I
dobré dopoledne jmenujete proč má s vybrali ste si že ode mě chcete slyšet přednášku
o
poslyš něco
v pohodě spoj tak jo a o a panuj a vždycky posílám aspoň dvě přednášky
si vybere vyberou lidi třeba jednu rovnici berou obě alespoň nešťastné že přípravu dvě S
takové na začátek tady jsem se před deseti minutama začal připravovat ten počítač a zjistil
jsem že minimum tu je ta imič na který virtuální detekci ukazovat i ukázky
takže sem tady zachraňoval snad se mi to teda povedlo zachránit snad něco uvidíte protože
to mám připravena že mám ukáže samozřejmě jak se ten apparmor
ovládá a k čemu je to vlastně dobré
tak
v linuxu asi tušíte jak funguje řízení práv
jsou v zásadě jenom west vtom normálním režimu nebo v tom výchozí v režimu
chtěla přichází další zde
skončil seznam asi po si
sou vlastně dvě možnosti buď ste normálním uživatelem takže můžete to co vám dovoluje dovoluju
práva na souborovém systému čili můžete zapisovat
do svého hubu většinou někam do tempu můžete spouště
nějaké příkazy zasekly který máte práva můžete si otvírat na síti nějaké porty na C
únavu do P můžete navozovat komunikaci ven můžete si
u sportu vyšší než tisíc dvacet čtyři nemůžete posílat nějaké speciální pakety nemůžete posílat i
centra je za normálních okolností a podobně to se uživatel a nebo se root rovnou
a to je ta druhá externí varianta tam zase můžete úplně všechno
to je poměrně nepříjemné protože bychom potřebovali trošku to řízení prázdný T nějak jako
specifičtější potřebovali bychom to rozlišit na jednotlivé aplikace
potřebovali bychom
prostě to rozlišení trochu menší
zejména je to nebezpečné případě S tady mám napsáno setuid dinárech to sou takové vy
náký které se provozují pod uživatelem který je vlastní ati spustí kdokoli
což se používá zejména k tomu že některé by nároky například
ping
aby o ho je to vidět trochu asi jo
aby mohl fx pouště kdokoli a nemusel být přitom root a přitom dostal ta práva
tomu soketu aby si mohl otvírat libovolná spojení a posílat licence paket je přímá tak
ping má tady vidíte esko místo X K to znamená že novej spustí i bytím
uživatel petr tak ping poviš bodů ten
takových binární máte systému poměrně hodně
záleží samozřejmě co máte za systém
mám problém napsat plus jo
ale
cink je program pro android tak si takže tady to třeba vypíše které by nároky
S
zdvihnu mají
esko
můžeme se o tom přesvědčit opět třebá
jo mount abyste mohli připojovat libová zařízení tak musí být root ose pak podívat ve
stavu jestli tomu máte práva ještě dál a případně vás vám to dovolit připojit
to je průšvih v případě že ten program má nějakou bezpečnostní chybu
třeba hypoteticky se může stát že ping bude mít nějakou bezpečností mezeru která skrz špatně
ušetřené vstupy vám dovolí ten pin donutit aby provedl něco co nemá ping za normálních
okolností přímé ati adresu nebo
doménové jméno případě si doménové jméno teda přeloží najdi adresu a začne posílat chcete pakety
ping na pojetí adresu poslouchá odpovědi by se vám tomu nějak informace nic víc ping
neumí a teda by neměl dělat pokud mě bude chyba vyhodím vstupem donutíte abych zavolal
X lomeno pí lomeno totéž a povede se mu po jeho kontextu tak se spustí
bash a protože se ta práva dělí tak ten by se spustí poceni právě jakoby
pinka ping sme si řekli že běží vždycky pod root
to je průšvih
samozřejmě podobná situace může nastat třeba u a pač E nebo u jakéhokoli jiného server
který dostupných menší kdyby ho do musíte třeba přes ten buffer overflow nebo jinak
udělat něco co nemá a
on vám teda zpřístupní třeba tu konzoly nemusíte se zrovna spadnu ten access případě toho
bleše ale prostě teda pardon poppingu ale prostě už dostanete řádku a nebo můžete provádět
nějaké věci které by vám ten server dovolit neměl zmenší
pardon
úspory
tak to je průšvih protože
normální systém prásklo neumožňuje ošetři a otázka zní jestli by vůbec třeba P nedělní zprávu
spouštět budeš
no já si myslím že neměl protože on to normálně ni nedělá čili proč mu
to právo dávat
ovšem spustit bash
má samotným linux úplně každý
každý uživatel ho principů mít musí
a rozlišit jestli omámí voči kterýho pak spouští nebo nějaký ten anebo má anebo ho
nemám ty nebo no nemám pinkston za normálních okolností rozlišit možné není
řešením jsou linuxe kryty modulus
koše nějaký univerzální frymburk do jádra nebo který součástí jádra který umožňuje přidávat do něj
bezpečnosti moduly tady věc já se vyvinula zase v roce dva tisíce tři protože na
začátku někde kolem roku dva tisíce dva tisíce jedná se začaly objevovat snahy takovou věc
do linuxu implementovat a
takový nej nejzajímavější první byl selinux
ale linus o by se nelíbilo že jsem se mnou samozřejmý spoustu věcí děláte
a řekl že to je příliš není to moc obecné že té konkrétní že to
tam nedá pak se začaly byla další ty moduly a tak se vymyslel únosem koše
vlastně sada nějaký zvuků v jádře se s každým místě kde se snaží aplikace vždycky
spustit nějakou funkci tak je možné tam pověsit nějakou další funkci toho sekli ty modulu
který může třeba prověřit jestli je to možné si tam aplikace to dělat může že
se době sou teda čtyři losova moduly v jádře apparmor se mnou sme k tomu
jo já s toho ty dva spodní vůbec neznám mluvím o těch dvou prvních ten
první používám ten druhý ne
používat armor je taková na straně otázka jaký rozdíl mezi apparmor na se linuxem
hlavní důvod prožitku apparmor
ten sig vážku selinuxu samozřejmě a jeho výhodou je že se ovládá velmi jednoduše a
vám tady ukážu teďkom později jak se to přesně ovládá jak to funguje že to
je poměrně jednoduché že možné to
za chvíli vysvětlit a budete to umět T u selinuxu si tím nejsem jistý že
to je takle jednoduchém selinux našel několikrát pochopit a je to poměrně komplexní věc minimálně
tam uvidíme no člověka černém klobouků R věci jsou zvlášť firma která se v nose
voni zabývá hodně ho tlačí a já bych třeba byl moc rád kdyby mi třeba
na příští mínus auto někdo připravil přednášku jak se za hodinu naučit selinux a já
věřím tomu že to je možné ale a opravdu jako nemyslím do ironicky pak bych
takovou přednášku dát viděl při by se dá třeba ten o tom selinuxu dozvěděl víc
ale
pro mě je to poměrně komplexní záležitost
která vlastně vyžaduje velkou integraci do systému protože spousta aplikací aby to fungovalo musí o
tom selinuxu vědět protože selinux přidávali blik procesům a souboru na disku I identifikuje soubory
pomocí a nodů na disku košile apparmor nedělá ten identifikuje programy jenom pomocí cesty jestli
za chvíli ukážeme
výhodou je že je možné bezproblémové selinux ladit za jízdy troše zásadní
principů je možné úplně oddělit sem boxíku to mám dlouhé víte
pěkný
S N boxy to je dneska hrozně moderní všechny prohlížeče uzavírají flash různé pluginy do
vlastního paměťového prostoru tak principu to umí ten apparmor že prostě libovolné aplikaci která vám
příjde vy nevíte co dělá a třeba ne neznáte
nemáte k ní zdá k nemůžete si přečíst nebo někomu ukázat podívej se mi na
to jestli to je vpořádku
nějaký splaj skype a podobně tak si to aplikaci pouštíte do systému dává ty vlastně
pola uživatelská práva tak apparmor vám umožní tu aplikaci na začátku třeba úplně zavřít že
u ne prostoru nemůže vyjít ven můžete si dívat co dělám nakrásně loguje apparmor všechny
akce které set aplikace snaží dělat
a vy můžete i potom povolovat jenom to co chcete
jo a samozřejmě s tím že uživatelsky přívětivý souvisí to že jak dole píšu za
málo práce budete mít hodně muziky
nevýhody a malym osum že souběžně uživatel ne si je běžný uživatel ne spravovatelný tím
myslím to že k němu nejsou žádné klikací nástroje které by vám třeba vyskočili jako
známe s takových těch personál firewallů z windows Ú jako tahle aplikace se snaží přistoupit
na internet dovolit ano ne a vydáte ano a je to takto pro armor neexistuje
neviděl se nic takového další věc že a farmu neumí práva zvyšovat umí jenom udavač
ruby čili jenom směrem dolů takže k tomu koutu tady píšu proto byly these nebo
setuid takže vy můžete tomu pingu musí zůstat ten setuid bit aby měl tento s
K práva vy potom ti apparmor M je moje seberete nebo částmi seberte takle co
šije ten postup který potřebujete
takovou drobnost renatce potřeba myslet pokud se apparmor nahrává jako modul až při zavádění systému
tak cokoli nastartuje předním tak on neumí hlídat
což umí potom vypsat S ve svém ve své stavové obrazovce to vám ukážu a
může se tam objevit informace o tom že je tam nějaký program kterému existuje tak
zvaný profil čili B apparmor oni G
ale teďko nehlídá protože nastartoval ještě třetí co Š se dá vyřešit vůči restartem systému
někdy ale stačí restartovat o službu aby znova na se za pláž o tom apparmor
opravdu čtu chvíli dívám ten apparmor běží
jsem říkal nemá žádný automat
a pozor důležitá věc jakmile začnete používat apparmor musíte myslet na to že ho používáte
protože se vám začne občas říct že vám tom systém bude straší
to znamená že nějaká věc kterou normálně používáte na jednu nefunguje a vy nevíte proč
volky koukáte prostě ty pak budete toho sto úplně zoufalý asi za týden vzpomenete že
jste slyšeli o a pan úloh kde se s ním hráli a podíváte se dolů
apparmor a tam tak grupy chyby zákaz a pak se říkáte no jo vydělat nepovolil
tady přístup k těm souboru
to je mimochodem ještě se vrátím tomu selinuxu největší zájem o selinux vždycky když se
díváte kde se co sem šel jsem vnucuje jak to vypnout
protože lidi selinuxu nerozumí já mu taky nerozumím
a třeba s stane se že vy chcete používat řezačku klíče cože úplně ultimátum bloku
se s z áčka kdo používáte se z áčku ještě hesla tak
neumíte S háčko a L ondra caletka tady bude tyhle věci přednášet dneska myslím že
dneska nebo zítra určitě tam je přednáška losses háčků
ano to se těší no a když máte selinux tak zapnutý tak třeba nemůžete bude
klíče nefunguje tu a pavel jsem se o tom s public sem který dělá frčet
on říkal ujasněte se normální tady tohleto vytřeštili byly a ty tomu stoly bilovat a
dobře takže bysme selinux ono to funguje
to že špatně ale samozřejmě a klobouk se nahlásí povídejte
a
ano
tak to restore kontext ano to pak říkal hotový ale jenom je třeba mu říct
aby si ty ten kontech obnovil tak no jasně ano ale prostě důsledek toho bohužel
je říkám bohužel já se to na ten seznam se útočím jenom prostě říkám že
test asi takový že lidi prostě se toho bojí a všichni leda jednu selinuxu že
úplně ale špatně že místo abys o naučili používat takže doufám že příště bude ta
přednáška před těžší
tak vopravdu jako tak vážně abych tomu teda viděl
tak
před jak ten jak se na pár more teda funguje já jsem to nazval že
tady jaderní firewall asi znáte to je nějaký
počítač nebo zařízení nebo software který je ve vašem systému který sleduje komunikace po síti
a podle nějaký filtru vydírá co projde a co ne a pardon funguje velmi podobně
ale není na síti samozřejmě ale je vlastně postavení jako by mezi jádro aplikaci a
když aplikace potřebuje komunikovat někam ten něco potřebuje připojit cena C celá noci na soubor
ni pár přišli na disku cokoliv ten kromě toho když tam něco počítá nebo něco
vypisuje na obrazovku pokud si napíšete hallovo tak tento nepotřebuje samozřejmě ale
cokoli složitější už ano tak vlastně potře požadavku jádra stuff potřebuje požádat jádro tu věc
jádro uvěří jestli ta aplikace to udělat může a provede to za něj pokud je
tam ten armor tak nastává ještě na vrstva on se podle nějakých pravidel podívá jestli
ste mu to dovolili té aplikaci ten požadavek dělat
a pokud ano tak to běžně projde pokud ne tak je to zablokováno zaurguje se
že ta aplikace sou to pokusil
jak už sem říkal ty aplikace rozlišují cestou poměrně jednoduše každý den každej ten soubor
má svůj vlastní profil ve kterém ten program který chcete aby apparmor hlídal atom profiluje
zapsáno jsou nebo sou zapsána ta pravidla je to jednoduchý textový soubor ukážeme si
tak výchozí chování apparmor u je nedělám nic
to znamená že pokud
nechcete nějaký program a argonem ovlivňovat tak mu nevytvoříte profiles takle můžete ten proces mazat
a v tu chvíli se ten apparmor oni nezajímá
jakmile vytvoříte být i prázdný profil tak se to obočí
a stane nastane klasický bezpečí stáv co není povoleny zakázáno takže jakmile vytvoříte prázdný profil
opět si ukážeme stačí napsat vytvořit soubor napsat lomeno begin nebo jo ta lomeno pí
lomeno bash a prázdné složené závorky tu chvíli ste vytvořili prosila amosovi program začne zajímat
a filtry jsou prázdné takže ten program nebude umět nic nebude umět komunikovat směrem ven
vůbec
pokud chcete aby uměl komunikovat venuší sem to výslovně povolit
co zase sem tady zpátky znova tohoto upozorňuju je třeba na ten okoukat předlohu se
pak objevují vyhlášky takže jakmile dejme tomu to S řezáč o může nastat podobný problém
pokud vytáhnete šrouby a po čase se rozhodnete používat klíče a nedá se mu přístup
do toho souboru nebo do těch souboru kde ty klíče jsou tak prostě to je
se začnu řekněme dostane a nebude to fungovat a bude vám tom systému strašit nebudu
se diví jiné věci budete na dál
a je to jenom o tom že stane nastavili
mutes právě ten přístup
ty profily jsou standardně uložené se to co apparmor de tam jsou textové soubory které
kde to je popsáno já budu ukazovat na ubuntu protože ubuntu dneska je distribuce která
velmi dobře a anebo používání na tom hodně staví tam vlastně podpora začalo někdy v
roce dva tisíce sedum
pro o objemu nátiskového právě aby ho zabezpečili takže na to mám to budu ukazovat
třeba já to udělám kdyby antoš
buďto je teda taky skoro debian ale
debianu ta podpora formuluje dost problematická jednu dobu byla rozbitá nebo taková pólu funkční pak
se to někdo snažil spravit a tak to úplně rozbil a tak snad s posledním
stack bude to úplně jako rozbité a teď je snaha to zase dá dohromady a
ale sem koukal tak se zatím tam nejsou úplně všechny peče v tom jádře a
byla fungovalo potřebujete post potrhat nejnovější verzi S webu a o pečovat jádru protože sice
v jádře jakoby poprat formuluje ale nejsou tam tento úplně všechny novinky a které jsou
zase ale v těch u život těch metrikách takže takto jako ničíš vám já si
chybí tohle autorita opomíjel nemůžete použít a podobně ale snímky to funguje velmi dobře
bluetooth standardně je několik málo profilů ty mám přijedou sou základní instalací dejme tomu jich
tam šest asi pokud chcete další tak si můžete ne toho balíček armor pro file
s a tam jich je spousta dalších
případně pokud chcete ještě jiné tak na webu apparmor nebo existuje loučka je walsh
počkejte takováto služba myslím ubuntu a tam je nějaký účet na kterém se vyvíjí type
ty profily takže pokud hledáte není problém prostě kde procesy můžete vytvořit ukážeme si třeba
pro opačným se sítě chrání apparmor páč a může typu cestou budu vyrábět sám vědět
co tam mám a mladi nějakou dobu a nebo může sáhnu po něčem jsou s
někdo připravil ušetřeno zdola tímto si druhá varianta
pokud chcete ubuntu ty profily vytvářet a opravdu s tím apparmor nechci to nechat com
výchozím stavu kdy teda chrání těch pár programů
tak slyším potřebuje ta anebo ústil s já jsem vtom té testovací vymýtit která možná
nebude fungovat že na jsou zase může upil schválené ty pro fans abychom že profilu
tolik nemělo abychom si mohli ukazuje se vytváří
tak ty soubory se jmenují normálně C T cestou takže když něco vzory je to
tak že by wget tak se nesvobodné nejvíce tečka pin tečka tak je logická v
názvech souboru být nemůžou takže tam sou takle tečky je to velmi jednoduchý textový soubor
který můžete buď editovat normálně třeba vjemem jako se děláme a ukážu anebo osum na
to nástroje které mám umí ten profil připravit
dosedl základu vypadá si takhle víte že to je poměrně jednoduché
tenhle profil se týká binárku lomeno v jednom elfů vymyšlené a ta má práva přečíst
soubor je to co se ptát
předčí si o přečíst a spustit kdy by
následuje přístup do pro do souboru uživatelském profilu do souboru slůvko adresáře teďka config do
něj je možné či je tedy možné číst obsazení a připisovat oni a je předtím
napsáno únor to znamená že se ještě kontrolu jestli ste vlastníkem toho souboru
to znamená že kdyby
kdybyste mě kdyby tam ne soubor byl kdybyste hnanice ta práva stejný měli na disku
ale vlastně obě někdo jiný dva to tam přes ten a parmou nepustí
že se ještě navíc kontrole spisy o fakt vlastníte
to je šikovné třeba u tempu jak mám lízaly výzkumem ten R V a prostě
pro jistotu i tak
stentu můžete sahat můžete číst psát přidávat do libovolný souboru v libovolných podadresářích proto si
dvě hvězdičky jedna hvězdička znamená soubory tady jedničky znamená soubory tady a kdykoliv huby
ale eště se kontroly zase vlastník takže i kdyby vtom tento měl někdo jiný soubory
vy tím prostě nesmíte apparmor mám tam přístupné na
vrátím se ještě po C putna čtvrtý řádek a pátý zále tím dovolujete přístup internetu
stream je
link
pro TCP jinými slovy čili povoli byste T C T tomu schůzce povolili tímhle ty
sítí provo zná dive čtyři a šest
následuje teda ten potom sme si řekli a tak mobility ty dvě čárky na konci
sou chyba
kapa byly ty jsou
tam se předává space předávají stejné parametry jako okapo byly u jádra jenom je to
se taky ukážeme je to vlastně zápis úplně stejný takže když nějaké aplikaci dáte jadernou
kapa byly to třeba jako tady otvírat se do sokety F na čem do sítě
tak můj musíte povolit tím ose barboru aby to opravdu fungovalo
zrovna tohle třeba potřebujete X
přesně tenleten řádek
tak to všech meta možné regulovat často jste viděli takže soubory čtení zápis použít tvorba
a jasně mapování paměti tam ještě jako síť
čili může tady ty ve čtyři šest kultistkou bude P náhodou pakety adresy je možné
tam i filtrovat to s nepoužívám ale nebo z dokumentace to je že můžete vyfiltrovat
třeba komunikaci po šiftu jenom proti nějakým server umnou podobně můžete to omezovat nějak podle
adres
můžete kostře možné mutovat
můžete
určovatele další práva jo jaká práva kam může jestli může ten program sahat na práva
na disku jestli může nastavovat
vlastníka práva souborům co může nastavovat může tom tam na masku na to přesně může
selhat takže můžete říct tenhle program má právo nastavovat stamp u souboru moje může nastavovat
práva ale jenom práva třeba skupiny jenom group na práva vlastníka napravo ostatní sahat nemůže
se tak nemůže mít takhle vlastníky kdyby byl root nový dopouštěl root který si to
sem řek ty věci může změnit ten profil ale prostě může tomu třeba říct že
tenleten konkrétní program když budu ten prostě nemůže měnit nemůže stát na práva u programů
souboru
kapa byly tyto sme si řekli a pak tam sou další věci jako přístup nad
vás a
a podobně tady na té stránce wiki apparmor net
lomeno jinde ztráta lomeno pro fallen kvičet popsaný celý ten
jazyk profilu
vůbec na té wiki je ta dokumentace ta je to takové ten projekt je celkem
jako se tak jako by výtoku překotně divoce takže ta dokumentace není úplně dokonalá bohužel
ale ty hlavní věci tyhlety které server ukazovat tam sou
tak
praktická ukázka
podíváme se teda na ty adresáře na ten to se apparmor D vytvoříme si prázdný
profil upravíme si ho myslím se sou je
a vyzkoušíme jestli to funguje
tak se ukaž kuben a výborně
podíváme se
nastav a statusy je první utilita víte že modul je připojen ale není připojený of
a systém
tak to nastartovalo vtom
záchranném režimu tak se nenastartoval ten apparmor tady vidíte že se připojuje notting víte to
sou vám je tady to nebudu moc z řeči ale toto trochu je vidět
víte že se tam unpin cyklit SSL jsem připojí nějaký svůj souborový systém kdo se
objevují
informace
o
poté o tom ste napadlo dělá ten souborový systém pro vás slušně není on
se tady je vidět potom to je ten com podivnou to a statusů pokud to
všechno běží
tady vidíte ty informace nemusíte hledat tom souborovém systému co vidíte víte že moduly nahraný
že to funguje fajn a protože to dlouhé tak jasný že to funguje víte že
u všech patnáct profilu na hraných
teď tudle chytnete ten výchozí stav ubuntu tam jich je patnáct teda vy víte vítej
sezná víte že sou performs modu
ty profily může být ve dvou režimech
jak se máte semene ten druhý ale jeden jako výkonný to je tenhleten kdy skutečně
sou vynucována ta práva těch profilů a druhý je testovací a ten funguje tak že
ten profil tam je
apparmor ani je ten profily natažený a používá se ale ne vynucují set pravidla jenom
sem obuvi jejich
překročení tak
čili pokud je tam C dejme tomu pravidlo
pro čtení někde disku ze souboru a ten program se pokusí přičíst tak pořád nic
se neděje pokud se pokusí přitiskne tak se mu to normálně povede ale apparmor to
zalomuje
a to se hodí právě chvíli kdy potřebujete odladit ten profil takže by připravíte nějakou
základní strukturu které si třeba miss když by mohla stačit a pustíte to ano tak
mi normální běží aby sledujete log co eště navíc naprosto třeba zapomněli utišíme to no
jo naše musí se to co samozřejmě ale ten program funguje ho nezadá žádnou chybu
jenom apparmor pouze louhuje
toho budeme používat za chvíli při automatickém vytváření těch profilu což je možné to je
to vytváření profilů těmi následky sem mluvil tady vidíte seznam profilu aktuálně a com play
mu tyto ano stěžovat či režim to je ten režim čili N for a com
planck on line režim je ten který kdysi ten apparmor jenom stěžuje důvodů ale ne
nezakazuje nikomu nebo tomu program nic
jeden s těch
pro s a jo ten poslední botto nula to je tam se objeví nějaké číslo
v případě že nějaký ten proces teda profil ale byl spuštěn ještě před apparmor M
čili apparmor vás upozorňuje pozor ten proces ale nehlídá tady je problém musí to restartovat
tak mrknem se teda do toho
adresáře
více teda že tady nějaké profily jsou je tady profil pro evidenci F alfo s
a tak dále ale ty jsou myslím design let
jo když na link budete do adresáře mizej bylo některých těch profilů to sedum linky
teda vtom
vy vidíte
vtom disable tak tukwila barboru bude ignorovat takže jenomže nemusíte poslaní mazat nemusíte něco v
něm o tom zakomentovat nebo tak stačí prostě uděl takle link
a ten restartnout apparmor a on na ten profil nebude hodit čili víte že jo
na to bych kde se fajn fuchs
nehlídá dost docela ještě zajímavý adresáři up strašim kde sou
já bych řekl že to jsou takové knihovny pravidel pro apparmor pokud chcete některou běžnou
věc třeba je tady paní ten uprostřed zhruba když se podíváte podle abecedy když chcete
nějakému jak aplikaci povolit přístup I Q to si třeba rozhodí nebo to mi ruby
samba podobně tak prostě jednoduše ta pingnete do toho jo profilu některý si souboru sto
podadresáře
abstrakcím
a tam jsou připravené ty sady těch pravidel tak aby to prostě fungovalo je to
odladěné aby ten platí prostě běžel můžete se musí do toho zasahovat můžete si to
sami upravovat nemusím že to dělat ty a nemusí to by slinkovat tohleto ta pravidla
právě sou tady protože to sou poměrně komplexní věci
můžeme si to potom ukázat
tak
já přemýšlím jestli
ale jo já vám to ukážu
normálně ručí tak můžeme si předvést nejdřív že na ping pinka
ping nám letinka neunaví síť
s a pro lodi další s tak to zkusíme jestli
se nám to povede
no network
tak se ukaž call budeme
tak co se teda mu vám to tady je problém co tady
no teda problém včera mi to fungovalo samozřejmě neska se tady běží v nějakém záchranném
režimu
tak
nevím jestli
zkusíme taková oblast no tohoto by mohlo fungovat
uvidím takový damping a uvidíme se nám nebude pinka režimu tohlencto zakážeme jo
spin eště jednou pinty takže se založíme ručně
bin tečka ping
dostali za informaci
nelze jo dobře
dobře
máte dvě na
no já se omlouvám prostě se to sypalo a
remote o volné server je tam R ven
tak nevím
prvek B na začátku
no to je pravda takže nemoudrého zkusíme
poradíte mi
takle
jo
tak uvidíme
jo
ráda tak by to mohlo fungovat
to je tak ten generálský efekt no říkal mladím železny
tak prázdný profil
vypadá takhle víte že tam ta cesta k tomu programu který se to řešit a
a závorky složené kterých je teda ten obsah
my si tam ten profil zavedeme co to vlastně nepotřebu rysem stejně root
apparmor pár se
mínus a jako a D a dáme by ping
tak
a
tak a tady to máme
čili vidíte že já jsem zavedl prázdný
prázdný profil pingu api na přestal pingl protože na tom nemá právě když je ping
pořád root
tak víte že ta benátkám nemá právo vlastně zničím komunikovat na nic aha ping teďkom
prostě neudělám vůbec nic
a aby to fungovalo
tak
můžeme si ukázat automaticky režim
to by šlo
no tak
tady není ani to není na céčko to se omlouvám
no
vypadá to asi tak vám to předvedu takle jako nasucho
ten program který vám může generovat ten profil je agent provoz čili genera apparmor generuj
profil mimo dáte jenom
cestu k tomu souboru
který chcete ohlídat a funguje to tak
že on pro ni založí vlastně
prázdný profil a přepne ho do toho stěžovat si ho režim
a zapamatuje si kdy to udělal a tady mám tady píše než začnete měl by
sis kontrolo že tamten dosazení protože vám o přepíšu
a teď byste měli začít spinkat
co šátek teda bohužel nemůže protože se na to z další terminál
jakmile budu pinkat a vtom lomu se začne objevovat i záznamy co se tam děje
proč ping nebo co se snaží P dělat jakmile skončím
tak budeme to pro skenuje
o to pro skenuje
samozřejmě ťkam žádný žádné a události tam nejsou
ale já to je naštěstí natahat napsané celý ten profil toho pinguje aby to fungovalo
takže o tom napíšu ručně
a on si ten moh projde a podle něj vlastně vymyslí zpětně ten profil tak
aby odpovídal tomu logů aby všechno co
se zamlouvalo
aby užší příště sem alokoval o eště mám to pěkně vypisuje prostě princezna že přesto
pitoma k tomu se tomuto povolit ano nemůžete to ještě ladit couře pak můžete kdykoli
ten soubor do editovat ručně
čili principy vtom že byste s tou aplikací měli udělat ideálně všechno co bys to
byste pozdě jakou běžný uživatel tak u brány uživatel té aplikace
prováděli tak aby ten pharmos i skutečně všiml všech přístupu ke všemu co
s u ho
no je pořád prázdný
aby si všiml všeho K ke všemu S se snažil ten ping přistoupit k čemu
snažil ten tým přistoupit aby mu to potom
do pro pozdější
práci povolil tak
include známé si
extract šáns potřebuje tam je nějaký based nějaký obecný základ
tak se na ni můžeme jít podívat
určitě potřebuje
není servis aby mohl bych přistupovat k
kde nechce jinak to nebude fungovat
eště součástí toho prostoru name servis je přístup na internet nalitý ve čtyři lety ve
šest
takže automaticky ve službě které dáte D nesku samotný pohled je přístup na síť
to můžete potlačit můžete si to nějak upravit že třeba D přístupná dense to znamená
pravdu přístup bude téčkem jenom na tedleten počítač nebo osude tečkovanou větších odpovědi stejně nestačí
takže prostě Ú D P T C P na tendle počítači ostatní potom budete muset
povolovat zvlášť když to můžete takle tak aplikace prostě může na síť
pak budeme potřebovat
povolit tu síť
se ui
setuid je tam republika proto aby mohl ten program zahodit své právo to funguje že
jo jako by to nejbezpečnější takže on provede na začátku tu potřebu jako root a
pak se ta pravá změní ná nějakého prostě uživatele já nevím nul nebo něco nebo
na vašeho uživatele a
aby pak push případě chyby nemohlo žádný problém dojít
a teď i zásadní
aby mohl
jo aby mohl ten
ten program si teda otevřít throw soket a posílat po něm ty pakety
svoje
nestandardní vlastně
tak opět o načteme můžete buď restartovat celý ten apparmor ale to je při úpravě
skutečné spočítat mínus rekord lout
honza semestru R rozpozná
cože
tak výstup tak dobře tak vám předvedu dostat
tak pěkně
jo to možná tak
bude
S tak je to dva
jo tady mám ukazuje že přeskakuje ten fans lososi slot
je tam sice se jo
ta sme udělali
tam eště totiž
na začátek patří
tam totiž mají připravené
ty profily tak takovéhle jako obecné věci
které
tu na druhé straně
co tam takové obecné profily které se předpokládá že budete dávat úplně všude účtu funguje
jo
a tak vidíte že by nám pinka je tam teda ještě tento unable set global
který se přidalo úplně do každého profilu na začátek a tam jsou nějaké
můžeme se podívat
jaká obecná pravidla
další které se přidávají jako přístup do procesů
přístupu hubu a podobně aby to aplikace aspoň ty základní P věci které prakticky umí
každá aplikace aby nebo potřebuje tak
aby měl
jo tady vidíte nastaví u třeba ještě se tam includu další potom zoom do tam
je tam celá
jo
tam je prostě celá zcela ten celý takový strom pravidel který se tam automaticky přidává
takle prostě to k tomuto standardně funguje neznamená to že to takle budete používat vy
když se podíváme na status tak už víte nahoře že už máme šestnáct profilů všechny
jsou teda sem furt modu a úplně nahoře printing
takle vypadá ten ping já jsem chtěl ještě před předvést vám jak vypadá profil soketu
ale protože bohužel nemám cit tak tady nemám co větnou to bych to abych to
předvedl ten profily jako podobný akorát tam chybí teda ta síť protože on síť dostane
přes ten M services
a dá se tam zase zapsat po ste viděli vtom
tady tom slajdu
že třeba já jsem zkoušel na začátku si tak je ten se něco do tempu
takže apparmor dovolí pingu pardon sem soupis ghettu zapisovat do lomeno todleto lomené deset omyl
N
stačí mu tam zápis right samozřejmě takovýto potřeby nějak s vůbec nic tak ideálně tam
napíšete že uvede lomeno tomuto lomeno hvězdička nebo výška hvězdička a stejně tak je to
tady k tomu tak mu prostě dovolíte tomu ghettu ručně třeba ještě zapisovat domů pravý
tomuto takhle
abyste si mohli opravdu stahovat něco humus to čemu jak říkám
de třeba reálná ukázka potom toho využití toho ghettu stačí mu vlastně zápis do
těch souborů
a protože on vlastně nepotřebuje nižší s takže i kdyby někdo se nějak prostě využil
třeba v nějakém vašem skriptů špatně napsaném zvenku wget aby vám třeba vyčetl nějaké informace
sou Ú nebo podobně tak jsem to nepodaří protože apparmor mu dovolí jenom
jenom zapisovat mši souboru protože to je to má stahovat a nemá dělat
žádnou jinou
zlobivost tak prozkoumání adresářů udělali toto jsme si profil automaticky vytvoří profilu se má teda
bohužel neukázal
ale nepřerušíme si bych to muka v nějakém jiném programu ještě
asi tečný nic rozumnou nenapadá
to asi to je já myslím že to chcete to ukázat na ubuntu tady nutnosti
na se
myslím že vám to takhle si snad doufám stačilo jo prohlédnutí voltů jsme ukázali ještě
ten blok je
tak takle vypadají ty jeho výkřiky do logu
pro file outs tady vidíte že se sem se snažil na ludva teda ten profil
jo jde totiž že neplyne výkřik ani nebudu
protože sme neprováděly ten
jinak je tam teda napsáno normálně co se snažila tato snažil ten to snažila kabinách
a dělat jenom normální napsáno že se třeba snažila přistoupit na ne C otevřít i
C P spojení
a že jí to třeba bylo zakázáno nebo že to prošlo protože to jenom to
křižovat tím režimu a právě na základě tyhleti houby potom ten gen prof tento projde
a nabídne vám co chcete do toho posun a přidat
takže doporučuji sledovat existuje i v bundu nějaká integrace do
takového ty vyskakovat singly sou vpravil
takže vám to umí potom případně jako nahlas vás to upozorní že se zavazovalo něco
kokos
co se týká pár moru abyste si to fakt všimli protože jsem říkal že tam
straší a díky ten disku char bublině mám to prostě řekne teď tady ping se
snaží dělat nějakou nestandardní věc
tak
máme ještě
čili času protože to ukázka je teda takle zkrácená v tom bodě tak
jako ukázku máte
si proud a
ne to není samo C proces to je normální modul v jádře
protože se vzala ano protože se zavádí ty profily
tam není vidět si tam nevím D
ale on se zavádí ty profily jsou zásadní bodu se načte někdy prostě na začátku
ale až prostě během startu systému se zavede to co je tedy do apparmor což
znamená že se že se pomocí toho parseru načtu všechny moduly a čtu chvíli začíná
starat ten apparmor o ty
o ty procesy které mají ty profily takže pokud se předtím ještě podaří něco nastartovat
nebo třeba se stane jako they že ten apparmor ty profily nenačte
a spouštělo by se něco s těch profilů předtím ještě aby si vzpomněl nemálo armor
tak pokud už něco běží třeba ten pin kůžemi pinka tak není kontrolován ani dodatečně
u neumíte práva jako by sebrat dodatečně připíchnu si pinka u si to na otvíral
ty sokety a užší dělá co chce a tábor modelu stojí a čeká jsou počítat
pak teprve jakoby nebo při dalším spuštění na něm teprve převezme kontrolu
to na to dominate na odpovědět já jako ne nejsem derivace do netušíme to funguje
tom jádře
je to možné no ale každopádně to takle prostě jen jako je s taky neumím
by se to je ten proces proč to také proč při
abychom na záznam řekl jsem měl při dodatečnému spuštění to apparmor u proč neumí převzít
tu kontrolu to neumřít s taky
tak ještě někdo nějaký dotaz tam
to bylo ideální možnost zkombinovat
víc tělesem do modu pardon
jo opakuju že je tady dotaz na možno S zkombinování více osum modulu to by
bylo ideální protože no protože by se dalo to doladit jednoduše ale nevím o tom
že by to bylo možné netuší myslím si že skutečně jako je možný jo
u tě jedno nebo druhý
tak jo tak vám děkuju na tom za pozornost a dobrou chuť
obědu vám přeju díky