dobrý je možné státě němec je to strašně moc nás to umístíte vítám zpět
závěr a jo takže na pěti
bez ta zpráva provede proto za tom není sporu zpráva
takže je tady sraz na přednášky o prachy nebezpečnosti linuxový systém o můj kolega se
nula
dobrý dvojích moje minut rezervy za spolupracujeme
jak je ctěná projekt je selinux
tak tramvaje
podstatě tato prd narážka agenta bude následovat na pojmy s něčeho bezpečnosti
všeobecně potom si povíme rozdíl mezi baráky no a jak ty no bezpečnost tom jak
je tam rozjel na server bude nějaký
prý tak informace o čtvrt roku zaútočíme
na náš na pět a to má dcera ne
honzíku imidže ten selinux _e bude na hory to nějakých na jídlo hodně
dík o
a na konci si povíme něco nefungovalo toola je to jí vlastně položek a co
vlastně selinux tam zase o krok dále
takže další otázka kerý že bys alias tam bezpečno zápětí záznam a žena prostě
deset a
je něco
je tato kecat a kecat tomto světě naklikat zprávách ale vona nějak tom
ne jako možné běžnou port a praze to už
zákon
co kam známá věc
takže člověk v noci kdo se možno pytel otázku že a ku prostě tyto chyby
afektu konkrétně na
bože zabijte prý demo svoje násobné táta anebo jestli myslíš ještě vašeho prípadě budu moje
osobní let a ten jedinec dělané vedení na nějakou servery já udělám budu vidět prostě
_m osobně fotky
na dovolenky spjat celková a podobně ale odvozené podobné věci
další a znalec můžeme bylo takový účet nebyla z účtu ukradnuté někdo bude moct platící
na sebe na to malinký a honit životního účtu
aha
další teka trestat konkrétnější suše ti no já osobně jsem jedině naozaj
nějak chráněj proti těmto útokům
no naklonit su naozaj
nové toho vypadne instituci naozaj nás jako very long
_e
o to dneska zlobí takže o ty aplikace pět to chybělo project for děti já
ho prostě
můžeme vidět betaverze tak ukazatel toto vývar a já základě suchý ví
to znamená že tady podle nějaké zranitelnosti
dobre ta žena teskáckom su a kusů jako jsou prováděny to bezpečnost nezranitelnosti
aha kdo by chtěl sadě
prasete
a
vůbec nebo pozdě
reset
a zejtra na hory data jo teda ty nebezpečnosti chtěli je tam nějaké okno ty
zranitelnosti to znamená že
vyřaditelností jiné kterej dělá se na z nsa to moc může být položena po použita
divočině jak se to hory to znamená že děti na nějaký reálný server o
a všecky naše server _e já ho prostě které obsahuje nějaký ten kotel i vy
používáte sou zranitelný pro se stane potom pretty ty vývojáře já mě skoro to pixlu
_e
s plnou čáru konce release no nějaké nějaký bahnitý
takže nějaký sposobom závazek ty server updatnu
a
a prostě ste chránit na ty na ty tady bude ta zajíc nás tam už
není ale asi stále na to okno to nemůže být ale může být velmi dole
no jasně pak systém na dva server potře stav do okna mění a ctěný tím
tomu že to slova trestně stíhaný prostě stíhá kupuje ztrátový to jednoduchá
použije to možný ti prý za vars chceme ta
naší systém no
naopak ta hra i na bezpečnost se stará o to aby to okno hloupý to
znamená že našel snahou to svého
martin nebezpečnosti je to aby už pět type zranitelnost ještě ženění o vás _e na
aby ten váš systému nějak ochránil to jako je chráněný
spalujeme
za chvilku
prosím vás jako já že máš na systém je chráněný voči vrchol toho sled com
ho set com exportovat různých útok o
ten selinux tady za prvé vzpomenu je to je jako vy nebude nějak výstupu co
znamená to že ten tradiční linuxový
bezpečnost myslíte o vezmi není to startující a tak granularita toho selinux jako baviči to
snažím eště si nastavit owl v jazyce
ať si tam dělo tady se tě ven
věnovat
to bere sype otázka která von je nějakej společnej i slajd takže
nebyla divadle za řekla a provede něco je jistě
a super
já jsi to není dva další i tobě no to bylo vliv o to že
vlastně světla a nadšení se dál zas tak vlastně pomoz to ví co mohl by
jako že tě to s
zase to sou u to
druhý bez něco docker imidž estimation
nebyla si pomoc osud a mohlo prostě
co je přistupovat k moci ten assistent tak nesnášela věc
no a v neposlední šel šlo to nemusel a budeme věnovat
na obr eště tam jeden slajd takže ten nový slajd vlastně je někdo postaví já
rád masný že v otázky na konci prezentaci dyba jak a tak a otázka že
člověka se zakóduje
tak aby se podíváte na to že to také zlé tam uložen různých používá
takže na mi to nějakým je tím tam tak pojďme na to je to vidět
dobré není to dobré
to je náš
taky
takže porazit být našel šokoval je a jako fungoval vyhlazeno výkon a ještě prvním jako
by se vypadá ten pravý to no comment tady jsme prý ta stojí jsme zadali
bobeš a
takže to jste použijeme mi
modelová situace já na server a mohli by se vidělo se a servery je nebo
fyzicky
je asi nikdo to idiot a u je
ložíme vývoj já nikoho mašin na ten na ten konkrétní port
takže ten open
takže vidíte to dobré
takže _m tu frontu terminály jako zodpovědná začne určování na kurt je deset vypadá
je lidi se ti lidi se divit
očima
na druhý straně terminál použijem
ti
to máme
použijete i o že azimuth je ještě brzy protože je to i je asi
pěti tříd
já jsem narazil na dítě
na něj a podobně
a patentů of concept toch touto kohy
takže na to spustí a co se stalo dostal jsou
dostal stal terminál asi na
na útočníkovi strany může si poznali ze ujednání
a
bejt je tam nějaký kontext i a hlasitě že užívá tě užívá těmi
přitom
proč komunista ne nepovedla líto že pozor vezme si že čína
čína servery tom chtěl vidět tu
tak a konstantami sem všeho ve celým zapnutý přijelo bezmocnost ne selinux zapnul takže já
to spustím a je vidět že běžíme
_e mysím no módě a trochu je těž město a podstatě je to ten selinux
zanikne zapnutých to nejsou to vynucovat soustavě nepůjdou chybové do češtiny a slovenštiny takže straně
transportní ste
mým rozdělám zase ne selinux a tímto který to tady toto je toto vynucovat si
ho dyž motorem prosím když
no key
po zemi sám je tam ten fax no
takže
znáte vy ste
a
urobím úplně to jistej nezlob je bri karty zabralo z historie ale si u mě
by bojím se
takže ty termíny a nebo že by jsem
nič
je to mrtvé
takže tak asi věděli prakticky velmi pěkný lukášku
teď chceme proč ne to rozšířil pozveme sem
čísel inu smyčkové dal tom co se stalo takzvaný námi céčko
jak je to stále dobré vědět
vítěz post office trochu
jak je vidět že je to je to je to je
je jakýsi je jsi zjistit
že a se audit auditem no a kdy něčí zápisem dobré nějaké otázky
napadlo vás někam
otec číslo
letí za dismisses
dobré no tak pojďme na to
ten asi no dobře
ale taková paka tam tohohle
no
to by mohla výchova ne
takže hlasem děs jak u té dámy
je to správně
relates jasné
okej
dovedete požadavky správný umět je to
co štyry tri
ja čas ale chodit
no nesuď že je to co
takže to je sucho a svítí
no mezi
myslíte ta
na konci bernolákovštin prostoje řezal penaltu a aha
ale je to je to velmi jednoduché já po čase si to téma
ukážem jednu nápovědu _e uváděla je to je to na povedla a uvidíme
ono to zkusit
tak a
pokazil si rovni a navíc ani ne moc nezbyde
no
na konci toho
takže náký
a jak je známe to znamená že
stačí se a ta si koleduje tě jo a o velmi zlé časy
dobrá kroky
pojďme se teraz pozreť co salát nedívá
jo takže si
že si jisti to ku
o tobě ví co jako to je asi ne jako
rozdělili o uživatelích je si když výklad a co se stalo
chce kdy skript má povolení a více když s lidma povoleny vlastně případně i to
webový jako ví co a jak to je
že ti daň užila tělových uživatele by tam stěnu
takže to jsou super stadion a bezpečnost na politika je ten se histignor to a
pozoroval robiť něco jiné tom jsem se nazýváme bezpečnost na
politika bezpečnost na politika spočívá v tom že si za děkujeme a ty si pravidla
hry procesy a _e co toho můžeme tyto procesy na systém mezi sebou izolovat a
_e i založených takže
takže na ty tak procesy vlasy izolujeme to že a tím zdrojů plíst ubohé a
je to zdroje jako zlomený můžou být
proč bych adresáře soubory ja a různé jiné objekty a kromě takže uklidil limit je
štítí
a
ten štít ano to je to stále hovorí vám já to teda život je pes
jako
nějaké žluté ale volal po zelené papírky telefon nalepí na volitelná flétničku až do kralup
je taková včela tak upjaty sem zaboduje takže taky tak my se snažíme tyto štítky
pilotovat na procesy a soubory vlastně systémem to sou to sou ty štítky
takže poďme se teda na to podrž na podrobnější je na vině je to byli
mladí druhou stranu že jo protože ta vrstva
to znamená co budeme to sou vzpomněla vytvořit ten webové stránky a
spolu zazněly žaneta listopadu o ty a se všemi von je defaultně zakázané to znamená
že nadšení pravidlo
nebo jestli tam ta interakci já selinux to selinux to zablokuje zaměřený s tím něco
pí se ten nemožně zapisovaní uživatelem tam sám
takže rychle nějaký technický kde krát
neprohraje selinuxu _e a tradičně windsore bezpečností znamená pět a nějaké kryštofovi práva k nějakému
souboru dvě máme uživatele skupinu a
ostatní
u to se ti sprška rozbil ospravedlnění se ale
no tady je jedná o sobě no potěš chyba
například a spouštět
to není to se tu c a preto vlez linuxem máme čtyři tak je ta
kategorie ti uživatelé rozděl to může linuxový že sem se něco odlišné to je teda
pěkná
je to z kategorie
nás momentálně by zaujme díváte ten ty dojdi věku jo
že
a
jak je jistý
jasné pak by tam neznal do tý pitomý se používá vy ste jo ještě kategorie
ano ale po používat role uživatel tak musí těsto
data konfiguraci tam trošku vína a halasně mu fedora nikdo ani neví za to default
nepoužíváme
to vidíte vlastně ten rozdíl kriminality je asi tý linuxový křivkového dali ten se linuxový
ten štít to
znamená proces velmi na tom ne
ono co bych a skupiny si píšeme procesy kde pojmy jsou menší typy by ani
tělo jako uživatel a skupinu a pikantní na nás okomentuju
selinux se to vyzerá tak to o zatím zase na to dělá a zase ten
typ ktorý procházení tady zavolej slidy bydlí
_e replaces http
dělal vše důležitá věc
asi
každý na je probíhat ne
tady si asi týmy je musel a takový potom aplikace do hry selinux
takže to je etapy zhodnocení znamená že všetko vlasech to selinux ano tyhle plakáty bezpečnost
nepolitické a to tu bezpečnostní politiku má tě na písemku
tak u používat je rovna tom eště si tě můžu tě si to je ty
bezpečnost nebyly politiky pí sepsaný teda vydaný šamanisto jestli to asi v já se další
na ten na ten váš server ještě ty taky moc do takže poznáme nějaké jak
vláda vám odvíjí skoro jako prý ten první den von si
ve inflexním lodě je vlastně politika vynucována znamená že ať udělaný nějaký pravidlo selinux to
zadkem na to zablokuje
a hlaste
stě ochráněn jako nic ho ani na druhou stranu je toupper myslím mimo edisona zapnutý
na začátku na tom servery vlastně je to právě vás není vynucovat ne naopak služba
zaznamenávána normované vydestilované můžeme viděj tě logo varoval audit andyho
démone a vo co v jednoduchého prytanů zip je to vlastně
a ty pravidla můžeme a věci pravidla záznamy možné
zobrazit to svazek už open
repre tím o tom jsem si vypnutý dále
o tom o to nemusím sorry jako nakonec selinux zapnutý permanentně znamená že se o
vy
tady je enforcing módě
takže to je za nebo jako
zdravím takže ve zbytku přednášky si povíme něco o tom co vy sami můžete udělat
pro zvýšení nejenom svojí bezpečnosti
to bych vám představit nástroje pro analýzu bezpečnostních politik _m
ten tom že máme fakt dost málo času tak ta první část která se zabývá
tím že vlastně ten nástroj dokáže prohledá celou politiku a vyhledat kombinace pravidel které můžou
povídat potenciálně nebezpečným akcím systému
to je to je vlastně _e funkce metro můžete využít kdykoliv kdy bude to pro
vás toto se levicovou politiku to znamená budete si přidávat nějaká pravidla nebo jenom nastavovat
mlýny
tak můžete kdykoliv pustit ten nástroj a podívat se jestli ta změna nemá nějaké negativní
následky osmi to je všechno popsané na githubu takže to odpověď přeskočím
každopádně další věc co ten nástroj umí je zobrazit část politiky která se týká
tušíte služby
a vlastně to může udělat kdokoliv z vás i když vůbec nerozumíte jen ceny předem
podotýkám stačí vám to co to co vám do teďka doteď lukáš řekl
na a
a
ještě budu potřebovat za jednu drobnost je asi linuxu těch politika používáme takzvaná ty boty
to je takový mechanismus který nám dovolí seskupit několik typů dohromady a přidal potom práva
všem těm typům zároveň
takže tady máme příklad pcb služby která na tři démoni všichni tři potřebují přístup k
tady těm datům co jsou popsané tebe dolem takže všem těm jsem nemám tři předělím
atribut pece férovej
a potom už budu psát jenom pravidla se petr doménu toho do těch do těch
cílových typu
ram hrozně zjednodušuje je zápis té politiky tak potom ty různý takže tam
nemůžu
hodně
ukážu jak potom vypadá když část té politiky bych sportuju
do nějakého nástroje
_e
tohlecto je tohlecto je to čas politiky která se týká keyboard deamona
tam vlastně jde o ty dvě zelené tečky tady jaký botech ze chceš _e binárka
do keyboard deamona a tady tomhle běží ten samotný proces
vidíme že tomu grafu dominují docela tady ty atributy to vlastně ty oranžové tečky jsou
atributy a
oranžové hrany jsou přidělení atributu to znamená tady vidíme že ten keyboard démon má z
většiny jenom přidělené nějaké atributy obecné které nebo to ta binárka které budou mít přidělena
velká většina binárku jako třeba tady máme tady to budou mít všechny soubory na disku
a třeba systémové služby díky tomu můžu pracovat se všemi najednou takže mě to teďka
tuhle chvíli vůbec nebude zajímat takže tady je že
že sou tady nějaká obecná pravidla která se týkají všech démonů mě bude zajímat moje
služba třeba pokusem je správce nebo jenom i rozumím a
chtěl bych vědět co je povoleno co zakázáno
takže asi o to filtru všechny tyhle
takhle velké atributy
a
těch si které takže spustitelný soubor
a teďka už vám tu politiku výrazně zjednodušenou tady mám jenom typy které se týkají
přímo toho keyboard deamona
už si zobrazit
přímo to je
ty pravidla která způsob povolena
se podíváme třeba
a může tak za zpětně projít a podívat se
budou mě zima vlastně dvě podstatné věci za prvé pokud jsou tam pravidla která ten
démon některé ten démon nepotřebuje a ta se tam dostala takže třeba přijde potřeboval mě
jaksi vyvinula prostě vše nepotřebuje
takže ty tam rozhodně nechceme protože případě úspěšného spolu je tu by mělo by měl
útočník víc práskneš nevíš nutně potřebuje
když se bere chceme zbavit a potom pokud tam chybí nějaká práva která ten nemám
potřebuje k úspěšnému běhu
takže
takže to by byl rád kdyby zvlášť pokud někdo z vás spravuje nějakou službu nebo
vyložení jenom rozumíte pak se podívat na nej politiku plující a dát nám vědět pokud
je něco špatně
_e doufám že nemám s lukášem aspoň trochu _m vysvětlili proč není úplně nejlepší nápad
vypínat selinux a vám že aspoň někteří z vás o zkusí spusťte nebo nechat běžet
a vy ste měli jakékoli dotazy tak nás můžete kontaktovat na těch to mailem
a teď samozřejmě můžete mít otázky
no tak to jsi dvacet jste to vlastně
světě
dotazy
pak se vyhnuli
přesně
tak body za nás