Přepis řeči - SCAP: Otevřený standard pro bezpečnostní audit

0:00:15	bezpečnostního by
0:00:16	to může znamenat hodně věcí může to znamenat to že vám docker nepříde
0:00:21	a hasiče a zkontroluje části přístroje
0:00:24	a může to tak poďme na to že vám někdo běží
0:00:28	nějaký démon nebo sbíráte lovit co teda tom vašem systému děje
0:00:33	může to být taky to že a do vašeho prostředí a dáte s
0:00:39	s nějakou sondu do vaší sítě
0:00:42	a z ní zbyla té logice se co se tady ještě síti
0:00:45	a může to být audi že zaplatíte si kontraktor a který se vám bude snažit
0:00:51	a
0:00:52	prolomit
0:00:53	do vašich systému můžete to považovat za vody tak toho co
0:00:58	tohoto tomuto se prostě věnovat teďka nebudem bude se věnovat
0:01:02	tomu auditu kdy
0:01:05	když se podíváte na tu mašinu olízněte si ji nastavení aktuální stav
0:01:11	řeknete a
0:01:12	ano
0:01:14	to nastavení je v souladu
0:01:15	s tím co bych očekával nebo s tím co říká moje politika
0:01:19	takže taklenc i frekvenci omezíme
0:01:23	to doménu a
0:01:26	na začátek vám tady ukážu
0:01:28	ano
0:01:31	krátkou ukázku jak může vypadat to výsledek nějakýho takovýho auditu
0:01:38	budem se dívat na
0:01:39	a potom ale report
0:01:42	tady a
0:01:45	vznikl právě auditem jedna konkrétní mašiny podle nějakých pravidel to se pak dostaneme
0:01:51	které dál
0:01:52	co ty pravidla byly
0:01:54	no a vidíme story potom nějaký meta data a co tam a mašina je zájem
0:02:00	a co bylo tím vstupem kdy proběhl ten audi
0:02:05	teďka nám to nějaký o
0:02:10	samary
0:02:12	řekne česky
0:02:14	a
0:02:17	nějaký souhrn vidíme šestatřicet pravidel teda a nebylo s abys
0:02:23	ale
0:02:27	a
0:02:29	takže nešije mašina je docela ne komponent
0:02:34	a s ohledem štyři pravidla a
0:02:39	jsou považovány za závažná
0:02:42	a vidíme tady nějaký detaily můžem si třeba že nás nezajímá
0:02:46	zajímají nás výsledky jenom
0:02:49	no fail i měli bysme
0:02:51	teda vidět jenom dvě pravidla který se nuly poďme se podívat na nějaký jedno konkrétní
0:02:56	pravidlo bysme zjistili
0:02:58	co teda a
0:03:00	že by tím pravidlem
0:03:05	třeba tady to
0:03:07	pravidla se menuje obě s
0:03:09	a správné a
0:03:13	když
0:03:15	práva na souborech
0:03:17	ano děkuju jo to pravidlo cash tím nějaký id
0:03:22	a nějaký výsledek čas kdy k němu došlo
0:03:26	jsou tam nějaký meta data ty odkazy který tam vidíte
0:03:29	tak ty jsou hlavně pro armádu prvou provoz vládní zaměstnance kteří mají pak jako by
0:03:37	i
0:03:38	oni si najdou pod tím číslem něco to pro ně znamená
0:03:42	pro nás to není zas tak důležitý
0:03:45	ale máme tady nějaký popis
0:03:47	někdy tam bývá i o
0:03:51	odůvodnění proč takový pravidlo je dobrý
0:03:54	je dobrý mít
0:03:55	a máme tady ty detaily těch položek který neprošli
0:04:00	takže vidíme že třeba z balíčku pojmem proxi
0:04:04	a nějaké verze
0:04:07	nějakej soubor a teďka to teda jako dat provést že teda staral jsem zjistil včera
0:04:12	s tím něco dělat
0:04:13	co to bych date a tak se to nevejde najednou brzo
0:04:19	no a
0:04:20	a tady teda řekli že když dítě
0:04:23	přístupový oprávnění ne nesouhlasím s tím se bavim databázi rokem databáze jistě víte a asi
0:04:29	ukládá o
0:04:32	spoustu věcí o tom nainstalovaný softwaru třeba check some toho souboru a přístupový pravá
0:04:40	šunka
0:04:41	skupinu vlastníka a tak dále takže když se to liší
0:04:45	dost možná že to není dobře
0:04:48	a
0:04:50	tak
0:04:53	to bylo teda ukázce jak jsme tušili
0:04:55	samozřejmě že vás hnedka napadá že takovýto přístup k tomu auditu má spoustu omezení
0:05:00	a lží že budou věci který tím to ověřit nedo nedokážou takže prostě na některý
0:05:07	věci aby se ověřili tak potřebuje si k tomu skutečně člověk sednout a zapřemýšlet
0:05:13	o co vlastně tady ty komponenty když dám dohromady znamenají a jaký můžou mi zranitelnosti
0:05:19	nebo naopak musíte nutně spustit nějakej prográmek ověřit
0:05:23	že se něco děje
0:05:25	o a my mu nestačí si jenom tak olíznout stav
0:05:28	sta
0:05:29	toho systému
0:05:30	nicméně
0:05:33	a
0:05:35	přesto tady ten tady ten přístup tom auditu ještě vás široce nasazovány
0:05:40	a zdá se být užitečné ji aspoň teda pro ty úředníky kteří tak to umí
0:05:45	tak oběť krku ty no
0:05:48	a
0:05:49	teď se teda
0:05:52	vrátím k tomu
0:05:54	teď vám řeknu teda určen bude ta přednáška
0:05:56	a
0:05:59	bude toho standard ruska
0:06:00	který standardize celou tady tu problematiku
0:06:04	a na začátku si té řekne něco o tom standard do
0:06:07	a pak se podíváme co existuje za open source nástroje kterým plentou ten standard a
0:06:13	je to je které můžete použít a kde všude
0:06:17	budu rád když budete mít kdykoli nějaký otázky a
0:06:20	jsou strašně na za hloupý otázky protože půjdou do hloubky
0:06:24	jo
0:06:26	takže a
0:06:28	americká vláda protože je to poptával velký množství bezpečnosti ať už to teda znamená cokoli
0:06:34	a rozhodně ne sich ty spíš to si kryty
0:06:37	tak a oni zjistili že
0:06:40	když bude každý ke každé ikei každej den úřad poptávat bezpečnost zvlášť takže dojdou k
0:06:46	tomu že mají hodně robin prostředí
0:06:48	eště konta kteří postupně jakoby
0:06:51	vezmou ty dolary a pak zkratku jo a není myslej se dohledat
0:06:57	a zjistili teda že kdyby měli nějaký způsob jak standardizovat na voběd že ne že
0:07:02	by to nebylo vůbec špatný
0:07:03	a vznikla rodina standardu který nazývají skla
0:07:07	řekli ty kontent auto myšlenka
0:07:10	a
0:07:13	ten standard to umí
0:07:17	spravuje
0:07:18	a nist nešlo není se tuto standard se technolo ti
0:07:21	cože
0:07:24	kousíček ministerstva obchodu
0:07:27	a
0:07:30	určitě vám něco říká všimli jste si na těch louku loga jak je tam ta
0:07:34	vždycky to fajfka jako že to jako pohodě
0:07:37	a
0:07:38	určitě znáte zkratku celé všechny zranitelnosti jsou
0:07:43	obalený tady tím štítkem
0:07:45	common vám nervy lidé numerics všem oni si prostě řekli že by bylo docela užitečný
0:07:50	mít která všechny ty zranitelnost nějak očíslovaný aby se s nima jako první přiblížení aby
0:07:55	se s nima nějak dal pracovat
0:07:57	takže
0:07:58	pro číslování
0:08:00	podstatě sponzoruje americká vláda roků
0:08:04	blahu
0:08:05	všech
0:08:08	a ty ostatní standardy možná
0:08:10	třeba cvt té celé se s
0:08:13	debatu je se washington o tom že jako by pije zařizuje někteří úsek chystají že
0:08:18	půjdou do té exekuční komise s těma puška má zaříznout i standardy
0:08:22	nicméně obal a to je nejstarší část
0:08:26	možná někteří znáte s slyšeli jste někdy jo o oválu
0:08:31	a kdo slyšel oválu a nezná mě
0:08:33	dobře
0:08:36	oval je jazyk pro
0:08:40	a
0:08:41	pro popis toho stavu na té mašině
0:08:43	podstatě i když to zjednoduším tak obsahuje tři sekce a jaký testy objekty aspekty pes
0:08:51	to dávat dohromady objekt rastry říkají jak se k sobě budou mít jestli
0:08:57	všechny objekty musí na čele pomozte je tu nebo musí aspoň jeden objekt meče uvedeným
0:09:02	jste je to
0:09:03	a objekt objekty definuj o
0:09:06	něco co na najdete na té na té mašině typicky to může být třeba soubor
0:09:10	můžete zadefinovat si jo by nějakým bylo v
0:09:13	regex ten
0:09:14	a stej říkala
0:09:16	jakým stavu ten soubor bude
0:09:18	nebo nemusí to být nutně soubor do souboru jakým stavu bude třeba že v něm
0:09:22	najdete takovej a takové volání věc
0:09:25	nebo
0:09:26	že bude vlastně nechápu jak
0:09:29	a těch možností je
0:09:30	mnoho
0:09:32	a hned tím na tím s standarty křísit je který nám
0:09:38	ještě bych mohl říci je teda
0:09:39	všechno za to xmlka a to co tady vidíte to jenom takový výseč který zrovna
0:09:44	matonky
0:09:46	spoustu různých soustav standardu který nemaj ikonky a proto se neil slouží byt na tom
0:09:50	slajdu
0:09:51	ale
0:09:53	a všechno co to xmlka
0:09:56	i křísit jako jak jsem zvolil
0:10:00	konfigura výšin check list deskripční formát
0:10:03	nedělá nic jinýho
0:10:04	nešiď že v něm napíšete check list to co dřív auditoři na měli namespace papíru
0:10:09	a říkali
0:10:10	tak jo tak ten systém musí splňovat tady děje deset položek
0:10:15	tak to napíšete do toho do to xmlka
0:10:18	poté
0:10:19	to něco nezdá k ničemu dobrý ale on vám umožní rámci toho jednoho souboru nadefinovat
0:10:25	bych sem zní profilu
0:10:27	a ty profily pak ještě zvenčí můžete měnit
0:10:31	máte tam napsaný
0:10:33	všechny o
0:10:36	to mi křísit jako to je hodně jakoby zaměřený na člověka že tam jsou ty
0:10:40	údaje pro toho člověka co tam jsou tam ty vazby na ty ostatní standardy
0:10:45	a neřeší se vůbec jak se ten čip má jak se ta kontrola pravidlo na
0:10:51	má provést podstatě je to jenom co to meta data o tom
0:10:55	a výhoda vtom je teda takže že se to rastrové zpracovávat
0:10:59	no
0:11:00	pecka pověz nandat je docela složitý složitej tak sem vám tady aspoň aby jste se
0:11:05	nenudili udělal takovej náčrtek
0:11:07	a
0:11:09	já si to představuju tak že ty vy
0:11:12	že když se podíváme do nahoru do té do té horní části takže že ty
0:11:18	standardy můžem uzavřít do takových tři tří skupin
0:11:21	když sou tam pak jakoby další který ten úplně nesedí
0:11:24	ale taky jsem proto neuvol neuvedl
0:11:26	a
0:11:28	a
0:11:30	s klíčem je skutečně mi ten check list
0:11:33	a ten se pak odkazuje na nějaký jazyk který se nazývají
0:11:38	assessment len a len dojeď venkově děje s
0:11:41	a o tom obalu se mu se mluvilo cejl
0:11:44	je vpodstatě xmlko který máte dotazník to znamená že spustíte ten skript scan
0:11:51	co ten scan může co má pomalu tak
0:11:55	taxi lízne stalo systému a pak se vás třeba zeptá a je to skutečně za
0:12:00	zavřenýma dveřma
0:12:01	a
0:12:03	a za zamčeným a aspoň je to takový je takový kritéria
0:12:08	takže ty je to strašně u úsměvný jako ve světe světě cloudu že by skutečně
0:12:12	ten audit a přišel a vyplňovat a noci jo
0:12:15	jenomže zákazníci to třeba chcou kuli stíhačkám protože tam je najednou těch
0:12:19	těch věcí co ten člověk musí jako zkontrolovat
0:12:23	co jakoby víc takže by se jim kdy jako hodilo kdyby to měli tom sklepu
0:12:28	zcela je jen naše
0:12:32	a naše opel jsem se ví nestandardní vylepšení
0:12:37	a kdy my s
0:12:39	a byste nemuseli startoval tak stačit
0:12:42	napsat šel skript nebo padni skript nebo vy
0:12:45	a aby si to lízlo ten systém a řeklo to teda je to pohodě nebo
0:12:49	není to pohodě
0:12:50	a
0:12:52	zákazníci to mají docela rádi
0:12:55	já jsem si vždycky myslel že ten ovál oni udělali takle jako těžkej že musíte
0:12:59	psát skutečně
0:13:00	deklarativně způsobem xmlko
0:13:03	a ještě se navzájem na sebe odkazujete nějaký mají dětí teďka mají to je to
0:13:07	je to fakt jako by těžký to psát jo
0:13:10	a říkal zase tak jo tak je to kvůli tomu aby ten skener nebyl bezpečnostní
0:13:14	hrozba
0:13:15	aby samy o sobě to ten skener prostě jinam
0:13:19	vzal deklarativní popis a mohl si leda olíznout
0:13:23	olíznout ten stav toho systému nikdy by nemohl spustit žádnej šel skript ani ten s
0:13:27	takovýho no
0:13:29	bohužel jsem se před měsícem dozvěděl
0:13:32	o to lidi ve washingtonu že to bylo kvůli tomu že jedna ta organizace státní
0:13:38	dostala
0:13:39	dostala peníze na vývoj dva standardu
0:13:41	a že si dali jako zadání aby to nebylo rozšiřitelný
0:13:45	aby dostali peníze příště znovu
0:13:47	no
0:13:49	no a ty jenom dyšen stack to sou nějaký
0:13:52	nějaký číselníky
0:13:54	a
0:13:56	každý ten standard na jaké kdo komu nějakej formát která všechno soudek sem na a
0:14:02	některý ty standardy definují chci říci formátu to není důležitý
0:14:08	zajímavý je že ve verzi jedna dva poslední skopové verzi
0:14:12	se podařilo říct dvouma file formátama
0:14:16	souborový formátama
0:14:18	který includu všechno ostatní
0:14:21	takže si vystačí teze dvouma cože rozhodně zlepšení pro kohokoli kdo
0:14:26	kdo to používat
0:14:28	no
0:14:30	tomuhle jsem tady je připletl
0:14:37	abych se mohl napít
0:14:39	no a teďka pudu k tomu
0:14:41	se teda ten open source svět my sme malinkatá a malinkatý tým brně
0:14:46	a začli jsme tím že sme si řekli tak dobře
0:14:49	scott to zní dobře
0:14:51	tak poďme to teda naimplementovat opensource
0:14:54	a
0:14:57	začátku byl teda ten requirement uděláme céčkovou knihovnu aby to kdokoli mohl používat protože zákazníci
0:15:02	to budou chtít a budou si chtít psát skenery
0:15:04	uděláme céčkovou knihovnou nazveme tou ten scan a bude to implementovat
0:15:11	ten standard do posledního kousíčku a bude pude na tím postavit editora skener a
0:15:17	bůhví co ještě no a co se nestalo nikdo nepřišel a nenapsal skener
0:15:23	tak sme si řekli tak asi bude dobrý kdyby jsme si napsali my
0:15:27	sme si napsali skener
0:15:29	a
0:15:33	dobře tak já
0:15:35	a pudu na další slajd a k těm ostatním
0:15:38	ke všem těm projektům jako by pak řeknu a možná ještě k nějakým dalším
0:15:42	a heslo
0:15:44	a vlastně se mu
0:15:45	se bavil o tom openscapu
0:15:47	ano pře
0:15:51	já můžu zkusit
0:15:53	třeba
0:15:55	třeba nainstalovat vy to určitě vzadu nevidíte že jo
0:16:07	no
0:16:10	jenom abyste se toho jakože nebavili tak já nainstaluju ten scan
0:16:15	a
0:16:17	podíváme sice zítra
0:16:19	jakoby nainstaloval s tím skenerem
0:16:22	a vidíme že se nainstalovanou ten skener jeho manová stránka
0:16:26	no
0:16:28	a tady jsou nějaký složitosti tak do toho bych jako by nezabíhal jo
0:16:32	ale
0:16:34	ale důležitý je že prostě najednou máte skener a ten skener vám umožňuje
0:16:39	a knihovnu
0:16:41	a můžete s tím zima s těma s těma file formátama jenom s jakubem všechno
0:16:45	té doby
0:16:47	no dál
0:16:49	tak s ní ta komunita protože chtěl moje vám skener testování byste měli nějakou baseline
0:16:54	kraje
0:16:56	check list benchmark
0:16:59	a takže
0:17:01	kdo bude psát tu bezpečnostní politikou
0:17:03	a
0:17:06	společně s tím jak vláda spojených států si vem sázka
0:17:10	tak vy vyšel zákon tryska
0:17:14	všechny vládní počítače budou splňovat takovou jakou politiku a jaká politika to bude to říká
0:17:20	next a nist
0:17:22	začal vydávat nějakou politiku
0:17:24	no
0:17:25	jenomže oni jsou strašně pomalý
0:17:27	protože
0:17:28	vláda jako pí
0:17:30	ona je nesmrtelná a na prostě nespěchá no
0:17:34	takže vznikl open source projekt
0:17:37	ktery
0:17:38	který se snaží vytvářet tu politikou
0:17:42	aktuálně a
0:17:44	máme teda
0:17:46	takous politikou od vlády prodal pět
0:17:49	máme báječnou politiky od komunity prodal šest
0:17:53	velice brzo bude pro vás sedum
0:17:55	a pracuje se na police pro fedoru
0:17:59	a kdokoli může přispět na tomhle projektu zajímavý o to že tam přispívá daleko víc
0:18:05	lidí co mají prověrku nižší než těch lidí co nemají prověrku takže už jenom to
0:18:10	když budete sedět na tom mailinglistu poslouchat
0:18:12	tak si mysim že se vám vyvrátí všechny
0:18:15	všechny ty paranoidní představy o tom o tom a tom velkým bratrovi
0:18:20	protože
0:18:22	tam jako by ti lidi se nesá nastavujou veřejně tu politiku pro ty vládní počítače
0:18:28	a hádají se proč tom aby tak nebo onak
0:18:31	a najdete v tom chyby
0:18:35	dobře
0:18:41	já teda s dovolením
0:18:43	mám fedoru jo
0:18:45	ale mysim si že není problém
0:18:47	si kliknout za ten odkaz a dostat si to je na ubuntu
0:18:53	no
0:18:54	se nám teda nainstalovalo
0:18:57	hromada xmlek
0:18:59	většinou tady jako bejt xmlka mají třeba tři sta kilo bajtů
0:19:03	a můžete to otvírat doma ale
0:19:08	no nevím no
0:19:11	o oscap vám řekne co si o tom co si o tom xmlku
0:19:15	o myslet já tady mám trošku možná
0:19:18	takovej vytuněněnej vytuněný prostředí
0:19:21	takže
0:19:23	sim takle
0:19:24	on vám řekne co je to tereza ten formát
0:19:28	co vtom jako vidí
0:19:31	můžete spustit nějak ten scan
0:19:33	to bych mohl nakonec udělat
0:19:39	říct že chcou result i ty kam
0:19:44	patentů
0:19:50	chcu vidět report
0:19:53	tak ten kouř
0:19:57	no a ono se to na mě zlobí
0:20:04	tak a to bylo rychlý a to bylo rychlý protože já jsem si nevybral žádnej
0:20:07	profi
0:20:08	a myslím si že tady to začíná být složitý
0:20:11	a to jsem právě chtěl aby vy jste viděli že to složitý
0:20:17	hoši
0:20:18	tak jo usušte něco dělá
0:20:21	pak s tou vidím teda to pěkný a to mohl jak jsem viděl na začátku
0:20:27	to bych teda ještě mám ukázat
0:20:29	vše to tam jako fakt je
0:20:37	co na to tam fakt je
0:20:40	no
0:20:42	dobře poďme potopit nedal zatím žádný otázky všechno je jasný úplně to poslední
0:20:48	jo
0:20:49	té doby
0:20:51	a mimochodem do těch projektů se dá jako přispívat
0:20:54	to jako není vůbec žádná elitářské host tam může každej
0:20:59	a
0:21:04	co dělaj ty čekej
0:21:06	jo
0:21:08	tady tohlenc řeknu takle jo
0:21:12	jo a
0:21:14	tam sou
0:21:16	tam i toho zoufale málo pro tu fedoru
0:21:18	no ona je nějaká odlišnost
0:21:21	toho jak ty radši kov a ten rhel šest a jak řekové pro sedum třeba
0:21:24	kvůli systém ví že spoustu těch pravidel je o
0:21:29	poďme tohle instalovat poďme tohle vypnout poďme zajistit že tohle je vypnutý poďme za jistěže
0:21:34	že takhlenc featura je vtom konfiguráku zakázaná to je většina těch pravidel
0:21:39	a je tam třeba nějaká pro za proč tomu tak
0:21:41	a některý věci se prostě na nej různých systémech dělají na takže to chce trošičku
0:21:47	si sednout a říct koukej tohlenc i dobrý ještě ji pro tu fedoru
0:21:51	nebo ve fedoře teďka máme
0:21:53	něco jinak takže ta fedora cool a nedaří se nám prosadit to že teda poprvně
0:21:59	fedoru a pak teda vy protože voni přídou ti ty kluci stanovené s řeknu prostě
0:22:05	aby si tady bude za ten rhel sedum jestli to chcete
0:22:10	a
0:22:15	jo a
0:22:17	ty vyprostili tech těch profilu jako by pak víc
0:22:21	a některý z nich musí jako bys požadavků jako skoro bych řekl zákona vycházet s
0:22:27	common kritéria že když pak aplikujete ten profil tak byste se měl trestat do toho
0:22:32	common kritéria a
0:22:35	ne vždycky tom myslíte jako že lidi jsou omylní
0:22:41	a
0:22:44	jo toto tvrzení dělané na ráj sedmička common kritéria bude brzo
0:22:50	ale já su na vás a máme
0:22:52	říct víc asi
0:22:55	a na
0:22:57	ten občanská samotnej a jak je program a
0:23:02	pro všechny kdo implementuje oni co se s chlapem a pojďte před se certifikovat
0:23:08	takže my sme s tím open
0:23:10	projektem open source co vím a proč lidi na týden trvalo to asi rok kdy
0:23:16	přišel prostě třetí strana nějaká laboratoř a šla prostě
0:23:21	řádek po řádku dostane dva zkoušeli různý věci
0:23:25	a trvalo rok a teďka jakoby mám máme ten náš kód based publikovány
0:23:30	takže jí tolik docela dobrý že sem pak se dle vo měsíc jsem to přepisoval
0:23:35	ne
0:23:36	jste si to nechcete
0:23:51	já myslím že uši na to že když ty počítače mají stejnou konfiguraci že to
0:23:55	jako je docela dobrý
0:23:57	a vy nekontrolovatelný to prostředí
0:24:00	a je to rozhodně jako kvůli těm kuli těm vrstvám
0:24:03	jenomže
0:24:05	a
0:24:07	aktuálně ta technologie má nějaký a
0:24:10	omezení a přesto vidíme
0:24:12	a přesto vidíme nejen ty vládní a armádní a
0:24:16	a kde všude mimo zemi
0:24:18	počítače to používat tak vidíme je to že komerční sféra produktu je dokonce komerční sféra
0:24:23	evropě
0:24:25	a rusku a
0:24:27	a soustavy o to začíná používat takže nějakým způsobem
0:24:32	je já bych se na tak já bych jakoby na tím ne filozof volal podíval
0:24:35	bych se jakoby na ten svět takže jako vidím a
0:24:38	ten svět to vidí jako dobrý
0:25:00	jsou tam i užitečnější pravidla ale
0:25:04	hodnota jakoby tohodlenc je že když máte ten standa tak se s ní můžete posouvač
0:25:09	máte to open source implementaci tak se můžeme posouvat
0:25:12	a my se snažíme jakoby do všech možných sečteme nejsme nástrojů tohle dostat
0:25:17	aby to tam bylo
0:25:19	a tu chvíli
0:25:20	a se s tečkama ne například můžete napsat jakýkoli pravidlo tam skutečně si můžete udělat
0:25:25	pravidlo našel šok a spustit ten skrip který vám uvěří šel a když má ten
0:25:31	skript jakoby padne tak budete vidět ty cizí věku že padl
0:25:36	a bude ten oblasti červeně modrý jako dobrý červený
0:25:44	jo o
0:25:45	je vtom je vedle standardu je dokonce i nějaká sekce jo
0:25:49	oprava automatického právě sketo modem addition
0:25:53	mi to implementuje
0:25:54	ale zdá se že zákazníci se jakoby docela bojí no to pouštět
0:25:58	on se nebojí po upustit puppet co vám dám podstatě to stejný ale tohlenc jakou
0:26:03	bojí a chtěli by to být interaktivní takže to je pro nás
0:26:06	vás asi a sloupec na podzim můžete vygenerovat na základě toho reportu si můžete vygenerovat
0:26:13	třeba šel skript co bych měl spustit a podívat se na ně na yum a
0:26:17	některý ty pravidla to tady dokonce mají tady je krát
0:26:22	a
0:26:23	některý to tady budou mít třeba i napsaný a nevím
0:26:27	já zas nejsou plně přes ten
0:26:29	ten kontent ale jo tady máte deme dyž nízké takovej jako není no
0:26:34	ale je tam
0:26:36	a měl petra fungovat
0:26:40	no
0:26:41	chtěl někdo se chtěl zeptat
0:26:45	dobře tak jdeme na
0:26:49	oboru bench je grafický prostředí na velice lehkou erik editaci které my říkáme ty lowing
0:26:56	to není vyšívání to je spíš taková klíčový na no
0:27:00	a
0:27:01	a
0:27:03	je to normální grafický klikátko korkové tečka
0:27:08	jasně tady mám nějaký screenshoty můžete se prostě podívat
0:27:11	a
0:27:12	na tu na tu politikou vybrat si nějakej propil ten takže tady vyšetření protože zrovna
0:27:17	skenujeme nebo zrovna do byl nějakej scan
0:27:20	vyberete si ten profil řeknete chcu lokální mašínů zkus to
0:27:24	nebo můžete přece za háčko si za kliknout jako vzdálenou mašinu scanovat podívat se na
0:27:30	ty result i
0:27:31	takže jakoby na to první seznámení s tím stropem to nemusí být špatná volba
0:27:35	a dokáže to by ty profily editovat
0:27:39	kdy mám to otevře celej ten stromeček to dokument o to xmlka
0:27:43	vidíte tam všechny ty meta data můžete si říct dobře tak
0:27:46	tohle proměnnou co nastavit jinak nebo tohlensto zpravidla nechcou protože
0:27:51	tady na tom dopředu hru prostě to musí byt povolený kvůli aplikaci takže a
0:27:56	ta vaše editace se uloží jako malinkatej ty lowing file a
0:28:02	a vy pak se můžete rozhodnout mít prostě nějakou a common baseline
0:28:07	sta řekne
0:28:10	nějakou za sám základní
0:28:12	společně společnou politiku
0:28:14	a
0:28:16	spoustu ty lowing souboru který něco zapnul něco vypnou pro různý mašiny
0:28:22	a ten bod bench eště to umí uložit do prkýnka
0:28:26	cože užitečný když ste té pak jako by to tady pole no tak
0:28:30	všechno máme marjánku tak poďme mít i
0:28:33	bezpečnostní politikou prověrku pak můžete mi té bezpečnostní politice
0:28:37	i pravidlo že teda se ověří
0:28:40	a
0:28:43	že ty že ste nikdo nezměnil je docela of pak jakoby check k ničemu protože
0:28:49	se za kolik za domácí úkol čemu proč pršet a k ničemu
0:28:52	no a
0:28:54	smysl svezl ty systémy lejme nástroje s tak starej staří čkej ne cloud olej a
0:29:00	pro o pro tradiční datacentra
0:29:04	to projekt který má snad dvanáct
0:29:07	dvanáct let
0:29:08	a my sme denního přidali
0:29:10	přidali teda tu podporu spouštět ty krbový scan i takže když se tady je dost
0:29:15	klikneme u nějaké je děkuju u jednoho systému
0:29:18	no bych zabil com
0:29:20	vidíme ty výsledky vidíme nějaký procenta
0:29:23	a ty ikonky odkazujou na ten předchozí
0:29:26	porovnatelný scan říkají
0:29:29	i příční čech říká
0:29:30	něco se změnilo ale ne k horšímu
0:29:33	a příště cikáni co se změnu k horšímu
0:29:37	odezní čeká nenašli jsme nic porovnatelný do minulosti tady mašíny
0:29:41	můžete zas vidět jako by ty reporty stal
0:29:44	a o můžete prohledávat můžete porovnávat dva různý scan i
0:29:50	takže
0:29:51	to už začíná být užitečný
0:29:54	a pak tady máme a nakonec do jenom zmíním teda
0:29:58	si všimnete ho
0:29:59	tak my sme se tady snažili mít všechny ty ikonky jako podobný
0:30:04	a
0:30:05	pak jakoby jedna stojí stranou jako že
0:30:08	je jako celá ta jiná
0:30:14	ano
0:30:16	a podstatě nás inspirovala že potřebujeme ikonky
0:30:19	a
0:30:21	takže vznikl z no v novém jako děje jsou
0:30:25	je nějaký rozhraní pro tvorbu pak vinu
0:30:27	tohlenc je takovej
0:30:28	první užitečné i a
0:30:30	vás opravy pluginy který s ní to
0:30:34	a já vám ukážu
0:30:36	jak to asi vypadá
0:30:37	musíte si teda do dostat do toho tom pauzu
0:30:40	to screenu budete instalovat ten pardon
0:30:43	a pak to můžete používat
0:30:46	používat takže slyšeli z nových státech
0:30:50	samozřejmě všichni každý se stydím vůbec jenom na se přihlásit no tak hloupou otázku
0:30:55	a nebo takhle
0:30:58	když startuje
0:31:00	textový soubor který by popíše se zejtra při té instalace máme na
0:31:04	a má stát aby taky starat se
0:31:07	aby ten kiks ta tady té instalace mohla byt
0:31:09	plně dnes člověka
0:31:12	a nejde a na a ten byt
0:31:14	no
0:31:15	a tu chvíli ten radon tak i činí jsou práci tady vidíme
0:31:21	otevřenou anakondu objevila se nám tady krásná
0:31:26	nová kategorie si kryty
0:31:28	a říká nám a ne všechno je vpořádku také tak jaksi chystáme nainstalovat tu mašinu
0:31:34	tak by ten výsledný systém nebyl souladu s tou politikou
0:31:40	to je užitečný protože armáda skutečně nechce zapojovat do své sítě něco co není a
0:31:46	co není souladu s politikou
0:31:48	takže udělej to že teda mají někde jako
0:31:51	zvlášť síť a nebo skutečně donesou fyzicky ty stroje někam kde teda instaluje
0:31:56	a pak je tam doneseme do té sítě
0:31:59	seš jakoby
0:32:01	by chtěli zlepšit
0:32:04	no
0:32:05	tady je nějaký výběr toho profilu a když sme si vybrali takhle profil tak nám
0:32:10	říká že při pravidla
0:32:12	o
0:32:13	by neprošly říká nám
0:32:16	že je že bysme si měli dát
0:32:18	lomeno tam na separátní patici je že sme to teda neudělali
0:32:23	můžem to napravit
0:32:25	tuto chvíli
0:32:29	daný otázky
0:32:32	a
0:32:34	tohle je jenom malinkatej den
0:32:36	a
0:32:37	kterej dělá trakci na tou céčkovou knihovnou velice jednoduchý na používání naštěstí řádcích můžete mít
0:32:45	svůj vlastní scan ruby
0:32:47	takže
0:32:48	teďka jenom taková hračička
0:32:52	puppet kdo zná puppet
0:32:56	všichni
0:32:58	no puppet je další nástroj na správu systémů
0:33:04	před pár rokama to byl docela je to bylo to pevný
0:33:07	ušli ti dostali rozum
0:33:09	ale stejně ještě docela používány
0:33:12	a
0:33:14	on vám komu na on vám umožní deklarativní způsobem na napsat konfiguraci tentokrát ne tu
0:33:20	politikou
0:33:21	a tudíž jakoby co tam možná při třecí plochy a s
0:33:25	leč
0:33:27	nějaká společná funkcionalita se sklepem petr ústavní tom přístupu trošičku jinak té problematice
0:33:33	a
0:33:33	umožní vám
0:33:35	deklarativně způsobem popsán ten stav té mašiny
0:33:38	a pak periodicky spouštíte ten puppet nebo se spouští jako démon
0:33:41	na té mašině a
0:33:43	a lízne si tu mašinu a lízne se ty cíle to máte konfigurace a snaží
0:33:49	se to dostat do toho stavu
0:33:50	a my sme udělali malinkatej pluginy ktery
0:33:53	který mu řeknete zadek deklarativně chtěl bych mít každý týden sobotu odpoledne a scan
0:34:00	a
0:34:02	tam a tam
0:34:04	a o on to teda udělá
0:34:07	bin vzpomene si to byla poslední sobota a jestli proto datům
0:34:12	má někdo ten scan hotovej
0:34:15	na čem teďka nejvíc vyšší vám je pro xka tým ony co šijanská pole databáze
0:34:20	a ta by měla vyřešit všechny
0:34:23	všechny problémy který vás napadají se teďka takle spravujete jako by za to popradu
0:34:29	a především de o to že
0:34:31	je potřeba někde zachytit
0:34:34	a co je politika konkrétně pro danou mašinu že těch že pro danou mašinu může
0:34:39	být mít politik
0:34:41	a je potřeba za chvíli nějaký linky jednatele mašině pořádku když a
0:34:47	když a
0:34:49	něco ne nebude podle daný pravidla
0:34:52	je potřeba mít nějaký mechanizmus teda jako by pro ty naše komerční zákazníky aby řekli
0:34:57	jo toto teda odkopl franta tehdy a tehdy
0:35:01	pak
0:35:03	tím že tím že ten s
0:35:05	chápe jako
0:35:07	standa a formát
0:35:12	který my umíme zpracovávat
0:35:14	ze všech možných stran ale vlastně tím nevyužíváme
0:35:17	nevyužíváme to že
0:35:19	a
0:35:25	jakýkoli možnej post processing který vás napadne nějaký lepší prohledávání nějaký
0:35:30	prohledávání podle pravidel v historii prostě těch výsledků tak tohle všechno by měl by měl
0:35:37	vyřešit tady ten pro xka firmami
0:35:42	za na něco zapomněl
0:35:46	a
0:35:49	a eště s každym ony je jako v ruby
0:35:51	a projel se a je to jako pluginy
0:35:54	rázovitého stresové jenže takže to všichni jakoby kůru kulky budou rádi jakoby vidět
0:36:02	kdybyste si chtěli pohrát já sama
0:36:05	můžete
0:36:07	form an
0:36:08	pro určitě taky neznáte
0:36:10	to je
0:36:12	ten systém nevezme nástroje a
0:36:17	převážně na ty startování ale malý se na něho další a další nástroje
0:36:22	takže já se teďka snažím spojit forme neska ty monika puppet občanská
0:36:29	aby to teda dělal zázraky
0:36:31	a
0:36:34	taklen statek aktuálně vypadá budete do budoucna lepší
0:36:40	sem skončil strašně brzo
0:36:42	takže vám ještě něco řeknu
0:36:48	prosím
0:37:00	no
0:37:02	a prosím
0:37:04	jo ve to velice hodně
0:37:08	a
0:37:14	mysim si že je to docela dobrý
0:37:20	že i říct že jako by ta komerční sféra na se dívá co teda s
0:37:24	tou bezpečností jak tatra udělat a
0:37:26	ale koukneme přes rameno té americké vládě já dokonce tady ty a
0:37:33	třeba rusové ní stavíte ten nějaký svůj vlastní linux
0:37:36	a oni stanic berou od nás ten open skalpel
0:37:39	a jsou tady sou máme taky
0:37:42	a chtěli bysme ho mít na mika ale my se techniku tak strašně jakoby bojíme
0:37:46	že kdyby někdo přišel s komunisty a prostě to s kompilována mikula
0:37:51	nebo takle my sme se bavili se plen
0:37:53	a toto vše zas kučera na to ste se neptal takže to nebudu říkat a
0:38:02	dělá americká vláda používá dokonce teďka vyšel white paper to můžu říct takže konstanta si
0:38:08	pane a ten říká
0:38:10	že porovnali jsme teda se nesahá centos šestkou a dal šestkou
0:38:14	a že ten conf kde jako jinudy
0:38:17	a to proč je jinudy je teda vteklo si pane verzi kterou rád věděl
0:38:23	a důrazně drahé nesá říká použili teda nepoužívejte centos mysleme si o tom co chcem
0:38:31	no taklenc to je ne nevím a všechno se za spekulace
0:38:36	a
0:38:37	na mám tady blok
0:38:38	na tom bloku na jako by šlo jenom o tom openscapu já jako byl o
0:38:42	ničem jinym naživu
0:38:45	takže
0:38:46	takže to stejně jako vy za pozornost a
0:38:51	mi strašně rádi odpovídám jako komunita na otázky že když příde prostě kteří si projekt
0:38:56	má je list
0:38:58	no nějakou wiki nějak nějaký ty květy
0:39:01	takže budeme rádi když prostě i padnou nějaký otázky třeba na těch min stack nebo
0:39:06	na
0:39:14	jako by
0:39:29	nějací kluci gin tu si to si s inspirují tím co je pro šest nebo
0:39:35	co staví s kapse kritika je pro šest napíšou když oblasti politiku a
0:39:43	viděli jsme
0:39:45	ti i ti rusové používají ubuntu vede tady byl nějaký klony a píšu si taky
0:39:49	vlastní politiku bohužel nedávají ten
0:39:52	a na solaris o ten
0:39:54	ten open skalpel lidi chcou takže tam asi taky nějaká politika problém je že ne
0:39:59	všechno je všechno je veřejný noc kapsy kritika jste takovy takovej jedinej ji navázat toho
0:40:07	že to je jakoby všechno
0:40:09	public domény a dělejte si s tím co chcete
0:40:11	a je otevřená ta skepse kritika je není jenom burele o vencou otevření dávají si
0:40:17	jako myš statement jako a poďme psát politiku pro všechno
0:40:22	je tam náznak politiky pro aplikace jako pro čeho se dáte profiles
0:40:29	to pro open stack je tam nějaká próza zatím
0:40:32	pokud jak se hýbe strašně rychle takže se nedá okně jako rychlé akce nějaký velký
0:40:38	xmlko toho
0:40:40	a
0:40:45	na windows existujou
0:40:48	na windows existuje u ti etikou trakaři že úplně nejlepší byznys usa je pokud znáte
0:40:54	někoho na nějaký ministerstvo
0:40:56	a třeba ten open scott
0:40:58	a dojde k tomu nějakou svou na špičku a začněte to prodává a je hodně
0:41:03	takových jakoby lidí kterým se podaří pro ten open source ve projekt jako a toto
0:41:09	nebylo ta sledovat odpověď uplně na ten windows na ten windows obdiv tradiční v andoře
0:41:14	jako kafí nebo intel si kryty dneska
0:41:17	a asi month
0:41:19	a
0:41:21	a spoustu dalších
0:41:30	neslyším o nich
0:41:32	když jsem udělal legraci ze sester zlomkem
0:41:35	tak oni vlastně pro ten upstream space vo a dělej stalo smyslu semene že
0:41:41	takže to najednou dostali na zajímali se co to teda těm zákazníkům dáváme této která
0:41:46	je ten open scan to je tak rok a půl zpátky do té doby se
0:41:50	mají povinnost šel v otcových neslyší
0:42:03	no jasně
0:42:06	a
0:42:08	ne a ve a projektory priam kdy cože projekt který se snaží a udělat takový
0:42:15	lepší teda etapě na kriptování ze dne ze fedory na další tak oni se snaží
0:42:21	podstatě udělat
0:42:22	politiku a kterou si spustíte nadal šest
0:42:25	a oni vám řeknou
0:42:27	tak jo kdybyste chtěli dělat imply jsem kryt nadal sedum
0:42:30	tak pravděpodobně brzy narazíte kvůli tomuhle
0:42:34	a nebo a kdybyste chtěli dělat s
0:42:37	znovu si to nachystat tohoto mašinu za stejným účelem
0:42:40	a vedle a udělat real sedum tak zase jako by
0:42:45	nějakým způsobem mají zachycený ty a
0:42:49	výstupy vtom tom openscapu reportu
0:42:52	a
0:42:57	a
0:43:01	a já jsem původně já jsem nevěděl možná kdybyste mě řekli já jsem nevěděl vůbec
0:43:06	o čem o čem budu jako mluvit jo jako
0:43:09	že
0:43:11	my sme strašně špatní ohledně marketingu jo my se tam sedíme prostě s těma dlouhýma
0:43:15	vlasta napíše snadné klávesnici
0:43:18	a
0:43:20	vidíme postupně jakoby ty velký firmy postupně jako přichází jo
0:43:25	a na měli byste nám sedí hromada lidí a
0:43:28	a amen
0:43:31	a myslím si že ten sklad není jenom pro profesionály že dobrej na to domácí
0:43:36	žvýkání stejná jako inspirovat
0:43:39	chtěl jsem teda prvně vykládali jsem viděl na včerejším programu
0:43:43	a přednášku
0:43:45	a tady nticového open government že teda poďme se teda jenom bavit o tom jak
0:43:51	ten skalp je vyvíjeny jako standard
0:43:54	ale to sem si pak uvědomil že to bylo fakt ještě nutnější než tohle
0:43:58	a
0:44:00	tak se si říká že udělám nějakou takovou převedou přednášku co všechno je možný
0:44:04	no
0:44:07	ale eště mě nech tričku
0:44:10	mě by zajímalo jako by co by vás zajímalo
0:44:13	nebo byste semka dneska vůbec jako přišli
0:44:19	no
0:44:39	si mysim že za zaměstnej někoho mladšího
0:44:42	no a
0:44:45	a
0:44:47	existuje další prvek
0:44:52	existuje projekt dík
0:44:54	tady máme takovou jako deštník občanská pohyb kterým jsou všechny projekty zatím
0:45:00	a existuje teda projekt ti kterým jsou nějaký o ty check i napsaný vtom tom
0:45:05	veš example mají no
0:45:07	takže bych se je zkusil asi přidat tam
0:45:10	ale ti lidi mi trošku vrátíme s tím že ti lidi jakoby ohledně nebezpečnosti buď
0:45:14	teda jsou to kontra kteří mají velký marže a nechcou sdílet jako by to co
0:45:18	mají
0:45:18	protože to sou ty velký marže
0:45:21	a nechcou to dá path open source komunitě a nebo naopak jsou to jsou to
0:45:25	lidi kteří sou blíž té konkrétní jedné organizaci pracuju pro ní
0:45:28	a maji podepsaný různý papíry že teda nebudu přispívat ani zbla
0:45:34	a takže
0:45:39	i třeba jako by dostávat tím back
0:45:42	na ten minim vysnil napíše ho to mně píšou prostě ti lidi pak privátně
0:45:47	a
0:45:48	a půjdou se prostě přispívat tady ale do vestce komunity kontent u protože
0:45:54	když tam najednou vidíte že tam přispívá někdo
0:45:56	z těch image tak si řeknete a oni fakt asi pouští tady ty skripty prosím
0:46:01	tě morgan no tak se poďme podívat
0:46:03	no
0:46:04	a to nějak vedou k nechcou
0:46:22	já
0:46:26	dobrá otázka
0:46:29	a
0:46:33	no
0:46:33	no a záleží na tom kde je nastat startovní lajna kde je jak vypadá jako
0:46:40	by ten audit který teďka dělám
0:46:42	jak vypadá
0:46:43	a dostat ho do toho že jouda mixy si dnfko který bude spouštět ty víš
0:46:47	a skripty
0:46:48	to si myslím že se dá a ji skoro automatizovat
0:46:51	že takže ste komunity kontent
0:46:52	to má nějaký makefile to není jakoby no xmlko potom bitů jakoby pošlu ty
0:46:58	jediný
0:46:58	a to má nějaký adresáře něja a
0:47:01	a
0:47:03	je to by to hromádka šel skriptu a ten makefile z toho udělá o velký
0:47:07	zisky
0:47:08	takže to si mysim že je docela jednoduchý
0:47:11	no a pak
0:47:12	my máme takovou představu že ti lidi
0:47:14	ale tak co už máme tak jako by rok a nestalo se to takže to
0:47:17	je taková akademické akademická debata no
0:47:20	a
0:47:22	že teda začnu těma s těma šel zpětná opouští pouštíme v listu vygeneruje s tak
0:47:26	si c déčko a najednou když teda
0:47:28	du teda do té do té produkce
0:47:31	a horké nebo ledové tak takže si to přepíše do toho obalu když teda musím
0:47:37	a když nemusím
0:47:39	tak to nechám tě šel skriptech myslím si že jakoby obalit šel skripty i příspěvkem
0:47:44	je
0:47:45	hodně jednoduchý
0:47:47	a
0:47:48	a když obalíte šel skeptik příspěvkem
0:47:51	tak se vám podaří
0:47:54	se vám podaří
0:47:55	jediným příkazem tady na mi blokuje
0:47:59	a
0:48:02	vygenerovat tady ten source date a stream je máte vlastně tom xmlku a když a
0:48:07	skripty s tím i ty si v jakém dohromady najednou máte jedna xmlko který je
0:48:11	body plujete všude
0:48:13	a
0:48:15	to zas jako přináší nějaký benefity
0:48:20	a že ten openscap se vám postará o to že teda se to spustí
0:48:26	našel skript spustí v nějakým kontrolovaný prostředí a
0:48:37	že ty
0:48:41	tak jo tak já vám asi strašně děkuju že

SCAP: Otevřený standard pro bezpečnostní audit

Neděle 2.11.2014 - malý sál D0207

Šimon Lukašík