já vás tady vítám vás neslyší ta
ne se nechovala susu se jako celek věděli
a zase pro vás připravil přednášku na téma
apparmor
sem se tam smí někdo
ano je
tak dobře
aktivně pracujete s tím nebo zkoušel ta
to je chcete zpracovávat ta přednáška zaměřená to byste nepochopili co to je jak to
funguje to můžete používat že ten jako vystrašený to vypadá
a eště sem se včera večer trochu nudil jsem např o nějaký takový malý informace
takže
protože se podívat na to
a nějaké základní věci a to co s tak informace o tom co to vůbec
je
té device krásná jak definice já si prosím přečíst
a prali rozšíření a ta linuxová mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti a
pan umožňuje definovat praní provedení určitého práce na úrovni jednotlivých procesů v závislosti na umístění
spořitelna souboru tím že na kritická místa jádro umístil volání svých kontrolních rutin
tím dochází ke zvýšení lže systému avšak je možné straně programu aby provedlo potenciálně nebezpečnou
akci která může vést k narušení bezpečnosti tři dny relace oprávnění
tak a že vše pochopil o čem to je může mi domů
takže mysim zmínil
a takovou důležitou věc a to je to nácek se všema metry akce zkontrolovat se
tam bezpečnostní metoda která explicitně nebo ne politiku která je povolena
ta
přibyly apparmor u se dá světel a se to co je tom profilu to co
tam budete to
je může dělat
případně zakázat ještě něco co jsi mě
v it opensource znamená že zdrojové kódy jsou dostupné normálně
na internetu vám trestní na to recept a
linuxu je jako takovém jádře jemuž od roku dva tisíce deset ho odveze dva šest
takže jako dobu tomu vše
a je to zase klid modul linuxy klidem modul
je to tak za návrat jinýho krát systémů chtěl možná někdo slyšel a selinux
to je to podstatě alternativa
ne selinux u
která umožňuje zabalí útokům až interním externím
a nebo dokonce i za doby útokům
co vše si
víte co sou zrady které byly útoky dosud ikee
eště nebe nanášeny takže na to nese ani ne nedělají žádné opravit
uplatňování politik takzvaný souboru pravidel si byla pomocí profilů
se stane se definuje ta aplikace může nebo nemůže dělat
ty profily
díky tomu že máme několik nebo máma mele variaci distribucí tak až ale distribuce na
ty profily upravené pro sebe zeném to může třeba lokace některých adresářů její na nižší
vojíne distribuce takže
ty profily třebas
tam příkaz časů to nemusí nutně fungovat na open suse
ale dej se upravit tak aby fungovaly by se tam zvíře jaká cesta nebo se
pro víš nějaká jiná oprávnění které která sou potřeba
čemu slouží a proč dobré je používat
cena
jedná se o to že apparmor přidává vlastně další vrstvu zabezpečení a tím snižuje riziko
kompletace systémů
případně tak _e tu mít dopady
pokud ten útok už byl proveden a to
zejména tím že vlastně definuje definován to profilu jsem schopen říci sem se můžeš a
jinam můžeš takže ten boční který by se dostanu toho do počítače
vlastně mám omezený
pole působnosti
já
také se to dá použít jako jakousi ochranu proti nezdivočelým aplikacím a to může být
například
nějaká cílená aplikace která se snaží jakým ale když se snažit pan takže ječet
a případně vy zneužít aplikaci nějakou k
například třeba vedro user
a nebo také jenom
sem se dá zabránit tím že aplikacema chybu nějakýma který za normálních okolností ne není
vidět ale
určitém případě je docela volit smazat nějaký a
adresáře mu soubory které má takovou nebo někde jinde
a také lze je za i zjistit vlastně
takže testováním že co ta aplikace té hoře stáhl chce dělat na mém systému a
jsem kdo může nebo ne
vtom že je se dá použít _e bezpečnostní moc
který já se pokusím se typy později
kde a pak _e a najdeme
jak jsem říkal fúzí distribucích já jsem tady uvedl
takové známějších
redhat nebo centos tam je záměrně tě jak jsem zmínil selinux
tak ten patří ho podržet na jeho derivátům
nejsem si jistý jestli tam s aktuálně mají balíčky ale ze ten to může rpm
balíčky se dají najít ta na open suse
i na snesl jsou takže předpokládám že jsou i fernetu
ne na
tak nemám
ty rpm balíčky nebo ne romové rpm balíčky se i vybuildit u nás na open
suse by byl celej se která může podstatě vytvořit kompilaci
kterýkoli balíček nebo vytvořit balíček s čehokoliv i pro jakoukoli distribuci
to není limitovaný ananasu se nebo open suse
případně pokud chcete tak můžete přímo náš peru forma panu si stáhnu ze školy a
sami se to zbuildit
u sem nač nule selinux apparmor tak jaké jsou rozdíly
jsou takové
řekne spíš individuální nebo
osobní pro někoho může být více náročné více komplexní
nastavovat
s selinux politiky u politiků
případně
tak u sem zmínil redhat a centos používá pak default selinux
apparmor je scott ubuntu bude by janou open suse nebo sou suse
a parma práce s cestami soše vy velký rozdíl oproti je se naučili pracuje se
štítky
což znamená že vlastně
politika ty profily se aplikují na cestu kam mám nebo odkud se lze pustí ten
ten program ta aplikace
no ten proces
tam _e tak ještě rozdíl tím že selinux přistupuje nové přistupuje k cestám jako takovým
ale kino dám a to se případě hardinů třeba může lišit
simtě funguje back je rozdíl mezi hanlivě vás okénkem nebo se psem enkem
tak
případě toho hardinovu pokud máme cestou například třeba etc apparmor ne tak pět od jedna
cesta ale může sahat linkovat
někam celý uzel etc nebo někam jinam
v tom případě ta cesta jako taková nebo cesta k tomu souboru je furt jedna
to sama ale
pohledu jinudy se jedná o jinou takže jsem sem přístup je trochu jiná
tím že dobrý jako vy dva různé objekty
na
apparmor krkem rodina na aplikace a selinux na sestup na systém jako celek
tomu se ještě dostaneme
později jaký sou
vlastně základní politiky nebo verze armor aplikovat na systém
pitts ještě podíváme na komponenty a nástroje
jedná se o karlovi modul který je zaveden jádra
to je jedna s komponent
druhý je pár server který podstatě má na starosti to že se stará o vkládání
těch profilu do jádra by se s nimi vlastně s nimi dalo pracovat
tady ty profily lze najít přímo když se třeba podíváme mbed jaké teprve sou načtené
tak a push přes ovládací pětky
které jsou k dispozici se na systému
tak je zároveň i se podíváme do si s
s
se s kernel se chvíli ty apparmor
mohli si pro file smyslem
co marie
tohoto může být trochu rozdílné je dle distribuce ale
standardně to vy čtete této cestě
není doporučené přímo jakoby upravovat je tedy tyto změny přes
se dá přes a leje do proč nepoužíváte u ty ledky případně jaké knihovny
jak to funguje
a parma načte při startu modul a limity dostupné profily
typické etc apparmor ví
cesta co moři závisí na distribuci pokuď je nějaká jiná
lze to přes konfigurační soubory upravit
tyto progrese roztřídit dle módu ve kterém ne nebo do kterého patří a path mode
sou puče to disable to znamená se úloze team anglické výrazy ale se překlad do
češtiny takový
kostrbatý a mluví spíš matoucí
visible zakázaný to znamená že ten profily což je ignorován
potom je ten tom plyn takzvaný learning holt který
vlastně se stará o to že
aplikace běží není reálně není omezena nebo není svázaná ale do logů
vám bude házet
práci tebe zakázané nebo které by byly zakázány kdyby byla opuštěna tom třetím módu
a ten forrest
tak za nasazená že prostě v noci na politika a tím pádem jo
když
no
chce zapisovat nebo číst někdy kdo nemá přístup tak zakázáno
a
tím pádem se neprovede ta operace
potom implicitní politika armor takle tu práci se jednoduše ale ranec jsou samozřejmě věci trochu
komplikovanější
ať už teda za a zakazující slajd trestem se znamená že vlastně zakážete všecko profil
ale povolím jenom to co chci
a nebo foley všecko ale zakážu jenom to co potřebuju
tom reálném světě se většinou používá takové takový ten mix
že vlastně ten systém jako takový
nezapomeneme na omezím celý protože by museli profily pro všecky aplikace pro všecky procesy byly
se pouštějí
ale udělám to tím ty na ty martin na ten na bázi to přeskoku olin
aleš potom zakazují tímhle městem tak tam jako ten black jistotou slouží jakýsi povolení pro
ty aplikace to znamená a malý aplikace profil tohle může udělat
takže taková ta kombinace
toho že vlastně nemáme profil tak tam osobně stará máme profil
tak jenom tohle může dělat
určení modul a jak
s nápadem nepozná tam ten profil zařadit
tak to lze to udělat například ta do hlavičky
jsem si byl kladný tam vidíte
a flagy natož disconnect i tak online
ten jistého armor
patří to do módu tomhle jen do toho learning módu
nebyla zajímalo co je ten matroš disconnect tak to je
se ptám může vlastně přímé práce napojené cesty
bez lomítka relativní sestry
a toff
tam se tech trefa vůz krát víc portem pro takový pro ilustraci případně pokuď jo
to co zakázat tak se dá ten profil simlink node do
lépe zapadl mi jezděj byl
čímž vlastně zas
jíst instruuje při startu ležel na ignorovat
a jako můžem začít používat
například na opensuse je součástí se na instalace to znamená dyž si dáte neco můj
systém tak máte mají default zapnutý a zase se nemusíte nic
silnic no starat je čapek profilu aspoň ty takové ty základní které se většinou používají
jako jed nebylo user si že i mailovy klient tak tam jsou zapnuté
a
si že i java myslíš tam a takový nějaký takže potřeby jste chráněni
push po té instalaci
ubuntu má to samé a debian ní je potřeba se nepletu u pravici
commandlinu krokem nepři bootu vratama
parametr
se kvality apparmor aby se na četl
a nebo to potom lze manuálně doinstalovat
pokud co budeš dispozici
nemaj se ho zeptá můžu
of
tady jenom k těm ty názvu souboru ty které můžete vidět tak ten je armádu
apparmor se stará ten modul cam na rovinu
profily to jasné vypili these to sou ty než ze sme jsou tedy té používáte
k ovládání
pár stroje podstatě taková ta včelička která se stará to by to profily byly vyjádřena
členy
a slouží k manipulaci odstraňování přidávání
rozhodování z nuly znovunačtení
a ještě práci s keší
jas dva apparmor to je specifické na open suse to je takový řekl pokus o
grafické rozhraní které vám pomůže
přeji že potřebujete pomoct s těmi profily a apparmor do s
dokumenty dokumentace
tak
důležité věci je když teda
mel bys
chci near jestli to funguje tak jak zjistím že to běží pokud máte to štěstí
nebo smůlu a váš systém používá systemd jí tak systému kontrol status vám řekne
stav této služby
zasedne distribuce může být název služby trochu jiný
bych odkázal na dokumentaci té distribuce
a _e status ten by měli všude stejní tedy vlastně líbí šestá
stavy sally profilu že bude čas doufám že bude tak vám to potom ukážu vy
ty výpisy
a ještě poslední je možnost té přestřelce s
a ze si pošli nejde to flagů zeptal kazet které vlastně ukazuje jestli stav toho
to ti to toho se koliby modulu
případě se selinux vám to ukáže ten štítek připojoval mu to ukáže jaký profi načtený
potom ještě důležitá věc protože apparmor se ví _e každá distribuce push jakékoli verzi může
mít jinou verzi apparmor u anebo dyž už té doby se třeba chtěli pracovat s
profily pro jo distribuci taky dobrý si zjistit jestli ten profil pochází ze stejné nezapadlo
nebo sám taky může tak stál
že se lanko načíst protože tam nějaká
nějaká funkce ne není možné _m že není možné použít
jak může ovládat
jo
se změnil a status
potom zde sou příkazy na vlastně na tu no to zařazování profilů
takže to _e com playing anchors a disable
potom ten apparmor pár se tedy vláda ty profily a
no občas vám to může ho dyž potřebujete třeba ji načíst jeden profil a nechcete
potom _e zaplacený apparmor když vemete nebo hledání té
další je auto d p takový dobrý nástroj který pomáhá právě s tím že když
mám nějakou aplikaci nebo řady skript
a chci brně vytvořit profil tak vlastně pustím vás stejnou teda kanály vytvoří jakousi kostru
toho co ten skript
tak tam chtěl šahat a vlastně to že ten profil pro mě nebo za mě
dukla s tím se že bude čas až antum ukážu jak se to dělá na
to vypadá
potom chtělo proof to je
auto ta která prochází lo
aha
typicky i ten dva roky
audi
a
aby to
a prochází ten loktech zakázaných
volání
a nabízí vám jestli chcete odplatu za to prov už a nejde že ne jakou
školu
to je taky dobré akorát je tam problém ten že prochází celej rok takže se
může stát že tam je denisa padesát metr padesát aplikace ano ne ano ne ano
ne
potom eště možné to no a pánové přes konfigurační soubory které jsou federace apparmor
apparmor tečka d tam sou ty profily tady budu radši soubory vy můžete změnit spoustu
věcí ale si mysim že typicky to není potřeba měnit jako nějaké dechový sestry kam
chceš _e pro profily nebo tam se
tam se dívali na logy
nebo jestli je potřeba nebo jestli cena by aby byla použita cache nebo ne
takeš slouží vlastně
tomu ke kešu nadšení profilu
když se to by se skočila do toho adamse apparmor de a takže na tu
změnu tak si to přáli
ne nemusí promítne do tý do tý keše je ten profil ještě furt země stavu
ale chci pracovat jenom s tím profilem
pro testovací účely tak si můžu pustit
nebo můžu plotem s obočím o tom
apparmor ja tebe potom jsou že dyž potřebuju aby se zároveň ušil dne na den
ne načítat do dvora
globální teda šikovně že to je zkratku kterou jste očekávali že u něčeho co vám
a metra cesta neska deset _e
špatný nebo dobrý volání
ten blok operaci mu jsem zmínil se nacházíme maroka logice audi to
o
je ten výchozí logování jediná kdo prací
to se týká právě třeba z toho _e for sou ale ú komplexními
tam se
zapisují operace
evald ale které byly zcela zakázané
to je právě proto potom pro můžu si to pohlazení
jak sem tady zmínil některé typy kardinalita load status potom jsou ještě štěně
které
může být třeba i
fedora audit je zima ubytovat třeba co nebo kdy by se dotkl
_e program ta aplikace nějaké adresáře tak jenom brokeru
pro informaci
potom jsou lobují operace víš vytvářím adresář vytváří soubory pracuje s profily
tech tam je víc ale měl _m pro představu sem se mi to stačí
kdo by chtěl jsem že tuto podívat na dokumentaci
abstrakce a ženské profily
to je na ste věcí jsem se teda měl tak jsem přidal
to je taková trošku víc zajímavější věc
a to
to zejména pro to že vám vlastně když sem podívat na ten profil jako takový
tak ten profily většinou nebo ty profily by měly být byly vypsány pro jednu aplikaci
projede účel
jo je to nedocházelo řekněme je tam klienti nezbytný
práva který ze jsou potřeba
takže
mám aplikaci jedna nám profil jedna aplikaci dvě profil dvě
případě že třeba aplikace jedna ty aplikace dvě
používají stejnou stejné věci jako třeba tady mám
uvedeným bejt skoncoval s name services
co š přístup řídit je konzolí na artuše to
těch konzol nebo jdete dají
a nemuseli se fu hledání nebo služby které poskytují nejde zrušen
přepadnem
_e
zas abych každou pro filtry to vypisoval tak si vytvořen jakýsi abstrakt
tam řeknu
tady to je ten tam stran definuje přítoky ty konzoli mu ten konzoli které jsem
systém dostupné a dokaž do profilu potom jenom o vložím tady tu ten _e ten
_e profil
takže se ten rozsahu sou jakoby nic moc neděla sam nic moc se zakazuje s
ale definuje to co potom nepovolené proto pro tu pro tu aplikaci která to využívala
takže to je taková ta
možnost jaksi trochu úlet ulehčit práci a hlavně potom ty třeba zprávu kódu nějakým způsobem
s šesti prostě aby nemusel o potřebě že profil a jenom nenudil
tak napadá si profil a profilech
tak dám jedno alence aby dopadne všecko
toto právě slouží k tomu
takže vím seskupení
toho se zkus seskupeni
právě to že nemůžete rád několik tech
několik
to nazval
nikoli
věcí který ty aplikace mají dělat dyž si dám třeba pro xka že prostě musím
přístup tam a tam tak lze seskupit
a potom zlatem jenom ten jeden tady ten profil
německé profily
a
takzvané lokální profily
to je
není úplně ženský profil ale jedná se o to dyž
mám třeba tu možnost nebo chci vědět jakou je nějakou malou změnu
ale nechci zasahovat přímo do toho řekněme souboru konkurz v našem souboru to profilu který
přišel byste učím balíčku protože tam se může stát že tam nějaká změna tak aby
vlastně přepsalo a nebo
jak používá nějakou starou verzi nebo kde ke změně přejmenování nějaký adresáři přes přesunutí tím
pádem ten profil přestane fungovat takže abych měl či řekněme čistý systémový nebo sem ten
systémový profil provoz to balíčku tak při daném jako lokální změnu mimo
to se většinou o zase záleží na tom je to na diskuzi nastavený na stará
ale
dělá se do a etc apparmor nerovnou call
tam jsou jste ty soubory většinou utekly distribuční ta sonda open suse sem se koukal
takovou všech sou
na includován _e tento
local adresář který obsahuje stejné stejnojmenný název toho profilu
a _e
podstatě jsou na includován ewing veškeré věci které se v něm vyskytnou a přepíšou to
co tam je
mají default o jeden všude distribuci
ta takže ten lokální profil umožňuje definovat rozdílná práva
například když máme tu to yum i uvedená to furt nudíš aplikace foukne jaké jsou
potomka nebo nějaký byliny proces
a
chci aby se nej aplikovali jiný profil protože například
já nevim volám nějakou součástí teda
a přece jen přes lidí když tam aplikace jako taková nepotřebuje sníh tak si dodat
definuje do toho holubi pro file si definuju
přesně to co to co to má dělat jo případě toho že
použiješ nebo u for pudeš tento proces tak použit vodseru profilu a je to vlastně
dál v jednom všecko v jednom profilu potom by se ten profil vygeneruje tak je
v jednom profilu ale je to definované pro více bych řekněme aplikacím procesů
ano také ze s to použít pro to
na
aplikace dvoupruhy uvěznění procesů které mají rozdílné parametry
ty parametry například litr že když vezmeme pět
tak letem jako takový umožňuje nemohla dat no pracovat nastartovala na ale i s komplexem
kontejnerama
a
jak takže alexe nebo klemu mají lidi ne
jiné požadavky
nebo na nebo i jiný
mění profil který ten bych měla se to co může komu a to co může
lehce
a nezakryje to vlastně
tím že pustím litry který má vlastní profil a potom a tužku s tím ve
to a přes klemu nebo podepsali chce tak on se prostě vyberete _m prochodili nadále
a tím pádem se zase nedochází to může by dostal ten profil věnní s nic
právě by měl mít
threadu v jednom profilu by byla slyšet češi neměli povolení všecko
s tímto přístupem řeknu ty má tvojí tohle ty máš kulový tam to a oukej
to bezpečnější
co přimyšlen tak jedině jednoduché to vypadá na tom slajdu
potom ještě existují takzvaný šablony a jak už jsem nesnídal ten liberec tak právě liberec
používala
tyto šablony
pro generování
aktuálních profilů pro tebe virtuální mašíny nebo ty kontejnery
jedná se o to že
vlastně apparmor definuje jakejsi základní profil
a
je ten nástupu do práce aplikace protože a pan jako takový negeneruje ty profily ale
může nikdo mu základním profilu aby se ta aplikace za ten základní profil aplikoval na
sobě
potom aplikovat třeba změny které a když soud řádku dračím souboru byl toho virtualizovány křečka
kontejneru a vytvořila si a parma profil a jakmile vytvoří tak potom vlastně jsem přepne
do toho moru do toho nového _m nového profilu
a tím pádem vlastně každé každý kontejner může mi trochu ví profil
jak sem možná už zmínil ty základní o ten profil pro lituje je to je
rozdílný dneš ten té jsi potom používá pro ty pro tebe to a jeho nebo
ty kontejnery
cože důležitá informace právě proto že lituje teď jako takový má jiné požadavky nežli k
vemu než velice
a jak jsem říkala pro neumožňuje vlastně potom v rámci toho procesu se slečnou ta
jinej profil a říct tak teďka běží vtom o tom i ne profilu
apparmor a kontejnery
ta taky jako celkem zajímavá věc
samozřejmě ne vy se měli lehce mohou běžet slapem armáda profilem
nesázel _e režimu
sem se koukal tak celou dockeru je to
docker default
a eric se škol na se default
něco
by to podobný princip že vlastně ten kontejner když nebo když se stane ten kontejner
vytvoří se ten nově ve se ten profil s toho základního profilu tak ty kontent
ty profily sou rezavou unifikované ve smyslu umí déčka
si víte že byl tlak nedělitelná unie škol
kterým se prezentuje a vy je unikátní což znamená že ten profil někdo může být
nebo jsou starší verzi dockeru
a i u úhel bych se ježka je to
etc apparmor d lomeno vypije mx c
a případně u dockeru to je zase apparmor de lomeno docker
takže vytvoří prostě profil
ten docker default pomlčka a umí den třeba
takže prostě je jasné že tento den odhadl na ležíte v tom kontejneru
který se zavři na vrchol si rázný o tom ručně
ale zase tam je problém toho že jsem říkal že sou generované za běhu tak
vlastně ta aplikace která bude pude to je to a
netrap nebo tak nějak
se to menuje u dockeru to musíte dělat docker přímo sám
tak on si to zkontroluje jestli to odpovídá tomu k čemu by mělo tak to
nechá jak na to nokia tak upraví tak většinu tom by to mělo povídal
případě že nejistého vytvoří případě že jedinej tebou pravý
to znamená že tam je zas potom potřeboval brát v potaz to co je tom
na tom základním a leje může to upravovat ale s potom hrozí to že
to přepíše poutech amen
defaultní nastavení je možné mu tam ještě teda parametrem použít jiný profil tím pádem se
uvede do přeskočí a půl jestli puštěný dělali bordel
to je při bez to že byste chtěli nějak mimo o test pět set otec
a testovat na nové nastavení
je to
eště nebude se tak na takzvaný prof pro farem space jestli někdo byl prostě stres
kontejnerama tak víte co nejspe jsi tak to ještě
toto je vlastně možné pustit prostě ten na apparmor profil ještě je vinen spisu
co šel
úkon denně u kontejnerů je celkem dobře na věc a nebo se dají použít například
u
who the tom postu
které běží vyvine vy ne nejsme nejspe jsou
co apparmor nedělala
ne větší za vás celá
a nejedná se o stoprocentní ochranu
proti všem útokům
s čehož
plyne to že není vše spásný a obsahuje babi
ale stále stali to je to další vrstva která vám pomůže nějakým způsobem ochránit svůj
systém před nechtěným toky
není možné používat a pan a jestli se zároveň nebo jinou alternativu
zatím teda
a konverze není ani možná mezi profily ponoru a politika ne selinux
další věc je že tam není žádný slepý
graficky rozhraní trestají byste mohli vytvářet ty profily jas celou teda tak pokouší ale
kdo zná já s takový
úprava profilu probíhá expo vzteklá důležitá věc že vlastně
a když to pro aktivní ochrana ale to prvotní puštění proti generování profilu nebo úpravy
se vlastně pro ani až potom co to ze stěn
což se za třeba případě to learning módu
a znamená to jít aplikace to provede a pro já se to dozvím že se
pokusil už udělal něco co
asi neměl
kdežto když to někdo _e false módu také provede ale
tím vlastně zabráním tomu se provedlo ale furt je to vlastně náš potom že obr
autem protože ten takže by jste pustil aplikaci a ten profil se ještě vlastně předtím
než by aplikace řekne chci měla tohle a pak ho si řekla a ty cíga
tohle na to hlasy nemůžeš teda zakážu
_e je to prostě potom je náš následně analyzováním logů
a zpočátku může být obtížnější vytváření profilů a
potom je i
ne lyžovat
to záleží jestli na každém z vás jak jste třeba z ručního jako máte výdrž
je tam hodně věcí takový základní to je potřeba znát ale potom když ještě se
podívá na a co a profilu třeba vydání zdroj informací jak ty bere ostatní a
funguje to tak
to potom nejde starosta ti tak těžké
ačkoliv teda south atrakce to pak _e
celkem zábava
protože řezat neprošli a selinux no tak můžem slepice zapnutý porazit lidstvo to není nutné
tak na základě analýzy ty žádný výkon byl s ti nový moduly ktorý by mohli
to co cizí pokrýt toho abys cibuli chráněný listy frontě
na toto jo takže na základě
ste vtom to není módy tým potom se stýkáš to probíhá tím a loga máš
potom že to není tak že by za běhu ten a formou si to dál
chce sibling najednou vyprosil termín polsku pokrýt tady to řeči source zakázal o čem bys
musel nějakou před elit
čili intervence z nějaký ten tu nějak odtud lýtku slíbil
s toho členem stýho prý slušnýho je to je ten long pro který vlastně projekt
dev _e projekty ten audit o a ty operace nedám jsou zakázané tak tam najde
řekne
je to naplánujete je to co uživatel nebo to co ty chceš tyto volit nebo
nechceš tak a tam vykládal chci volit ne nechci volit a dva přidat do profilu
auto desky a případně se draply manuálně a uvedeno do profi _e toho tom jeho
samý dá rozdíly
o to toho spuštění posledního to tam bylo tak ani já ty rozdíly všech profilu
není možný aspoň jsem nenašel jako vymkly může tuhle linii nebo ta ten profil ale
vím že to projde no a já tady o tom že ukážu že by pohřbený
část tak ukážu jak ve filmu že to bylo
neaplikuje se už neběží ty procesy to je důležitá informace podstatě jak mnou fámy do
běží no tak
proste na máte smůlu
sto z restartovat
co je možné je s toho když _e svázaný tak ho
o svázat odpoutal
to je možné za běhu
ale není možné mu pod nos potom na zpátky říct mu
ale náš tady profil
teď jsme nemuselo jich několik
to je znovunačtení toho to procesu
takže to není možné údivu ještě procesu při přidat ale je potřebovali restartovat
v jednom koukal dvakrát
a
to jsem já jsem nepodařilo smazat
huby
no a teď že nikdo může máme čas tak se můžem
podívat na bonusy
tady co vidíte
tak je profil titulek je tak jak vypadá tak takový profil a nulu
je tady jakási konvence jak byste měli psát nebo je dvě věty měli název toho
profilu ale je to koryto konvence a dyžtak nedodá podle sebe tak
tak já jsem to nestane akorát potom levnější fabrikou jinýho aby zjistil holky
když tady nám tahaj float tak pokud se bude jmenovat jak nedovedl na přírodní uzel
benchmark hosts
tak je jasné je to fí uzel vyflákl když to velká jako s tak to
může vypadat po
někde
kdo ví
a vtom na tom profilu jsem zmiňoval tu hlavičku novou značku komponent rastrové
pusto von play módu
závislosti na verzi apparmor u těch novějších přesto stáhl jsou jít ale eště furt to
platí jo
co popper až na půdu toho nebude
jak tedy víte třeba že má přístup do
je les
ty
značky _e eště třeba herečku pro čtení říct
potom
w the right jako zápis
po to na
to _e potřeba je že umožňuje mapovat spořitelna data
do paměti
potom tam ještě je
jí nic
potom jsou
bejt celá ulice to sou to sou flagy terén příznaky které se vážou ke spuštění
a _e rozpuštění
a
jestli se tam mají předávat systémové proměnné takové věci
tady ještě ten jste použití abstrakce
okamži obětní beránek ping tak _e který můžete je vidět že je možné definovat rovnice
umístění jo že ten pin může být fí lze by a nemůžu jednom kdyby
ale název toho profiluje většinou jeden a toho to je
nějaké ušel where did je to může bejt nebo
že to moc a přes a mezi ne distribuce tak aby se zachovala na tebe
tady stojí no distribucí tak je tam uvedený je ta cesta třeba by ten pin
se tomu že ne ty tři ty tři a stačí profily u sem říkal pro
síť pro konzole a pro nej resolutions už poppingu bysme očekávali
a
co tam etapě ty papa byly ty které může můžete ten top proces použít
a si myslím že možná ze i dostaneme potom k ukázce
až bude čas
jak třeba bych lokáních změn je co zakázat pingu aby
mohl by mnou
novější verzi je parabolic a možná je to dovolit tady uzel jo že celá řeknu
tento uživatel nebo neníli nebo ne nepouštěli ten proces tento uživatel tak
může tohle nebo nemůže tohle
a tam dole ty předbíhat je ty ten úkol bimbej tak tam není vidět že
teda ty úpravy můžu dělat vtom ok a potom ty lokální změny to lokální profilu
další je práce
soud nohou láska práce spořitelny
takové ty základní jak to přepnout komponentu _e fosu a nebo o zakázat profil a
tím pádem publikaci prostě
pustit
takže
a
takže ku si můžete mi někdy běží
tak tady vidíme že ty aktuální
horní
jestli to bude vědět
je to citelný takhle povinen řádku
to vzalo se předpokládá že jo
tak to je tady vidět ten call blíže běží nesporné že mu
a my ho teda dáme
přes a
a kontrola ji
cestu k tomu profilů
vzorek
neštěstí
jsem říkal na tebe se to na ten navíc proces
ale když dám
tak učiním že věžích komprimovanou
další debil ten enforces takže když už tak je nově s jakýmsi způsobem svázaný tak
tak by mělo fungovat
přímo je to nula
a příště může lehce
a nebo na taky
že teda ne
a
tady neřekne
i nesvá za ně
nedostane vytvoření profilu
a
dejme tomu že má nějaký irský program myši
který podstatě líbí že jaké informace pokusí se
úředníci práva a
je vypsat děti si
a potom teda na ten na tomto na tomto skrytu pustím autorem ptejte ten trend
o že ten profil za mě
a to neskončilo den profily stane všecko co tam mělo být pokud vím pokud nevim
tak
počkám chtít rok on do komplikujou a počkám to co bude chtít eště paměti přístup
a zkontroluju blok je s teda není tvrzenýho případě že není tak to můžu ten
profilu
a ta potřebu do letos modul ušil
von jsou a ne
což o tady u fandů máme mám tady
já nevím tady
takže se do štětce tom jestli teď si vem systému
u show a scanovat
napřed a řekneme profilu
případě že by tam byly nějaké věci
jsem říkal jestli je možné že vtom u té diskrétní telefon že jo
tady
důležitá je aktuálně důležitá informace bylo nepovinné nepustí
ale jenom se kouknete tam je a pokusí se udělanou co je to moc udělat
tak tady někde že byl pro fair play s pro ten můj soubor
a
tady potom ještě jednou když
sme finish operaci
a teďka vy si dáme
a
ne
tak už tam ne
to je temný
tak
toto teda mnoho drivery geny generovaný už tam hodil nějaký do
to globální proměnné
přidal tam vlastně bereš protože to je tom souboru je uvedeno hlavičce
tady bylo vidět jedeš
tak ho tam nepustila
při přístup pro čtení pro ten soubor kterej který jsem pouštěl
jsem za už má žena přístupem souboru
to znamená že teďka když to
pustí jiné
tady můžeme
kontrola tento
což možná bude lepší udělat to
tak tedy vidíme
že máte když _e jedná ale z důvodu toho že se
nesla za ten profil z toho
se to před
l to je ten posun
jo je tady
takže
dat
tak on tam přímo do toho ní
ta která chatu leze koukám že předtím to
jenom vytvořil ale nedal toho
do info sumu
to je takže protože systém před tím že přednášek
pošťanda není
to znamená že když pustím teďka ten
tak vinou vypíše to co
to co by měl
tady pletete členem detail
nebo let nebo něco jaks takže tam není to něco
ty se boj a tady do toho auditorovu dativnosti rušením že
tady byly nějaké operace
zeném to můžete _m
roff jako takový by měl mít aspoň
jo tady třeba vidim
zakázány
tak a zemí
vezmeš
takže
to je taky je vidět
že mu zakázal něco
což nutně potřebuje ne nepotřebuje do městečka jí takže to má zakázané
a když hotelech ste tady už měli předtím když ho dám do ten fór s
tak
je to prostě za
mi to nepovolí
ale že nám do kompletní
tak tedy bysme měli potom vidět i jo
tady třeba ne
je vidět že to bylo povolené ale že chtěli jít
respektive tady hned
že chtěl
chtít hrát tedy je
vlastně
ú
a vesel
rtcd tam hned mě štyři takže vlastně
pustil hned
a to povolené
když mu když irán tam pozvolna cepstrum viděli že to chce za každou je všecko
že jsem vás muset prokazovat že to mám eště víc ukázek rauš nám vychází část
tak je to vytvoření teďka na otázku byste posluchače
se dejte vědět _e tom tento skryt který na lavičce
definováno ústně by beneš
a když ten fór s tak se měli to tam zakázal
pokuď ale opustím přes bereš a cestou domů souboru a mashe té samé cestě jako
jakožto beneš
tak se vykoná jakoby se nechumelilo
to že někdo proč
je tam parametrem toto je toto mám tričko
izrael konstanta to bude sedět
_e to takže že vlastně tom prvním případě že pustina přímo tak pouště ten proces
ale když dáme šla cestou je teda se parametr kterej pusť f potom ten déšť
a ten profil není psané jakoby prvé škoda kvůli tomu co by profil probereš ktery
takže také možné
napsat pro bash profil tady bude alias celej puštěný že se světu
tvrdáky další jako ukázky
záleží nám verzi může je tresty takže verzi ušije i představený nějaký logické brand inzeráty
říct i mizérie je ze není a
nebo ona třeba je nebo není
a ten ještě pět lokální změny té jak jsem říkal třeba mám ten balíček a
tím se vyzkoušet
nezanesených rezervy
máte má profil a
tak dem
se podíváme
kdyby tak tady vidíme že má povolené podstatě síť nějaký věci což nás je to
moc nezajímá
a to je ten inkoust _e já zajímavý
ten teda říká že by k by měl fungovat znamená že dyž já tady damping
co a tak vím že funguje
když to o ještě se dá můžem podívat
na status že
máme ten pin
a vidím že po cestě
daleko smůlu
to je vaření hypotéz některý mají propylaje ale ne neběží něm protože je sukně předtím
pět dvanáct nezajímá ten ping a
teďka dyž teda dám
tu změnu
se tedy pučím jednu věc že toho
a já mu tady jo frekvence máme a motají řeknu já nechci abys používal síť
a potom musím
přes apparmor pár se mu tam
říct error jako
všeci chci načíst _e profil ten
trošku je ještě příkaz a
i nefunguje
jo takže to se takže jsem schopen si vybrat i pro upravit s tím aniž
bych se dotkl toho základního filtry
nepřišel distribuci
tom práce s za pak parserem
ze se možné i některé operace půjdou uživatelé že se je celá schopen restarty profile
byly a ta komprese jsou k dispozici ale nemůže operovat tomuto potom potřebuje zděšená oprávněně
von je třeba uvedeny
manipulace s profilem jako kryjou triumf a nebo vložit
a jo to je všecko padesát tři takže se náké takže tě zdroje
je možné najít hodně věcí
minimálně co je doporučoval tak je
stránka
věky apparmor ne
která podstatě
odpoví na přes vaše otázky ta první jsou sekonu pleteš _e tam je té takový
auto udělaj tak je tam jsou tři kroky a je to hezky rozdělené takže také
dobrý zdroj nebo na ubuntu
mají taky
podstatě
de
můžete najít nějaké informace
tak jestli jsou nějaké otázky vondra
tyto slajdy není to zajímavé jak jsou na githubu
možná voni to zajímat o tam i ve verzi
já bych s tou lodí se vrátil k těm kontejnerům tam to nebylo úplně jasný
standardně se udělá a někde sto milisekund a dnes ten můj dobrý prouz _e jo
a já když si chci upravíte tak běžného to naklonovat do toho koukala se s
streamů víte nebo jakým způsobem je doporučené
si ten prosadil který by je vygenerovaný automaticky
se změnit
umožňuje nebo je to možné jak jsem říkal že on tenhle pokud že to řekněme
nějaký systémový řešení že to je prostě vodejde já tam prostě jim no jestli chci
pro každý kontajnery protože téma dvacet kontejnerů na to každé a já jsem si rezignaci
na ni tam parametr který potom pracuje s tím že já mu dám ten profil
už hotovej
to tady děje takže parameterize konfiguračního souboru například aničce já mu řeknu že jaký je
ten jeho profánní jo tady to je tady ten a asi bude dělat
ne na tu tomu slouží
což není film
jo tendence klid else možné
mu říct jak je pro jakej profil prof armáda tady ten defaultní takže já může
dát pentéry chci autě ujetej už opravenej tak jako už a velice tak předpokládat že
tam bude tak já zase tolik jste se u elišce sem teď nějak eště komu
možnost otázky
on tam tomto tam vytváří do toho to vytváří do
do toho adresáře a nezapadlo flipped abych se a na jakém také možné mu potom
říct že má pracovat ale tam se jsem ve jistej nějakým je to jakoby
flexibilní ale předpokládejme na stejným principu jako tady docker jmenuje se zdá řekněte verzí se
mi to přepsalo ten konfigurák a to nechce to jsi mluvil takže jsem říkal že
záleží na verzi a toho to vlastně děláte tedy scény dělá to apparmor takže tam
ještě to záleží na veliteli teďka děti
spíte máme ten a po čase vysoustružit je serou politik může pořídil okno písíčko podobné
špatně slyším sem tam jsme se je toho přepočet trošku jo a taky se moment
prosím
a proc za patch a chcel by se mu načítací že se roku řídit že
může z družice členem okno hvězdička
a ví způsobem
no a patch
na protože jsem se mnou byl nějakej balík turbína jistou nějakou webovou aplikaci ne asi
mám kočku vedle tedy půl nepřítelem si mysim že je dokončený používat a počkej modul
kterej se na
a parma mysl _e
a tam potom to definovat vás ediktech utek konfigura konfiguracích pěkného s tou
případně ty aplikace
ale také je možný dodělat i přes ten lokál ale bude to asi víc _e
dnešní a můžete je doporučili použity modul tady je to s pokud žena dostupné to
že není jsou starší verzí a pláče
tam se jsem zajisté jak to udělat
to asi by se to muselo nějak pouštět
jakoby zvlášť třeba ne měděno cesta pač _e ale při ho několikrát slavii myslím space
u a tím pádem ty profily se dají aplikovat na ten na ten _e space
řekne
já bohužel musím končit ještě diskuzi protože máme další přednášku takže bych se na konečnou
přinášejícími