takto pro armor neexistuje

neviděl se nic takového další věc že a farmu neumí práva zvyšovat umí jenom udavač

ruby čili jenom směrem dolů takže k tomu koutu tady píšu proto byly these nebo

setuid takže vy můžete tomu pingu musí zůstat ten setuid bit aby měl tento s

K práva vy potom ti apparmor M je moje seberete nebo částmi seberte takle co

šije ten postup který potřebujete

takovou drobnost renatce potřeba myslet pokud se apparmor nahrává jako modul až při zavádění systému

tak cokoli nastartuje předním tak on neumí hlídat

což umí potom vypsat S ve svém ve své stavové obrazovce to vám ukážu a

může se tam objevit informace o tom že je tam nějaký program kterému existuje tak

zvaný profil čili B apparmor oni G

ale teďko nehlídá protože nastartoval ještě třetí co Š se dá vyřešit vůči restartem systému

někdy ale stačí restartovat o službu aby znova na se za pláž o tom apparmor

opravdu čtu chvíli dívám ten apparmor běží

jsem říkal nemá žádný automat

a pozor důležitá věc jakmile začnete používat apparmor musíte myslet na to že ho používáte

protože se vám začne občas říct že vám tom systém bude straší

to znamená že nějaká věc kterou normálně používáte na jednu nefunguje a vy nevíte proč

volky koukáte prostě ty pak budete toho sto úplně zoufalý asi za týden vzpomenete že

jste slyšeli o a pan úloh kde se s ním hráli a podíváte se dolů

apparmor a tam tak grupy chyby zákaz a pak se říkáte no jo vydělat nepovolil

tady přístup k těm souboru

to je mimochodem ještě se vrátím tomu selinuxu největší zájem o selinux vždycky když se

díváte kde se co sem šel jsem vnucuje jak to vypnout

protože lidi selinuxu nerozumí já mu taky nerozumím

a třeba s stane se že vy chcete používat řezačku klíče cože úplně ultimátum bloku

se s z áčka kdo používáte se z áčku ještě hesla tak

neumíte S háčko a L ondra caletka tady bude tyhle věci přednášet dneska myslím že

dneska nebo zítra určitě tam je přednáška losses háčků

ano to se těší no a když máte selinux tak zapnutý tak třeba nemůžete bude

klíče nefunguje tu a pavel jsem se o tom s public sem který dělá frčet

on říkal ujasněte se normální tady tohleto vytřeštili byly a ty tomu stoly bilovat a

dobře takže bysme selinux ono to funguje

to že špatně ale samozřejmě a klobouk se nahlásí povídejte

a

ano

tak to restore kontext ano to pak říkal hotový ale jenom je třeba mu říct

aby si ty ten kontech obnovil tak no jasně ano ale prostě důsledek toho bohužel

je říkám bohužel já se to na ten seznam se útočím jenom prostě říkám že

test asi takový že lidi prostě se toho bojí a všichni leda jednu selinuxu že

úplně ale špatně že místo abys o naučili používat takže doufám že příště bude ta

přednáška před těžší

tak vopravdu jako tak vážně abych tomu teda viděl

tak

před jak ten jak se na pár more teda funguje já jsem to nazval že

tady jaderní firewall asi znáte to je nějaký

počítač nebo zařízení nebo software který je ve vašem systému který sleduje komunikace po síti

a podle nějaký filtru vydírá co projde a co ne a pardon funguje velmi podobně

ale není na síti samozřejmě ale je vlastně postavení jako by mezi jádro aplikaci a

když aplikace potřebuje komunikovat někam ten něco potřebuje připojit cena C celá noci na soubor

ni pár přišli na disku cokoliv ten kromě toho když tam něco počítá nebo něco

vypisuje na obrazovku pokud si napíšete hallovo tak tento nepotřebuje samozřejmě ale

cokoli složitější už ano tak vlastně potře požadavku jádra stuff potřebuje požádat jádro tu věc

jádro uvěří jestli ta aplikace to udělat může a provede to za něj pokud je

tam ten armor tak nastává ještě na vrstva on se podle nějakých pravidel podívá jestli

ste mu to dovolili té aplikaci ten požadavek dělat

a pokud ano tak to běžně projde pokud ne tak je to zablokováno zaurguje se

že ta aplikace sou to pokusil

jak už sem říkal ty aplikace rozlišují cestou poměrně jednoduše každý den každej ten soubor

má svůj vlastní profil ve kterém ten program který chcete aby apparmor hlídal atom profiluje

zapsáno jsou nebo sou zapsána ta pravidla je to jednoduchý textový soubor ukážeme si

tak výchozí chování apparmor u je nedělám nic

to znamená že pokud

nechcete nějaký program a argonem ovlivňovat tak mu nevytvoříte profiles takle můžete ten proces mazat

a v tu chvíli se ten apparmor oni nezajímá

jakmile vytvoříte být i prázdný profil tak se to obočí

a stane nastane klasický bezpečí stáv co není povoleny zakázáno takže jakmile vytvoříte prázdný profil

opět si ukážeme stačí napsat vytvořit soubor napsat lomeno begin nebo jo ta lomeno pí

lomeno bash a prázdné složené závorky tu chvíli ste vytvořili prosila amosovi program začne zajímat

a filtry jsou prázdné takže ten program nebude umět nic nebude umět komunikovat směrem ven

vůbec

pokud chcete aby uměl komunikovat venuší sem to výslovně povolit

co zase sem tady zpátky znova tohoto upozorňuju je třeba na ten okoukat předlohu se

pak objevují vyhlášky takže jakmile dejme tomu to S řezáč o může nastat podobný problém

pokud vytáhnete šrouby a po čase se rozhodnete používat klíče a nedá se mu přístup

do toho souboru nebo do těch souboru kde ty klíče jsou tak prostě to je

se začnu řekněme dostane a nebude to fungovat a bude vám tom systému strašit nebudu

se diví jiné věci budete na dál

a je to jenom o tom že stane nastavili

mutes právě ten přístup

ty profily jsou standardně uložené se to co apparmor de tam jsou textové soubory které

kde to je popsáno já budu ukazovat na ubuntu protože ubuntu dneska je distribuce která

velmi dobře a anebo používání na tom hodně staví tam vlastně podpora začalo někdy v

roce dva tisíce sedum

pro o objemu nátiskového právě aby ho zabezpečili takže na to mám to budu ukazovat

třeba já to udělám kdyby antoš

buďto je teda taky skoro debian ale

debianu ta podpora formuluje dost problematická jednu dobu byla rozbitá nebo taková pólu funkční pak

se to někdo snažil spravit a tak to úplně rozbil a tak snad s posledním

stack bude to úplně jako rozbité a teď je snaha to zase dá dohromady a

ale sem koukal tak se zatím tam nejsou úplně všechny peče v tom jádře a

byla fungovalo potřebujete post potrhat nejnovější verzi S webu a o pečovat jádru protože sice

v jádře jakoby poprat formuluje ale nejsou tam tento úplně všechny novinky a které jsou

zase ale v těch u život těch metrikách takže takto jako ničíš vám já si

chybí tohle autorita opomíjel nemůžete použít a podobně ale snímky to funguje velmi dobře

bluetooth standardně je několik málo profilů ty mám přijedou sou základní instalací dejme tomu jich

tam šest asi pokud chcete další tak si můžete ne toho balíček armor pro file

s a tam jich je spousta dalších

případně pokud chcete ještě jiné tak na webu apparmor nebo existuje loučka je walsh

počkejte takováto služba myslím ubuntu a tam je nějaký účet na kterém se vyvíjí type

ty profily takže pokud hledáte není problém prostě kde procesy můžete vytvořit ukážeme si třeba

pro opačným se sítě chrání apparmor páč a může typu cestou budu vyrábět sám vědět

co tam mám a mladi nějakou dobu a nebo může sáhnu po něčem jsou s

někdo připravil ušetřeno zdola tímto si druhá varianta

pokud chcete ubuntu ty profily vytvářet a opravdu s tím apparmor nechci to nechat com

výchozím stavu kdy teda chrání těch pár programů

tak slyším potřebuje ta anebo ústil s já jsem vtom té testovací vymýtit která možná

nebude fungovat že na jsou zase může upil schválené ty pro fans abychom že profilu

tolik nemělo abychom si mohli ukazuje se vytváří

tak ty soubory se jmenují normálně C T cestou takže když něco vzory je to

tak že by wget tak se nesvobodné nejvíce tečka pin tečka tak je logická v

názvech souboru být nemůžou takže tam sou takle tečky je to velmi jednoduchý textový soubor

který můžete buď editovat normálně třeba vjemem jako se děláme a ukážu anebo osum na

to nástroje které mám umí ten profil připravit

dosedl základu vypadá si takhle víte že to je poměrně jednoduché

tenhle profil se týká binárku lomeno v jednom elfů vymyšlené a ta má práva přečíst

soubor je to co se ptát

předčí si o přečíst a spustit kdy by

následuje přístup do pro do souboru uživatelském profilu do souboru slůvko adresáře teďka config do

něj je možné či je tedy možné číst obsazení a připisovat oni a je předtím

napsáno únor to znamená že se ještě kontrolu jestli ste vlastníkem toho souboru

to znamená že kdyby

kdybyste mě kdyby tam ne soubor byl kdybyste hnanice ta práva stejný měli na disku

ale vlastně obě někdo jiný dva to tam přes ten a parmou nepustí

že se ještě navíc kontrole spisy o fakt vlastníte

to je šikovné třeba u tempu jak mám lízaly výzkumem ten R V a prostě

pro jistotu i tak

stentu můžete sahat můžete číst psát přidávat do libovolný souboru v libovolných podadresářích proto si

dvě hvězdičky jedna hvězdička znamená soubory tady jedničky znamená soubory tady a kdykoliv huby

ale eště se kontroly zase vlastník takže i kdyby vtom tento měl někdo jiný soubory

vy tím prostě nesmíte apparmor mám tam přístupné na

vrátím se ještě po C putna čtvrtý řádek a pátý zále tím dovolujete přístup internetu

stream je

link

pro TCP jinými slovy čili povoli byste T C T tomu schůzce povolili tímhle ty

sítí provo zná dive čtyři a šest

následuje teda ten potom sme si řekli a tak mobility ty dvě čárky na konci

sou chyba

kapa byly ty jsou

tam se předává space předávají stejné parametry jako okapo byly u jádra jenom je to

se taky ukážeme je to vlastně zápis úplně stejný takže když nějaké aplikaci dáte jadernou

kapa byly to třeba jako tady otvírat se do sokety F na čem do sítě

tak můj musíte povolit tím ose barboru aby to opravdu fungovalo

zrovna tohle třeba potřebujete X

přesně tenleten řádek

tak to všech meta možné regulovat často jste viděli takže soubory čtení zápis použít tvorba

a jasně mapování paměti tam ještě jako síť

čili může tady ty ve čtyři šest kultistkou bude P náhodou pakety adresy je možné

tam i filtrovat to s nepoužívám ale nebo z dokumentace to je že můžete vyfiltrovat

třeba komunikaci po šiftu jenom proti nějakým server umnou podobně můžete to omezovat nějak podle

adres

můžete kostře možné mutovat

můžete

určovatele další práva jo jaká práva kam může jestli může ten program sahat na práva

na disku jestli může nastavovat

vlastníka práva souborům co může nastavovat může tom tam na masku na to přesně může

selhat takže můžete říct tenhle program má právo nastavovat stamp u souboru moje může nastavovat

práva ale jenom práva třeba skupiny jenom group na práva vlastníka napravo ostatní sahat nemůže

se tak nemůže mít takhle vlastníky kdyby byl root nový dopouštěl root který si to

sem řek ty věci může změnit ten profil ale prostě může tomu třeba říct že

tenleten konkrétní program když budu ten prostě nemůže měnit nemůže stát na práva u programů

souboru

kapa byly tyto sme si řekli a pak tam sou další věci jako přístup nad

vás a

a podobně tady na té stránce wiki apparmor net

lomeno jinde ztráta lomeno pro fallen kvičet popsaný celý ten

jazyk profilu

vůbec na té wiki je ta dokumentace ta je to takové ten projekt je celkem

jako se tak jako by výtoku překotně divoce takže ta dokumentace není úplně dokonalá bohužel

ale ty hlavní věci tyhlety které server ukazovat tam sou

tak

praktická ukázka

podíváme se teda na ty adresáře na ten to se apparmor D vytvoříme si prázdný

profil upravíme si ho myslím se sou je

a vyzkoušíme jestli to funguje

tak se ukaž kuben a výborně

podíváme se

nastav a statusy je první utilita víte že modul je připojen ale není připojený of

a systém

tak to nastartovalo vtom

záchranném režimu tak se nenastartoval ten apparmor tady vidíte že se připojuje notting víte to

sou vám je tady to nebudu moc z řeči ale toto trochu je vidět

víte že se tam unpin cyklit SSL jsem připojí nějaký svůj souborový systém kdo se

objevují

informace

o

poté o tom ste napadlo dělá ten souborový systém pro vás slušně není on

se tady je vidět potom to je ten com podivnou to a statusů pokud to

všechno běží

tady vidíte ty informace nemusíte hledat tom souborovém systému co vidíte víte že moduly nahraný

že to funguje fajn a protože to dlouhé tak jasný že to funguje víte že

u všech patnáct profilu na hraných

teď tudle chytnete ten výchozí stav ubuntu tam jich je patnáct teda vy víte vítej

sezná víte že sou performs modu

ty profily může být ve dvou režimech

jak se máte semene ten druhý ale jeden jako výkonný to je tenhleten kdy skutečně

sou vynucována ta práva těch profilů a druhý je testovací a ten funguje tak že

ten profil tam je

apparmor ani je ten profily natažený a používá se ale ne vynucují set pravidla jenom

sem obuvi jejich

překročení tak

čili pokud je tam C dejme tomu pravidlo

pro čtení někde disku ze souboru a ten program se pokusí přičíst tak pořád nic

se neděje pokud se pokusí přitiskne tak se mu to normálně povede ale apparmor to

zalomuje

a to se hodí právě chvíli kdy potřebujete odladit ten profil takže by připravíte nějakou

základní strukturu které si třeba miss když by mohla stačit a pustíte to ano tak

mi normální běží aby sledujete log co eště navíc naprosto třeba zapomněli utišíme to no

jo naše musí se to co samozřejmě ale ten program funguje ho nezadá žádnou chybu

jenom apparmor pouze louhuje

toho budeme používat za chvíli při automatickém vytváření těch profilu což je možné to je

to vytváření profilů těmi následky sem mluvil tady vidíte seznam profilu aktuálně a com play

mu tyto ano stěžovat či režim to je ten režim čili N for a com

planck on line režim je ten který kdysi ten apparmor jenom stěžuje důvodů ale ne

nezakazuje nikomu nebo tomu program nic

jeden s těch

pro s a jo ten poslední botto nula to je tam se objeví nějaké číslo

v případě že nějaký ten proces teda profil ale byl spuštěn ještě před apparmor M

čili apparmor vás upozorňuje pozor ten proces ale nehlídá tady je problém musí to restartovat

tak mrknem se teda do toho

adresáře

více teda že tady nějaké profily jsou je tady profil pro evidenci F alfo s

a tak dále ale ty jsou myslím design let

jo když na link budete do adresáře mizej bylo některých těch profilů to sedum linky

teda vtom

vy vidíte

vtom disable tak tukwila barboru bude ignorovat takže jenomže nemusíte poslaní mazat nemusíte něco v

něm o tom zakomentovat nebo tak stačí prostě uděl takle link

a ten restartnout apparmor a on na ten profil nebude hodit čili víte že jo

na to bych kde se fajn fuchs

nehlídá dost docela ještě zajímavý adresáři up strašim kde sou

já bych řekl že to jsou takové knihovny pravidel pro apparmor pokud chcete některou běžnou

věc třeba je tady paní ten uprostřed zhruba když se podíváte podle abecedy když chcete

nějakému jak aplikaci povolit přístup I Q to si třeba rozhodí nebo to mi ruby

samba podobně tak prostě jednoduše ta pingnete do toho jo profilu některý si souboru sto

podadresáře

abstrakcím

a tam jsou připravené ty sady těch pravidel tak aby to prostě fungovalo je to

odladěné aby ten platí prostě běžel můžete se musí do toho zasahovat můžete si to

sami upravovat nemusím že to dělat ty a nemusí to by slinkovat tohleto ta pravidla

právě sou tady protože to sou poměrně komplexní věci

můžeme si to potom ukázat

tak

já přemýšlím jestli

ale jo já vám to ukážu

normálně ručí tak můžeme si předvést nejdřív že na ping pinka

ping nám letinka neunaví síť

s a pro lodi další s tak to zkusíme jestli

se nám to povede

no network

tak se ukaž call budeme

tak co se teda mu vám to tady je problém co tady

no teda problém včera mi to fungovalo samozřejmě neska se tady běží v nějakém záchranném

režimu

tak

nevím jestli

zkusíme taková oblast no tohoto by mohlo fungovat

uvidím takový damping a uvidíme se nám nebude pinka režimu tohlencto zakážeme jo

spin eště jednou pinty takže se založíme ručně

bin tečka ping

dostali za informaci

nelze jo dobře

dobře

máte dvě na

no já se omlouvám prostě se to sypalo a

remote o volné server je tam R ven

tak nevím

prvek B na začátku

no to je pravda takže nemoudrého zkusíme

poradíte mi

takle

jo

tak uvidíme

jo

ráda tak by to mohlo fungovat

to je tak ten generálský efekt no říkal mladím železny

tak prázdný profil

vypadá takhle víte že tam ta cesta k tomu programu který se to řešit a

a závorky složené kterých je teda ten obsah

my si tam ten profil zavedeme co to vlastně nepotřebu rysem stejně root

apparmor pár se

mínus a jako a D a dáme by ping

tak

a

tak a tady to máme

čili vidíte že já jsem zavedl prázdný

prázdný profil pingu api na přestal pingl protože na tom nemá právě když je ping

pořád root

tak víte že ta benátkám nemá právo vlastně zničím komunikovat na nic aha ping teďkom

prostě neudělám vůbec nic

a aby to fungovalo

tak

můžeme si ukázat automaticky režim

to by šlo

no tak

tady není ani to není na céčko to se omlouvám

no

vypadá to asi tak vám to předvedu takle jako nasucho

ten program který vám může generovat ten profil je agent provoz čili genera apparmor generuj

profil mimo dáte jenom

cestu k tomu souboru

který chcete ohlídat a funguje to tak

že on pro ni založí vlastně

prázdný profil a přepne ho do toho stěžovat si ho režim

a zapamatuje si kdy to udělal a tady mám tady píše než začnete měl by

sis kontrolo že tamten dosazení protože vám o přepíšu

a teď byste měli začít spinkat

co šátek teda bohužel nemůže protože se na to z další terminál

jakmile budu pinkat a vtom lomu se začne objevovat i záznamy co se tam děje

proč ping nebo co se snaží P dělat jakmile skončím

tak budeme to pro skenuje

o to pro skenuje

samozřejmě ťkam žádný žádné a události tam nejsou

ale já to je naštěstí natahat napsané celý ten profil toho pinguje aby to fungovalo

takže o tom napíšu ručně

a on si ten moh projde a podle něj vlastně vymyslí zpětně ten profil tak

aby odpovídal tomu logů aby všechno co

se zamlouvalo

aby užší příště sem alokoval o eště mám to pěkně vypisuje prostě princezna že přesto

pitoma k tomu se tomuto povolit ano nemůžete to ještě ladit couře pak můžete kdykoli

ten soubor do editovat ručně

čili principy vtom že byste s tou aplikací měli udělat ideálně všechno co bys to

byste pozdě jakou běžný uživatel tak u brány uživatel té aplikace

prováděli tak aby ten pharmos i skutečně všiml všech přístupu ke všemu co

s u ho

no je pořád prázdný

aby si všiml všeho K ke všemu S se snažil ten ping přistoupit k čemu

snažil ten tým přistoupit aby mu to potom

do pro pozdější

práci povolil tak

include známé si

extract šáns potřebuje tam je nějaký based nějaký obecný základ

tak se na ni můžeme jít podívat

určitě potřebuje

není servis aby mohl bych přistupovat k

kde nechce jinak to nebude fungovat

eště součástí toho prostoru name servis je přístup na internet nalitý ve čtyři lety ve

šest

takže automaticky ve službě které dáte D nesku samotný pohled je přístup na síť

to můžete potlačit můžete si to nějak upravit že třeba D přístupná dense to znamená

pravdu přístup bude téčkem jenom na tedleten počítač nebo osude tečkovanou větších odpovědi stejně nestačí

takže prostě Ú D P T C P na tendle počítači ostatní potom budete muset

povolovat zvlášť když to můžete takle tak aplikace prostě může na síť

pak budeme potřebovat

povolit tu síť

se ui

setuid je tam republika proto aby mohl ten program zahodit své právo to funguje že

jo jako by to nejbezpečnější takže on provede na začátku tu potřebu jako root a

pak se ta pravá změní ná nějakého prostě uživatele já nevím nul nebo něco nebo

na vašeho uživatele a

aby pak push případě chyby nemohlo žádný problém dojít

a teď i zásadní

aby mohl

jo aby mohl ten

ten program si teda otevřít throw soket a posílat po něm ty pakety

svoje

nestandardní vlastně

tak opět o načteme můžete buď restartovat celý ten apparmor ale to je při úpravě

skutečné spočítat mínus rekord lout

honza semestru R rozpozná

cože

tak výstup tak dobře tak vám předvedu dostat

tak pěkně

jo to možná tak

bude

S tak je to dva

jo tady mám ukazuje že přeskakuje ten fans lososi slot

je tam sice se jo

ta sme udělali

tam eště totiž

na začátek patří

tam totiž mají připravené

ty profily tak takovéhle jako obecné věci

které

tu na druhé straně

co tam takové obecné profily které se předpokládá že budete dávat úplně všude účtu funguje

jo

a tak vidíte že by nám pinka je tam teda ještě tento unable set global

který se přidalo úplně do každého profilu na začátek a tam jsou nějaké

můžeme se podívat

jaká obecná pravidla

další které se přidávají jako přístup do procesů

přístupu hubu a podobně aby to aplikace aspoň ty základní P věci které prakticky umí

každá aplikace aby nebo potřebuje tak

aby měl

jo tady vidíte nastaví u třeba ještě se tam includu další potom zoom do tam

je tam celá

jo

tam je prostě celá zcela ten celý takový strom pravidel který se tam automaticky přidává

takle prostě to k tomuto standardně funguje neznamená to že to takle budete používat vy

když se podíváme na status tak už víte nahoře že už máme šestnáct profilů všechny

jsou teda sem furt modu a úplně nahoře printing

takle vypadá ten ping já jsem chtěl ještě před předvést vám jak vypadá profil soketu

ale protože bohužel nemám cit tak tady nemám co větnou to bych to abych to

předvedl ten profily jako podobný akorát tam chybí teda ta síť protože on síť dostane

přes ten M services

a dá se tam zase zapsat po ste viděli vtom

tady tom slajdu

že třeba já jsem zkoušel na začátku si tak je ten se něco do tempu

takže apparmor dovolí pingu pardon sem soupis ghettu zapisovat do lomeno todleto lomené deset omyl

N

stačí mu tam zápis right samozřejmě takovýto potřeby nějak s vůbec nic tak ideálně tam

napíšete že uvede lomeno tomuto lomeno hvězdička nebo výška hvězdička a stejně tak je to

tady k tomu tak mu prostě dovolíte tomu ghettu ručně třeba ještě zapisovat domů pravý

tomuto takhle

abyste si mohli opravdu stahovat něco humus to čemu jak říkám

de třeba reálná ukázka potom toho využití toho ghettu stačí mu vlastně zápis do

těch souborů

a protože on vlastně nepotřebuje nižší s takže i kdyby někdo se nějak prostě využil

třeba v nějakém vašem skriptů špatně napsaném zvenku wget aby vám třeba vyčetl nějaké informace

sou Ú nebo podobně tak jsem to nepodaří protože apparmor mu dovolí jenom

jenom zapisovat mši souboru protože to je to má stahovat a nemá dělat

žádnou jinou

zlobivost tak prozkoumání adresářů udělali toto jsme si profil automaticky vytvoří profilu se má teda

bohužel neukázal

ale nepřerušíme si bych to muka v nějakém jiném programu ještě

asi tečný nic rozumnou nenapadá

to asi to je já myslím že to chcete to ukázat na ubuntu tady nutnosti

na se

myslím že vám to takhle si snad doufám stačilo jo prohlédnutí voltů jsme ukázali ještě

ten blok je

tak takle vypadají ty jeho výkřiky do logu

pro file outs tady vidíte že se sem se snažil na ludva teda ten profil

jo jde totiž že neplyne výkřik ani nebudu

protože sme neprováděly ten

jinak je tam teda napsáno normálně co se snažila tato snažil ten to snažila kabinách

a dělat jenom normální napsáno že se třeba snažila přistoupit na ne C otevřít i

C P spojení

a že jí to třeba bylo zakázáno nebo že to prošlo protože to jenom to

křižovat tím režimu a právě na základě tyhleti houby potom ten gen prof tento projde

a nabídne vám co chcete do toho posun a přidat

takže doporučuji sledovat existuje i v bundu nějaká integrace do

takového ty vyskakovat singly sou vpravil

takže vám to umí potom případně jako nahlas vás to upozorní že se zavazovalo něco

kokos

co se týká pár moru abyste si to fakt všimli protože jsem říkal že tam

straší a díky ten disku char bublině mám to prostě řekne teď tady ping se

snaží dělat nějakou nestandardní věc

tak

máme ještě

čili času protože to ukázka je teda takle zkrácená v tom bodě tak

jako ukázku máte

si proud a

ne to není samo C proces to je normální modul v jádře

protože se vzala ano protože se zavádí ty profily

tam není vidět si tam nevím D

ale on se zavádí ty profily jsou zásadní bodu se načte někdy prostě na začátku

ale až prostě během startu systému se zavede to co je tedy do apparmor což

znamená že se že se pomocí toho parseru načtu všechny moduly a čtu chvíli začíná

starat ten apparmor o ty

o ty procesy které mají ty profily takže pokud se předtím ještě podaří něco nastartovat

nebo třeba se stane jako they že ten apparmor ty profily nenačte

a spouštělo by se něco s těch profilů předtím ještě aby si vzpomněl nemálo armor

tak pokud už něco běží třeba ten pin kůžemi pinka tak není kontrolován ani dodatečně

u neumíte práva jako by sebrat dodatečně připíchnu si pinka u si to na otvíral

ty sokety a užší dělá co chce a tábor modelu stojí a čeká jsou počítat

pak teprve jakoby nebo při dalším spuštění na něm teprve převezme kontrolu

to na to dominate na odpovědět já jako ne nejsem derivace do netušíme to funguje

tom jádře

je to možné no ale každopádně to takle prostě jen jako je s taky neumím

by se to je ten proces proč to také proč při

abychom na záznam řekl jsem měl při dodatečnému spuštění to apparmor u proč neumí převzít

tu kontrolu to neumřít s taky

tak ještě někdo nějaký dotaz tam

to bylo ideální možnost zkombinovat

víc tělesem do modu pardon

jo opakuju že je tady dotaz na možno S zkombinování více osum modulu to by

bylo ideální protože no protože by se dalo to doladit jednoduše ale nevím o tom

že by to bylo možné netuší myslím si že skutečně jako je možný jo

u tě jedno nebo druhý

tak jo tak vám děkuju na tom za pozornost a dobrou chuť

obědu vám přeju díky