Přepis řeči - AppArmor | SuperLectures.com

0:00:15	já vás tady vítám vás neslyší ta
0:00:19	ne se nechovala susu se jako celek věděli
0:00:22	a zase pro vás připravil přednášku na téma
0:00:25	apparmor
0:00:28	sem se tam smí někdo
0:00:30	ano je
0:00:33	tak dobře
0:00:35	aktivně pracujete s tím nebo zkoušel ta
0:00:39	to je chcete zpracovávat ta přednáška zaměřená to byste nepochopili co to je jak to
0:00:44	funguje to můžete používat že ten jako vystrašený to vypadá
0:00:48	a eště sem se včera večer trochu nudil jsem např o nějaký takový malý informace
0:00:55	takže
0:00:58	protože se podívat na to
0:01:00	a nějaké základní věci a to co s tak informace o tom co to vůbec
0:01:04	je
0:01:05	té device krásná jak definice já si prosím přečíst
0:01:08	a prali rozšíření a ta linuxová mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti a
0:01:14	pan umožňuje definovat praní provedení určitého práce na úrovni jednotlivých procesů v závislosti na umístění
0:01:19	spořitelna souboru tím že na kritická místa jádro umístil volání svých kontrolních rutin
0:01:25	tím dochází ke zvýšení lže systému avšak je možné straně programu aby provedlo potenciálně nebezpečnou
0:01:30	akci která může vést k narušení bezpečnosti tři dny relace oprávnění
0:01:35	tak a že vše pochopil o čem to je může mi domů
0:01:39	takže mysim zmínil
0:01:41	a takovou důležitou věc a to je to nácek se všema metry akce zkontrolovat se
0:01:46	tam bezpečnostní metoda která explicitně nebo ne politiku která je povolena
0:01:51	ta
0:01:53	přibyly apparmor u se dá světel a se to co je tom profilu to co
0:01:56	tam budete to
0:01:58	je může dělat
0:01:59	případně zakázat ještě něco co jsi mě
0:02:05	v it opensource znamená že zdrojové kódy jsou dostupné normálně
0:02:10	na internetu vám trestní na to recept a
0:02:14	linuxu je jako takovém jádře jemuž od roku dva tisíce deset ho odveze dva šest
0:02:21	takže jako dobu tomu vše
0:02:22	a je to zase klid modul linuxy klidem modul
0:02:29	je to tak za návrat jinýho krát systémů chtěl možná někdo slyšel a selinux
0:02:34	to je to podstatě alternativa
0:02:36	ne selinux u
0:02:39	která umožňuje zabalí útokům až interním externím
0:02:44	a nebo dokonce i za doby útokům
0:02:46	co vše si
0:02:47	víte co sou zrady které byly útoky dosud ikee
0:02:51	eště nebe nanášeny takže na to nese ani ne nedělají žádné opravit
0:02:58	uplatňování politik takzvaný souboru pravidel si byla pomocí profilů
0:03:05	se stane se definuje ta aplikace může nebo nemůže dělat
0:03:11	ty profily
0:03:14	díky tomu že máme několik nebo máma mele variaci distribucí tak až ale distribuce na
0:03:19	ty profily upravené pro sebe zeném to může třeba lokace některých adresářů její na nižší
0:03:25	vojíne distribuce takže
0:03:27	ty profily třebas
0:03:29	tam příkaz časů to nemusí nutně fungovat na open suse
0:03:32	ale dej se upravit tak aby fungovaly by se tam zvíře jaká cesta nebo se
0:03:37	pro víš nějaká jiná oprávnění které která sou potřeba
0:03:43	čemu slouží a proč dobré je používat
0:03:47	cena
0:03:48	jedná se o to že apparmor přidává vlastně další vrstvu zabezpečení a tím snižuje riziko
0:03:55	kompletace systémů
0:03:58	případně tak _e tu mít dopady
0:04:01	pokud ten útok už byl proveden a to
0:04:04	zejména tím že vlastně definuje definován to profilu jsem schopen říci sem se můžeš a
0:04:11	jinam můžeš takže ten boční který by se dostanu toho do počítače
0:04:15	vlastně mám omezený
0:04:17	pole působnosti
0:04:19	já
0:04:21	také se to dá použít jako jakousi ochranu proti nezdivočelým aplikacím a to může být
0:04:27	například
0:04:28	nějaká cílená aplikace která se snaží jakým ale když se snažit pan takže ječet
0:04:32	a případně vy zneužít aplikaci nějakou k
0:04:36	například třeba vedro user
0:04:38	a nebo také jenom
0:04:40	sem se dá zabránit tím že aplikacema chybu nějakýma který za normálních okolností ne není
0:04:46	vidět ale
0:04:49	určitém případě je docela volit smazat nějaký a
0:04:52	adresáře mu soubory které má takovou nebo někde jinde
0:04:57	a také lze je za i zjistit vlastně
0:05:00	takže testováním že co ta aplikace té hoře stáhl chce dělat na mém systému a
0:05:05	jsem kdo může nebo ne
0:05:08	vtom že je se dá použít _e bezpečnostní moc
0:05:11	který já se pokusím se typy později
0:05:15	kde a pak _e a najdeme
0:05:17	jak jsem říkal fúzí distribucích já jsem tady uvedl
0:05:21	takové známějších
0:05:24	redhat nebo centos tam je záměrně tě jak jsem zmínil selinux
0:05:30	tak ten patří ho podržet na jeho derivátům
0:05:35	nejsem si jistý jestli tam s aktuálně mají balíčky ale ze ten to může rpm
0:05:39	balíčky se dají najít ta na open suse
0:05:43	i na snesl jsou takže předpokládám že jsou i fernetu
0:05:52	ne na
0:05:55	tak nemám
0:05:57	ty rpm balíčky nebo ne romové rpm balíčky se i vybuildit u nás na open
0:06:01	suse by byl celej se která může podstatě vytvořit kompilaci
0:06:05	kterýkoli balíček nebo vytvořit balíček s čehokoliv i pro jakoukoli distribuci
0:06:10	to není limitovaný ananasu se nebo open suse
0:06:15	případně pokud chcete tak můžete přímo náš peru forma panu si stáhnu ze školy a
0:06:20	sami se to zbuildit
0:06:23	u sem nač nule selinux apparmor tak jaké jsou rozdíly
0:06:30	jsou takové
0:06:32	řekne spíš individuální nebo
0:06:35	osobní pro někoho může být více náročné více komplexní
0:06:39	nastavovat
0:06:41	s selinux politiky u politiků
0:06:45	případně
0:06:48	tak u sem zmínil redhat a centos používá pak default selinux
0:06:53	apparmor je scott ubuntu bude by janou open suse nebo sou suse
0:07:02	a parma práce s cestami soše vy velký rozdíl oproti je se naučili pracuje se
0:07:07	štítky
0:07:09	což znamená že vlastně
0:07:11	politika ty profily se aplikují na cestu kam mám nebo odkud se lze pustí ten
0:07:17	ten program ta aplikace
0:07:18	no ten proces
0:07:22	tam _e tak ještě rozdíl tím že selinux přistupuje nové přistupuje k cestám jako takovým
0:07:27	ale kino dám a to se případě hardinů třeba může lišit
0:07:31	simtě funguje back je rozdíl mezi hanlivě vás okénkem nebo se psem enkem
0:07:35	tak
0:07:36	případě toho hardinovu pokud máme cestou například třeba etc apparmor ne tak pět od jedna
0:07:44	cesta ale může sahat linkovat
0:07:46	někam celý uzel etc nebo někam jinam
0:07:49	v tom případě ta cesta jako taková nebo cesta k tomu souboru je furt jedna
0:07:53	to sama ale
0:07:55	pohledu jinudy se jedná o jinou takže jsem sem přístup je trochu jiná
0:08:00	tím že dobrý jako vy dva různé objekty
0:08:04	na
0:08:05	apparmor krkem rodina na aplikace a selinux na sestup na systém jako celek
0:08:12	tomu se ještě dostaneme
0:08:13	později jaký sou
0:08:16	vlastně základní politiky nebo verze armor aplikovat na systém
0:08:22	pitts ještě podíváme na komponenty a nástroje
0:08:30	jedná se o karlovi modul který je zaveden jádra
0:08:32	to je jedna s komponent
0:08:35	druhý je pár server který podstatě má na starosti to že se stará o vkládání
0:08:41	těch profilu do jádra by se s nimi vlastně s nimi dalo pracovat
0:08:48	tady ty profily lze najít přímo když se třeba podíváme mbed jaké teprve sou načtené
0:08:54	tak a push přes ovládací pětky
0:08:56	které jsou k dispozici se na systému
0:09:00	tak je zároveň i se podíváme do si s
0:09:03	s
0:09:05	se s kernel se chvíli ty apparmor
0:09:08	mohli si pro file smyslem
0:09:12	co marie
0:09:13	tohoto může být trochu rozdílné je dle distribuce ale
0:09:18	standardně to vy čtete této cestě
0:09:22	není doporučené přímo jakoby upravovat je tedy tyto změny přes
0:09:28	se dá přes a leje do proč nepoužíváte u ty ledky případně jaké knihovny
0:09:35	jak to funguje
0:09:37	a parma načte při startu modul a limity dostupné profily
0:09:44	typické etc apparmor ví
0:09:47	cesta co moři závisí na distribuci pokuď je nějaká jiná
0:09:52	lze to přes konfigurační soubory upravit
0:09:55	tyto progrese roztřídit dle módu ve kterém ne nebo do kterého patří a path mode
0:10:02	sou puče to disable to znamená se úloze team anglické výrazy ale se překlad do
0:10:08	češtiny takový
0:10:09	kostrbatý a mluví spíš matoucí
0:10:12	visible zakázaný to znamená že ten profily což je ignorován
0:10:17	potom je ten tom plyn takzvaný learning holt který
0:10:24	vlastně se stará o to že
0:10:28	aplikace běží není reálně není omezena nebo není svázaná ale do logů
0:10:36	vám bude házet
0:10:38	práci tebe zakázané nebo které by byly zakázány kdyby byla opuštěna tom třetím módu
0:10:43	a ten forrest
0:10:45	tak za nasazená že prostě v noci na politika a tím pádem jo
0:10:50	když
0:10:51	no
0:10:51	chce zapisovat nebo číst někdy kdo nemá přístup tak zakázáno
0:10:56	a
0:10:57	tím pádem se neprovede ta operace
0:11:02	potom implicitní politika armor takle tu práci se jednoduše ale ranec jsou samozřejmě věci trochu
0:11:09	komplikovanější
0:11:11	ať už teda za a zakazující slajd trestem se znamená že vlastně zakážete všecko profil
0:11:17	ale povolím jenom to co chci
0:11:20	a nebo foley všecko ale zakážu jenom to co potřebuju
0:11:26	tom reálném světě se většinou používá takové takový ten mix
0:11:31	že vlastně ten systém jako takový
0:11:33	nezapomeneme na omezím celý protože by museli profily pro všecky aplikace pro všecky procesy byly
0:11:38	se pouštějí
0:11:40	ale udělám to tím ty na ty martin na ten na bázi to přeskoku olin
0:11:45	aleš potom zakazují tímhle městem tak tam jako ten black jistotou slouží jakýsi povolení pro
0:11:52	ty aplikace to znamená a malý aplikace profil tohle může udělat
0:11:57	takže taková ta kombinace
0:12:01	toho že vlastně nemáme profil tak tam osobně stará máme profil
0:12:06	tak jenom tohle může dělat
0:12:11	určení modul a jak
0:12:13	s nápadem nepozná tam ten profil zařadit
0:12:19	tak to lze to udělat například ta do hlavičky
0:12:23	jsem si byl kladný tam vidíte
0:12:25	a flagy natož disconnect i tak online
0:12:30	ten jistého armor
0:12:31	patří to do módu tomhle jen do toho learning módu
0:12:37	nebyla zajímalo co je ten matroš disconnect tak to je
0:12:42	se ptám může vlastně přímé práce napojené cesty
0:12:48	bez lomítka relativní sestry
0:12:50	a toff
0:12:51	tam se tech trefa vůz krát víc portem pro takový pro ilustraci případně pokuď jo
0:12:56	to co zakázat tak se dá ten profil simlink node do
0:13:02	lépe zapadl mi jezděj byl
0:13:04	čímž vlastně zas
0:13:05	jíst instruuje při startu ležel na ignorovat
0:13:12	a jako můžem začít používat
0:13:16	například na opensuse je součástí se na instalace to znamená dyž si dáte neco můj
0:13:22	systém tak máte mají default zapnutý a zase se nemusíte nic
0:13:25	silnic no starat je čapek profilu aspoň ty takové ty základní které se většinou používají
0:13:31	jako jed nebylo user si že i mailovy klient tak tam jsou zapnuté
0:13:36	a
0:13:37	si že i java myslíš tam a takový nějaký takže potřeby jste chráněni
0:13:42	push po té instalaci
0:13:45	ubuntu má to samé a debian ní je potřeba se nepletu u pravici
0:13:52	commandlinu krokem nepři bootu vratama
0:13:56	parametr
0:13:57	se kvality apparmor aby se na četl
0:14:02	a nebo to potom lze manuálně doinstalovat
0:14:06	pokud co budeš dispozici
0:14:09	nemaj se ho zeptá můžu
0:14:11	of
0:14:12	tady jenom k těm ty názvu souboru ty které můžete vidět tak ten je armádu
0:14:16	apparmor se stará ten modul cam na rovinu
0:14:20	profily to jasné vypili these to sou ty než ze sme jsou tedy té používáte
0:14:25	k ovládání
0:14:27	pár stroje podstatě taková ta včelička která se stará to by to profily byly vyjádřena
0:14:32	členy
0:14:33	a slouží k manipulaci odstraňování přidávání
0:14:37	rozhodování z nuly znovunačtení
0:14:40	a ještě práci s keší
0:14:43	jas dva apparmor to je specifické na open suse to je takový řekl pokus o
0:14:48	grafické rozhraní které vám pomůže
0:14:50	přeji že potřebujete pomoct s těmi profily a apparmor do s
0:14:56	dokumenty dokumentace
0:15:01	tak
0:15:02	důležité věci je když teda
0:15:04	mel bys
0:15:05	chci near jestli to funguje tak jak zjistím že to běží pokud máte to štěstí
0:15:10	nebo smůlu a váš systém používá systemd jí tak systému kontrol status vám řekne
0:15:17	stav této služby
0:15:19	zasedne distribuce může být název služby trochu jiný
0:15:23	bych odkázal na dokumentaci té distribuce
0:15:26	a _e status ten by měli všude stejní tedy vlastně líbí šestá
0:15:32	stavy sally profilu že bude čas doufám že bude tak vám to potom ukážu vy
0:15:35	ty výpisy
0:15:37	a ještě poslední je možnost té přestřelce s
0:15:41	a ze si pošli nejde to flagů zeptal kazet které vlastně ukazuje jestli stav toho
0:15:49	to ti to toho se koliby modulu
0:15:51	případě se selinux vám to ukáže ten štítek připojoval mu to ukáže jaký profi načtený
0:15:56	potom ještě důležitá věc protože apparmor se ví _e každá distribuce push jakékoli verzi může
0:16:03	mít jinou verzi apparmor u anebo dyž už té doby se třeba chtěli pracovat s
0:16:08	profily pro jo distribuci taky dobrý si zjistit jestli ten profil pochází ze stejné nezapadlo
0:16:13	nebo sám taky může tak stál
0:16:14	že se lanko načíst protože tam nějaká
0:16:17	nějaká funkce ne není možné _m že není možné použít
0:16:24	jak může ovládat
0:16:26	jo
0:16:27	se změnil a status
0:16:29	potom zde sou příkazy na vlastně na tu no to zařazování profilů
0:16:34	takže to _e com playing anchors a disable
0:16:40	potom ten apparmor pár se tedy vláda ty profily a
0:16:43	no občas vám to může ho dyž potřebujete třeba ji načíst jeden profil a nechcete
0:16:48	potom _e zaplacený apparmor když vemete nebo hledání té
0:16:52	další je auto d p takový dobrý nástroj který pomáhá právě s tím že když
0:16:58	mám nějakou aplikaci nebo řady skript
0:17:01	a chci brně vytvořit profil tak vlastně pustím vás stejnou teda kanály vytvoří jakousi kostru
0:17:09	toho co ten skript
0:17:10	tak tam chtěl šahat a vlastně to že ten profil pro mě nebo za mě
0:17:15	dukla s tím se že bude čas až antum ukážu jak se to dělá na
0:17:19	to vypadá
0:17:21	potom chtělo proof to je
0:17:23	auto ta která prochází lo
0:17:25	aha
0:17:28	typicky i ten dva roky
0:17:31	audi
0:17:34	a
0:17:35	aby to
0:17:37	a prochází ten loktech zakázaných
0:17:41	volání
0:17:42	a nabízí vám jestli chcete odplatu za to prov už a nejde že ne jakou
0:17:46	školu
0:17:47	to je taky dobré akorát je tam problém ten že prochází celej rok takže se
0:17:51	může stát že tam je denisa padesát metr padesát aplikace ano ne ano ne ano
0:17:55	ne
0:18:01	potom eště možné to no a pánové přes konfigurační soubory které jsou federace apparmor
0:18:07	apparmor tečka d tam sou ty profily tady budu radši soubory vy můžete změnit spoustu
0:18:13	věcí ale si mysim že typicky to není potřeba měnit jako nějaké dechový sestry kam
0:18:17	chceš _e pro profily nebo tam se
0:18:19	tam se dívali na logy
0:18:23	nebo jestli je potřeba nebo jestli cena by aby byla použita cache nebo ne
0:18:27	takeš slouží vlastně
0:18:30	tomu ke kešu nadšení profilu
0:18:35	když se to by se skočila do toho adamse apparmor de a takže na tu
0:18:40	změnu tak si to přáli
0:18:41	ne nemusí promítne do tý do tý keše je ten profil ještě furt země stavu
0:18:46	ale chci pracovat jenom s tím profilem
0:18:48	pro testovací účely tak si můžu pustit
0:18:51	nebo můžu plotem s obočím o tom
0:18:53	apparmor ja tebe potom jsou že dyž potřebuju aby se zároveň ušil dne na den
0:18:58	ne načítat do dvora
0:19:01	globální teda šikovně že to je zkratku kterou jste očekávali že u něčeho co vám
0:19:07	a metra cesta neska deset _e
0:19:08	špatný nebo dobrý volání
0:19:11	ten blok operaci mu jsem zmínil se nacházíme maroka logice audi to
0:19:17	o
0:19:18	je ten výchozí logování jediná kdo prací
0:19:23	to se týká právě třeba z toho _e for sou ale ú komplexními
0:19:30	tam se
0:19:32	zapisují operace
0:19:35	evald ale které byly zcela zakázané
0:19:38	to je právě proto potom pro můžu si to pohlazení
0:19:43	jak sem tady zmínil některé typy kardinalita load status potom jsou ještě štěně
0:19:49	které
0:19:51	může být třeba i
0:19:55	fedora audit je zima ubytovat třeba co nebo kdy by se dotkl
0:20:01	_e program ta aplikace nějaké adresáře tak jenom brokeru
0:20:05	pro informaci
0:20:06	potom jsou lobují operace víš vytvářím adresář vytváří soubory pracuje s profily
0:20:13	tech tam je víc ale měl _m pro představu sem se mi to stačí
0:20:17	kdo by chtěl jsem že tuto podívat na dokumentaci
0:20:20	abstrakce a ženské profily
0:20:23	to je na ste věcí jsem se teda měl tak jsem přidal
0:20:27	to je taková trošku víc zajímavější věc
0:20:31	a to
0:20:32	to zejména pro to že vám vlastně když sem podívat na ten profil jako takový
0:20:37	tak ten profily většinou nebo ty profily by měly být byly vypsány pro jednu aplikaci
0:20:44	projede účel
0:20:45	jo je to nedocházelo řekněme je tam klienti nezbytný
0:20:49	práva který ze jsou potřeba
0:20:51	takže
0:20:52	mám aplikaci jedna nám profil jedna aplikaci dvě profil dvě
0:20:55	případě že třeba aplikace jedna ty aplikace dvě
0:20:59	používají stejnou stejné věci jako třeba tady mám
0:21:03	uvedeným bejt skoncoval s name services
0:21:07	co š přístup řídit je konzolí na artuše to
0:21:11	těch konzol nebo jdete dají
0:21:14	a nemuseli se fu hledání nebo služby které poskytují nejde zrušen
0:21:23	přepadnem
0:21:24	_e
0:21:26	zas abych každou pro filtry to vypisoval tak si vytvořen jakýsi abstrakt
0:21:31	tam řeknu
0:21:33	tady to je ten tam stran definuje přítoky ty konzoli mu ten konzoli které jsem
0:21:37	systém dostupné a dokaž do profilu potom jenom o vložím tady tu ten _e ten
0:21:43	_e profil
0:21:44	takže se ten rozsahu sou jakoby nic moc neděla sam nic moc se zakazuje s
0:21:49	ale definuje to co potom nepovolené proto pro tu pro tu aplikaci která to využívala
0:21:56	takže to je taková ta
0:21:58	možnost jaksi trochu úlet ulehčit práci a hlavně potom ty třeba zprávu kódu nějakým způsobem
0:22:06	s šesti prostě aby nemusel o potřebě že profil a jenom nenudil
0:22:10	tak napadá si profil a profilech
0:22:12	tak dám jedno alence aby dopadne všecko
0:22:16	toto právě slouží k tomu
0:22:18	takže vím seskupení
0:22:21	toho se zkus seskupeni
0:22:23	právě to že nemůžete rád několik tech
0:22:27	několik
0:22:28	to nazval
0:22:31	nikoli
0:22:34	věcí který ty aplikace mají dělat dyž si dám třeba pro xka že prostě musím
0:22:39	přístup tam a tam tak lze seskupit
0:22:42	a potom zlatem jenom ten jeden tady ten profil
0:22:50	německé profily
0:22:52	a
0:22:53	takzvané lokální profily
0:22:58	to je
0:22:59	není úplně ženský profil ale jedná se o to dyž
0:23:05	mám třeba tu možnost nebo chci vědět jakou je nějakou malou změnu
0:23:09	ale nechci zasahovat přímo do toho řekněme souboru konkurz v našem souboru to profilu který
0:23:18	přišel byste učím balíčku protože tam se může stát že tam nějaká změna tak aby
0:23:22	vlastně přepsalo a nebo
0:23:25	jak používá nějakou starou verzi nebo kde ke změně přejmenování nějaký adresáři přes přesunutí tím
0:23:30	pádem ten profil přestane fungovat takže abych měl či řekněme čistý systémový nebo sem ten
0:23:37	systémový profil provoz to balíčku tak při daném jako lokální změnu mimo
0:23:42	to se většinou o zase záleží na tom je to na diskuzi nastavený na stará
0:23:48	ale
0:23:49	dělá se do a etc apparmor nerovnou call
0:23:53	tam jsou jste ty soubory většinou utekly distribuční ta sonda open suse sem se koukal
0:23:58	takovou všech sou
0:23:59	na includován _e tento
0:24:03	local adresář který obsahuje stejné stejnojmenný název toho profilu
0:24:09	a _e
0:24:10	podstatě jsou na includován ewing veškeré věci které se v něm vyskytnou a přepíšou to
0:24:15	co tam je
0:24:16	mají default o jeden všude distribuci
0:24:22	ta takže ten lokální profil umožňuje definovat rozdílná práva
0:24:29	například když máme tu to yum i uvedená to furt nudíš aplikace foukne jaké jsou
0:24:36	potomka nebo nějaký byliny proces
0:24:39	a
0:24:40	chci aby se nej aplikovali jiný profil protože například
0:24:44	já nevim volám nějakou součástí teda
0:24:47	a přece jen přes lidí když tam aplikace jako taková nepotřebuje sníh tak si dodat
0:24:52	definuje do toho holubi pro file si definuju
0:24:57	přesně to co to co to má dělat jo případě toho že
0:25:03	použiješ nebo u for pudeš tento proces tak použit vodseru profilu a je to vlastně
0:25:09	dál v jednom všecko v jednom profilu potom by se ten profil vygeneruje tak je
0:25:13	v jednom profilu ale je to definované pro více bych řekněme aplikacím procesů
0:25:22	ano také ze s to použít pro to
0:25:26	na
0:25:27	aplikace dvoupruhy uvěznění procesů které mají rozdílné parametry
0:25:33	ty parametry například litr že když vezmeme pět
0:25:38	tak letem jako takový umožňuje nemohla dat no pracovat nastartovala na ale i s komplexem
0:25:45	kontejnerama
0:25:46	a
0:25:47	jak takže alexe nebo klemu mají lidi ne
0:25:52	jiné požadavky
0:25:53	nebo na nebo i jiný
0:25:57	mění profil který ten bych měla se to co může komu a to co může
0:26:00	lehce
0:26:01	a nezakryje to vlastně
0:26:04	tím že pustím litry který má vlastní profil a potom a tužku s tím ve
0:26:10	to a přes klemu nebo podepsali chce tak on se prostě vyberete _m prochodili nadále
0:26:14	a tím pádem se zase nedochází to může by dostal ten profil věnní s nic
0:26:18	právě by měl mít
0:26:20	threadu v jednom profilu by byla slyšet češi neměli povolení všecko
0:26:24	s tímto přístupem řeknu ty má tvojí tohle ty máš kulový tam to a oukej
0:26:29	to bezpečnější
0:26:32	co přimyšlen tak jedině jednoduché to vypadá na tom slajdu
0:26:37	potom ještě existují takzvaný šablony a jak už jsem nesnídal ten liberec tak právě liberec
0:26:44	používala
0:26:46	tyto šablony
0:26:48	pro generování
0:26:50	aktuálních profilů pro tebe virtuální mašíny nebo ty kontejnery
0:26:57	jedná se o to že
0:26:59	vlastně apparmor definuje jakejsi základní profil
0:27:04	a
0:27:05	je ten nástupu do práce aplikace protože a pan jako takový negeneruje ty profily ale
0:27:10	může nikdo mu základním profilu aby se ta aplikace za ten základní profil aplikoval na
0:27:16	sobě
0:27:17	potom aplikovat třeba změny které a když soud řádku dračím souboru byl toho virtualizovány křečka
0:27:24	kontejneru a vytvořila si a parma profil a jakmile vytvoří tak potom vlastně jsem přepne
0:27:31	do toho moru do toho nového _m nového profilu
0:27:34	a tím pádem vlastně každé každý kontejner může mi trochu ví profil
0:27:47	jak sem možná už zmínil ty základní o ten profil pro lituje je to je
0:27:53	rozdílný dneš ten té jsi potom používá pro ty pro tebe to a jeho nebo
0:27:58	ty kontejnery
0:28:00	cože důležitá informace právě proto že lituje teď jako takový má jiné požadavky nežli k
0:28:06	vemu než velice
0:28:09	a jak jsem říkala pro neumožňuje vlastně potom v rámci toho procesu se slečnou ta
0:28:14	jinej profil a říct tak teďka běží vtom o tom i ne profilu
0:28:22	apparmor a kontejnery
0:28:25	ta taky jako celkem zajímavá věc
0:28:29	samozřejmě ne vy se měli lehce mohou běžet slapem armáda profilem
0:28:36	nesázel _e režimu
0:28:40	sem se koukal tak celou dockeru je to
0:28:43	docker default
0:28:45	a eric se škol na se default
0:28:48	něco
0:28:52	by to podobný princip že vlastně ten kontejner když nebo když se stane ten kontejner
0:28:59	vytvoří se ten nově ve se ten profil s toho základního profilu tak ty kontent
0:29:04	ty profily sou rezavou unifikované ve smyslu umí déčka
0:29:11	si víte že byl tlak nedělitelná unie škol
0:29:14	kterým se prezentuje a vy je unikátní což znamená že ten profil někdo může být
0:29:22	nebo jsou starší verzi dockeru
0:29:24	a i u úhel bych se ježka je to
0:29:27	etc apparmor d lomeno vypije mx c
0:29:33	a případně u dockeru to je zase apparmor de lomeno docker
0:29:38	takže vytvoří prostě profil
0:29:40	ten docker default pomlčka a umí den třeba
0:29:44	takže prostě je jasné že tento den odhadl na ležíte v tom kontejneru
0:29:49	který se zavři na vrchol si rázný o tom ručně
0:29:53	ale zase tam je problém toho že jsem říkal že sou generované za běhu tak
0:29:58	vlastně ta aplikace která bude pude to je to a
0:30:03	netrap nebo tak nějak
0:30:05	se to menuje u dockeru to musíte dělat docker přímo sám
0:30:10	tak on si to zkontroluje jestli to odpovídá tomu k čemu by mělo tak to
0:30:15	nechá jak na to nokia tak upraví tak většinu tom by to mělo povídal
0:30:20	případě že nejistého vytvoří případě že jedinej tebou pravý
0:30:24	to znamená že tam je zas potom potřeboval brát v potaz to co je tom
0:30:27	na tom základním a leje může to upravovat ale s potom hrozí to že
0:30:35	to přepíše poutech amen
0:30:37	defaultní nastavení je možné mu tam ještě teda parametrem použít jiný profil tím pádem se
0:30:42	uvede do přeskočí a půl jestli puštěný dělali bordel
0:30:47	to je při bez to že byste chtěli nějak mimo o test pět set otec
0:30:50	a testovat na nové nastavení
0:30:57	je to
0:30:57	eště nebude se tak na takzvaný prof pro farem space jestli někdo byl prostě stres
0:31:03	kontejnerama tak víte co nejspe jsi tak to ještě
0:31:07	toto je vlastně možné pustit prostě ten na apparmor profil ještě je vinen spisu
0:31:13	co šel
0:31:15	úkon denně u kontejnerů je celkem dobře na věc a nebo se dají použít například
0:31:20	u
0:31:21	who the tom postu
0:31:24	které běží vyvine vy ne nejsme nejspe jsou
0:31:28	co apparmor nedělala
0:31:31	ne větší za vás celá
0:31:33	a nejedná se o stoprocentní ochranu
0:31:36	proti všem útokům
0:31:38	s čehož
0:31:40	plyne to že není vše spásný a obsahuje babi
0:31:44	ale stále stali to je to další vrstva která vám pomůže nějakým způsobem ochránit svůj
0:31:52	systém před nechtěným toky
0:31:56	není možné používat a pan a jestli se zároveň nebo jinou alternativu
0:32:02	zatím teda
0:32:04	a konverze není ani možná mezi profily ponoru a politika ne selinux
0:32:11	další věc je že tam není žádný slepý
0:32:16	graficky rozhraní trestají byste mohli vytvářet ty profily jas celou teda tak pokouší ale
0:32:24	kdo zná já s takový
0:32:27	úprava profilu probíhá expo vzteklá důležitá věc že vlastně
0:32:32	a když to pro aktivní ochrana ale to prvotní puštění proti generování profilu nebo úpravy
0:32:38	se vlastně pro ani až potom co to ze stěn
0:32:41	což se za třeba případě to learning módu
0:32:45	a znamená to jít aplikace to provede a pro já se to dozvím že se
0:32:48	pokusil už udělal něco co
0:32:50	asi neměl
0:32:51	kdežto když to někdo _e false módu také provede ale
0:32:56	tím vlastně zabráním tomu se provedlo ale furt je to vlastně náš potom že obr
0:33:00	autem protože ten takže by jste pustil aplikaci a ten profil se ještě vlastně předtím
0:33:05	než by aplikace řekne chci měla tohle a pak ho si řekla a ty cíga
0:33:09	tohle na to hlasy nemůžeš teda zakážu
0:33:12	_e je to prostě potom je náš následně analyzováním logů
0:33:17	a zpočátku může být obtížnější vytváření profilů a
0:33:23	potom je i
0:33:26	ne lyžovat
0:33:28	to záleží jestli na každém z vás jak jste třeba z ručního jako máte výdrž
0:33:35	je tam hodně věcí takový základní to je potřeba znát ale potom když ještě se
0:33:41	podívá na a co a profilu třeba vydání zdroj informací jak ty bere ostatní a
0:33:46	funguje to tak
0:33:49	to potom nejde starosta ti tak těžké
0:33:51	ačkoliv teda south atrakce to pak _e
0:33:54	celkem zábava
0:34:06	protože řezat neprošli a selinux no tak můžem slepice zapnutý porazit lidstvo to není nutné
0:34:13	tak na základě analýzy ty žádný výkon byl s ti nový moduly ktorý by mohli
0:34:19	to co cizí pokrýt toho abys cibuli chráněný listy frontě
0:34:24	na toto jo takže na základě
0:34:27	ste vtom to není módy tým potom se stýkáš to probíhá tím a loga máš
0:34:31	potom že to není tak že by za běhu ten a formou si to dál
0:34:35	chce sibling najednou vyprosil termín polsku pokrýt tady to řeči source zakázal o čem bys
0:34:42	musel nějakou před elit
0:34:43	čili intervence z nějaký ten tu nějak odtud lýtku slíbil
0:34:48	s toho členem stýho prý slušnýho je to je ten long pro který vlastně projekt
0:34:55	dev _e projekty ten audit o a ty operace nedám jsou zakázané tak tam najde
0:35:01	řekne
0:35:02	je to naplánujete je to co uživatel nebo to co ty chceš tyto volit nebo
0:35:06	nechceš tak a tam vykládal chci volit ne nechci volit a dva přidat do profilu
0:35:10	auto desky a případně se draply manuálně a uvedeno do profi _e toho tom jeho
0:35:16	samý dá rozdíly
0:35:18	o to toho spuštění posledního to tam bylo tak ani já ty rozdíly všech profilu
0:35:23	není možný aspoň jsem nenašel jako vymkly může tuhle linii nebo ta ten profil ale
0:35:28	vím že to projde no a já tady o tom že ukážu že by pohřbený
0:35:32	část tak ukážu jak ve filmu že to bylo
0:35:39	neaplikuje se už neběží ty procesy to je důležitá informace podstatě jak mnou fámy do
0:35:44	běží no tak
0:35:45	proste na máte smůlu
0:35:47	sto z restartovat
0:35:49	co je možné je s toho když _e svázaný tak ho
0:35:54	o svázat odpoutal
0:35:55	to je možné za běhu
0:35:57	ale není možné mu pod nos potom na zpátky říct mu
0:36:01	ale náš tady profil
0:36:04	teď jsme nemuselo jich několik
0:36:06	to je znovunačtení toho to procesu
0:36:09	takže to není možné údivu ještě procesu při přidat ale je potřebovali restartovat
0:36:16	v jednom koukal dvakrát
0:36:18	a
0:36:20	to jsem já jsem nepodařilo smazat
0:36:23	huby
0:36:25	no a teď že nikdo může máme čas tak se můžem
0:36:29	podívat na bonusy
0:36:32	tady co vidíte
0:36:34	tak je profil titulek je tak jak vypadá tak takový profil a nulu
0:36:42	je tady jakási konvence jak byste měli psát nebo je dvě věty měli název toho
0:36:47	profilu ale je to koryto konvence a dyžtak nedodá podle sebe tak
0:36:52	tak já jsem to nestane akorát potom levnější fabrikou jinýho aby zjistil holky
0:36:58	když tady nám tahaj float tak pokud se bude jmenovat jak nedovedl na přírodní uzel
0:37:03	benchmark hosts
0:37:05	tak je jasné je to fí uzel vyflákl když to velká jako s tak to
0:37:08	může vypadat po
0:37:10	někde
0:37:11	kdo ví
0:37:15	a vtom na tom profilu jsem zmiňoval tu hlavičku novou značku komponent rastrové
0:37:24	pusto von play módu
0:37:26	závislosti na verzi apparmor u těch novějších přesto stáhl jsou jít ale eště furt to
0:37:32	platí jo
0:37:33	co popper až na půdu toho nebude
0:37:38	jak tedy víte třeba že má přístup do
0:37:42	je les
0:37:45	ty
0:37:48	značky _e eště třeba herečku pro čtení říct
0:37:54	potom
0:37:57	w the right jako zápis
0:38:01	po to na
0:38:02	to _e potřeba je že umožňuje mapovat spořitelna data
0:38:08	do paměti
0:38:12	potom tam ještě je
0:38:14	jí nic
0:38:16	potom jsou
0:38:17	bejt celá ulice to sou to sou flagy terén příznaky které se vážou ke spuštění
0:38:24	a _e rozpuštění
0:38:25	a
0:38:28	jestli se tam mají předávat systémové proměnné takové věci
0:38:37	tady ještě ten jste použití abstrakce
0:38:41	okamži obětní beránek ping tak _e který můžete je vidět že je možné definovat rovnice
0:38:47	umístění jo že ten pin může být fí lze by a nemůžu jednom kdyby
0:38:52	ale název toho profiluje většinou jeden a toho to je
0:38:57	nějaké ušel where did je to může bejt nebo
0:39:00	že to moc a přes a mezi ne distribuce tak aby se zachovala na tebe
0:39:03	tady stojí no distribucí tak je tam uvedený je ta cesta třeba by ten pin
0:39:10	se tomu že ne ty tři ty tři a stačí profily u sem říkal pro
0:39:17	síť pro konzole a pro nej resolutions už poppingu bysme očekávali
0:39:23	a
0:39:24	co tam etapě ty papa byly ty které může můžete ten top proces použít
0:39:32	a si myslím že možná ze i dostaneme potom k ukázce
0:39:37	až bude čas
0:39:38	jak třeba bych lokáních změn je co zakázat pingu aby
0:39:44	mohl by mnou
0:39:46	novější verzi je parabolic a možná je to dovolit tady uzel jo že celá řeknu
0:39:51	tento uživatel nebo neníli nebo ne nepouštěli ten proces tento uživatel tak
0:39:58	může tohle nebo nemůže tohle
0:40:02	a tam dole ty předbíhat je ty ten úkol bimbej tak tam není vidět že
0:40:06	teda ty úpravy můžu dělat vtom ok a potom ty lokální změny to lokální profilu
0:40:15	další je práce
0:40:17	soud nohou láska práce spořitelny
0:40:21	takové ty základní jak to přepnout komponentu _e fosu a nebo o zakázat profil a
0:40:26	tím pádem publikaci prostě
0:40:28	pustit
0:40:30	takže
0:40:31	a
0:40:34	takže ku si můžete mi někdy běží
0:40:48	tak tady vidíme že ty aktuální
0:40:52	horní
0:40:57	jestli to bude vědět
0:41:02	je to citelný takhle povinen řádku
0:41:07	to vzalo se předpokládá že jo
0:41:09	tak to je tady vidět ten call blíže běží nesporné že mu
0:41:15	a my ho teda dáme
0:41:16	přes a
0:41:19	a kontrola ji
0:41:23	cestu k tomu profilů
0:41:42	vzorek
0:42:05	neštěstí
0:42:08	jsem říkal na tebe se to na ten navíc proces
0:42:12	ale když dám
0:42:19	tak učiním že věžích komprimovanou
0:42:23	další debil ten enforces takže když už tak je nově s jakýmsi způsobem svázaný tak
0:42:29	tak by mělo fungovat
0:42:31	přímo je to nula
0:42:39	a příště může lehce
0:42:43	a nebo na taky
0:42:44	že teda ne
0:42:46	a
0:42:52	tady neřekne
0:42:54	i nesvá za ně
0:43:00	nedostane vytvoření profilu
0:43:02	a
0:43:03	dejme tomu že má nějaký irský program myši
0:43:07	který podstatě líbí že jaké informace pokusí se
0:43:11	úředníci práva a
0:43:14	je vypsat děti si
0:43:17	a potom teda na ten na tomto na tomto skrytu pustím autorem ptejte ten trend
0:43:23	o že ten profil za mě
0:43:25	a to neskončilo den profily stane všecko co tam mělo být pokud vím pokud nevim
0:43:29	tak
0:43:30	počkám chtít rok on do komplikujou a počkám to co bude chtít eště paměti přístup
0:43:36	a zkontroluju blok je s teda není tvrzenýho případě že není tak to můžu ten
0:43:41	profilu
0:43:42	a ta potřebu do letos modul ušil
0:43:47	von jsou a ne
0:43:49	což o tady u fandů máme mám tady
0:44:00	já nevím tady
0:44:22	takže se do štětce tom jestli teď si vem systému
0:44:25	u show a scanovat
0:44:27	napřed a řekneme profilu
0:44:30	případě že by tam byly nějaké věci
0:44:33	jsem říkal jestli je možné že vtom u té diskrétní telefon že jo
0:44:40	tady
0:44:41	důležitá je aktuálně důležitá informace bylo nepovinné nepustí
0:44:45	ale jenom se kouknete tam je a pokusí se udělanou co je to moc udělat
0:44:50	tak tady někde že byl pro fair play s pro ten můj soubor
0:44:56	a
0:44:58	tady potom ještě jednou když
0:45:01	sme finish operaci
0:45:04	a teďka vy si dáme
0:45:06	a
0:45:09	ne
0:45:11	tak už tam ne
0:45:18	to je temný
0:45:22	tak
0:45:23	toto teda mnoho drivery geny generovaný už tam hodil nějaký do
0:45:27	to globální proměnné
0:45:30	přidal tam vlastně bereš protože to je tom souboru je uvedeno hlavičce
0:45:34	tady bylo vidět jedeš
0:45:37	tak ho tam nepustila
0:45:38	při přístup pro čtení pro ten soubor kterej který jsem pouštěl
0:45:43	jsem za už má žena přístupem souboru
0:45:48	to znamená že teďka když to
0:45:50	pustí jiné
0:45:53	tady můžeme
0:45:55	kontrola tento
0:45:58	což možná bude lepší udělat to
0:46:18	tak tedy vidíme
0:46:22	že máte když _e jedná ale z důvodu toho že se
0:46:26	nesla za ten profil z toho
0:46:30	se to před
0:46:34	l to je ten posun
0:46:36	jo je tady
0:46:38	takže
0:46:40	dat
0:47:09	tak on tam přímo do toho ní
0:47:12	ta která chatu leze koukám že předtím to
0:47:15	jenom vytvořil ale nedal toho
0:47:19	do info sumu
0:47:23	to je takže protože systém před tím že přednášek
0:47:31	pošťanda není
0:47:35	to znamená že když pustím teďka ten
0:47:40	tak vinou vypíše to co
0:47:41	to co by měl
0:47:45	tady pletete členem detail
0:47:48	nebo let nebo něco jaks takže tam není to něco
0:47:52	ty se boj a tady do toho auditorovu dativnosti rušením že
0:47:56	tady byly nějaké operace
0:48:02	zeném to můžete _m
0:48:05	roff jako takový by měl mít aspoň
0:48:13	jo tady třeba vidim
0:48:17	zakázány
0:48:20	tak a zemí
0:48:22	vezmeš
0:48:26	takže
0:48:27	to je taky je vidět
0:48:30	že mu zakázal něco
0:48:32	což nutně potřebuje ne nepotřebuje do městečka jí takže to má zakázané
0:48:39	a když hotelech ste tady už měli předtím když ho dám do ten fór s
0:48:43	tak
0:48:47	je to prostě za
0:48:49	mi to nepovolí
0:48:52	ale že nám do kompletní
0:49:04	tak tedy bysme měli potom vidět i jo
0:49:08	tady třeba ne
0:49:11	je vidět že to bylo povolené ale že chtěli jít
0:49:14	respektive tady hned
0:49:18	že chtěl
0:49:20	chtít hrát tedy je
0:49:23	vlastně
0:49:25	ú
0:49:26	a vesel
0:49:29	rtcd tam hned mě štyři takže vlastně
0:49:31	pustil hned
0:49:32	a to povolené
0:49:34	když mu když irán tam pozvolna cepstrum viděli že to chce za každou je všecko
0:49:49	že jsem vás muset prokazovat že to mám eště víc ukázek rauš nám vychází část
0:49:54	tak je to vytvoření teďka na otázku byste posluchače
0:49:58	se dejte vědět _e tom tento skryt který na lavičce
0:50:02	definováno ústně by beneš
0:50:06	a když ten fór s tak se měli to tam zakázal
0:50:10	pokuď ale opustím přes bereš a cestou domů souboru a mashe té samé cestě jako
0:50:17	jakožto beneš
0:50:18	tak se vykoná jakoby se nechumelilo
0:50:22	to že někdo proč
0:50:33	je tam parametrem toto je toto mám tričko
0:50:37	izrael konstanta to bude sedět
0:50:41	_e to takže že vlastně tom prvním případě že pustina přímo tak pouště ten proces
0:50:46	ale když dáme šla cestou je teda se parametr kterej pusť f potom ten déšť
0:50:50	a ten profil není psané jakoby prvé škoda kvůli tomu co by profil probereš ktery
0:50:57	takže také možné
0:51:00	napsat pro bash profil tady bude alias celej puštěný že se světu
0:51:14	tvrdáky další jako ukázky
0:51:30	záleží nám verzi může je tresty takže verzi ušije i představený nějaký logické brand inzeráty
0:51:38	říct i mizérie je ze není a
0:51:41	nebo ona třeba je nebo není
0:51:45	a ten ještě pět lokální změny té jak jsem říkal třeba mám ten balíček a
0:51:50	tím se vyzkoušet
0:51:53	nezanesených rezervy
0:51:54	máte má profil a
0:51:57	tak dem
0:51:59	se podíváme
0:52:14	kdyby tak tady vidíme že má povolené podstatě síť nějaký věci což nás je to
0:52:19	moc nezajímá
0:52:20	a to je ten inkoust _e já zajímavý
0:52:23	ten teda říká že by k by měl fungovat znamená že dyž já tady damping
0:52:29	co a tak vím že funguje
0:52:32	když to o ještě se dá můžem podívat
0:52:36	na status že
0:52:38	máme ten pin
0:52:41	a vidím že po cestě
0:52:43	daleko smůlu
0:52:45	to je vaření hypotéz některý mají propylaje ale ne neběží něm protože je sukně předtím
0:52:51	pět dvanáct nezajímá ten ping a
0:52:55	teďka dyž teda dám
0:52:57	tu změnu
0:53:01	se tedy pučím jednu věc že toho
0:53:07	a já mu tady jo frekvence máme a motají řeknu já nechci abys používal síť
0:53:13	a potom musím
0:53:18	přes apparmor pár se mu tam
0:53:21	říct error jako
0:53:22	všeci chci načíst _e profil ten
0:53:25	trošku je ještě příkaz a
0:53:28	i nefunguje
0:53:30	jo takže to se takže jsem schopen si vybrat i pro upravit s tím aniž
0:53:34	bych se dotkl toho základního filtry
0:53:37	nepřišel distribuci
0:53:41	tom práce s za pak parserem
0:53:45	ze se možné i některé operace půjdou uživatelé že se je celá schopen restarty profile
0:53:50	byly a ta komprese jsou k dispozici ale nemůže operovat tomuto potom potřebuje zděšená oprávněně
0:53:57	von je třeba uvedeny
0:54:00	manipulace s profilem jako kryjou triumf a nebo vložit
0:54:07	a jo to je všecko padesát tři takže se náké takže tě zdroje
0:54:13	je možné najít hodně věcí
0:54:17	minimálně co je doporučoval tak je
0:54:21	stránka
0:54:25	věky apparmor ne
0:54:28	která podstatě
0:54:31	odpoví na přes vaše otázky ta první jsou sekonu pleteš _e tam je té takový
0:54:37	auto udělaj tak je tam jsou tři kroky a je to hezky rozdělené takže také
0:54:42	dobrý zdroj nebo na ubuntu
0:54:45	mají taky
0:54:46	podstatě
0:54:48	de
0:54:51	můžete najít nějaké informace
0:54:53	tak jestli jsou nějaké otázky vondra
0:54:57	tyto slajdy není to zajímavé jak jsou na githubu
0:55:04	možná voni to zajímat o tam i ve verzi
0:55:08	já bych s tou lodí se vrátil k těm kontejnerům tam to nebylo úplně jasný
0:55:13	standardně se udělá a někde sto milisekund a dnes ten můj dobrý prouz _e jo
0:55:19	a já když si chci upravíte tak běžného to naklonovat do toho koukala se s
0:55:24	streamů víte nebo jakým způsobem je doporučené
0:55:28	si ten prosadil který by je vygenerovaný automaticky
0:55:32	se změnit
0:55:35	umožňuje nebo je to možné jak jsem říkal že on tenhle pokud že to řekněme
0:55:39	nějaký systémový řešení že to je prostě vodejde já tam prostě jim no jestli chci
0:55:44	pro každý kontajnery protože téma dvacet kontejnerů na to každé a já jsem si rezignaci
0:55:49	na ni tam parametr který potom pracuje s tím že já mu dám ten profil
0:55:52	už hotovej
0:55:54	to tady děje takže parameterize konfiguračního souboru například aničce já mu řeknu že jaký je
0:56:00	ten jeho profánní jo tady to je tady ten a asi bude dělat
0:56:05	ne na tu tomu slouží
0:56:07	což není film
0:56:09	jo tendence klid else možné
0:56:13	mu říct jak je pro jakej profil prof armáda tady ten defaultní takže já může
0:56:17	dát pentéry chci autě ujetej už opravenej tak jako už a velice tak předpokládat že
0:56:22	tam bude tak já zase tolik jste se u elišce sem teď nějak eště komu
0:56:28	možnost otázky
0:56:29	on tam tomto tam vytváří do toho to vytváří do
0:56:34	do toho adresáře a nezapadlo flipped abych se a na jakém také možné mu potom
0:56:42	říct že má pracovat ale tam se jsem ve jistej nějakým je to jakoby
0:56:47	flexibilní ale předpokládejme na stejným principu jako tady docker jmenuje se zdá řekněte verzí se
0:56:53	mi to přepsalo ten konfigurák a to nechce to jsi mluvil takže jsem říkal že
0:56:58	záleží na verzi a toho to vlastně děláte tedy scény dělá to apparmor takže tam
0:57:02	ještě to záleží na veliteli teďka děti
0:57:16	spíte máme ten a po čase vysoustružit je serou politik může pořídil okno písíčko podobné
0:57:22	špatně slyším sem tam jsme se je toho přepočet trošku jo a taky se moment
0:57:28	prosím
0:57:29	a proc za patch a chcel by se mu načítací že se roku řídit že
0:57:34	může z družice členem okno hvězdička
0:57:37	a ví způsobem
0:57:38	no a patch
0:57:39	na protože jsem se mnou byl nějakej balík turbína jistou nějakou webovou aplikaci ne asi
0:57:45	mám kočku vedle tedy půl nepřítelem si mysim že je dokončený používat a počkej modul
0:57:51	kterej se na
0:57:54	a parma mysl _e
0:57:56	a tam potom to definovat vás ediktech utek konfigura konfiguracích pěkného s tou
0:58:01	případně ty aplikace
0:58:04	ale také je možný dodělat i přes ten lokál ale bude to asi víc _e
0:58:09	dnešní a můžete je doporučili použity modul tady je to s pokud žena dostupné to
0:58:14	že není jsou starší verzí a pláče
0:58:18	tam se jsem zajisté jak to udělat
0:58:21	to asi by se to muselo nějak pouštět
0:58:24	jakoby zvlášť třeba ne měděno cesta pač _e ale při ho několikrát slavii myslím space
0:58:29	u a tím pádem ty profily se dají aplikovat na ten na ten _e space
0:58:33	řekne
0:58:39	já bohužel musím končit ještě diskuzi protože máme další přednášku takže bych se na konečnou
0:58:44	přinášejícími

AppArmor

Neděle 5.11.2017 - E112

Zdenek Kubala (SUSE Linux s.r.o.)