Přepis řeči - AppArmor: brnění pro váš systém

0:00:15	I
0:00:16	dobré dopoledne jmenujete proč má s vybrali ste si že ode mě chcete slyšet přednášku
0:00:23	o
0:00:24	poslyš něco
0:00:25	v pohodě spoj tak jo a o a panuj a vždycky posílám aspoň dvě přednášky
0:00:31	si vybere vyberou lidi třeba jednu rovnici berou obě alespoň nešťastné že přípravu dvě S
0:00:36	takové na začátek tady jsem se před deseti minutama začal připravovat ten počítač a zjistil
0:00:41	jsem že minimum tu je ta imič na který virtuální detekci ukazovat i ukázky
0:00:47	takže sem tady zachraňoval snad se mi to teda povedlo zachránit snad něco uvidíte protože
0:00:51	to mám připravena že mám ukáže samozřejmě jak se ten apparmor
0:00:57	ovládá a k čemu je to vlastně dobré
0:01:01	tak
0:01:04	v linuxu asi tušíte jak funguje řízení práv
0:01:10	jsou v zásadě jenom west vtom normálním režimu nebo v tom výchozí v režimu
0:01:15	chtěla přichází další zde
0:01:18	skončil seznam asi po si
0:01:20	sou vlastně dvě možnosti buď ste normálním uživatelem takže můžete to co vám dovoluje dovoluju
0:01:27	práva na souborovém systému čili můžete zapisovat
0:01:32	do svého hubu většinou někam do tempu můžete spouště
0:01:36	nějaké příkazy zasekly který máte práva můžete si otvírat na síti nějaké porty na C
0:01:44	únavu do P můžete navozovat komunikaci ven můžete si
0:01:49	u sportu vyšší než tisíc dvacet čtyři nemůžete posílat nějaké speciální pakety nemůžete posílat i
0:01:56	centra je za normálních okolností a podobně to se uživatel a nebo se root rovnou
0:02:01	a to je ta druhá externí varianta tam zase můžete úplně všechno
0:02:06	to je poměrně nepříjemné protože bychom potřebovali trošku to řízení prázdný T nějak jako
0:02:14	specifičtější potřebovali bychom to rozlišit na jednotlivé aplikace
0:02:19	potřebovali bychom
0:02:22	prostě to rozlišení trochu menší
0:02:27	zejména je to nebezpečné případě S tady mám napsáno setuid dinárech to sou takové vy
0:02:34	náký které se provozují pod uživatelem který je vlastní ati spustí kdokoli
0:02:41	což se používá zejména k tomu že některé by nároky například
0:02:50	ping
0:02:53	aby o ho je to vidět trochu asi jo
0:02:57	aby mohl fx pouště kdokoli a nemusel být přitom root a přitom dostal ta práva
0:03:04	tomu soketu aby si mohl otvírat libovolná spojení a posílat licence paket je přímá tak
0:03:10	ping má tady vidíte esko místo X K to znamená že novej spustí i bytím
0:03:15	uživatel petr tak ping poviš bodů ten
0:03:19	takových binární máte systému poměrně hodně
0:03:25	záleží samozřejmě co máte za systém
0:03:29	mám problém napsat plus jo
0:03:31	ale
0:03:36	cink je program pro android tak si takže tady to třeba vypíše které by nároky
0:03:43	S
0:03:44	zdvihnu mají
0:03:45	esko
0:03:47	můžeme se o tom přesvědčit opět třebá
0:03:52	jo mount abyste mohli připojovat libová zařízení tak musí být root ose pak podívat ve
0:03:57	stavu jestli tomu máte práva ještě dál a případně vás vám to dovolit připojit
0:04:03	to je průšvih v případě že ten program má nějakou bezpečnostní chybu
0:04:09	třeba hypoteticky se může stát že ping bude mít nějakou bezpečností mezeru která skrz špatně
0:04:17	ušetřené vstupy vám dovolí ten pin donutit aby provedl něco co nemá ping za normálních
0:04:22	okolností přímé ati adresu nebo
0:04:24	doménové jméno případě si doménové jméno teda přeloží najdi adresu a začne posílat chcete pakety
0:04:30	ping na pojetí adresu poslouchá odpovědi by se vám tomu nějak informace nic víc ping
0:04:37	neumí a teda by neměl dělat pokud mě bude chyba vyhodím vstupem donutíte abych zavolal
0:04:43	X lomeno pí lomeno totéž a povede se mu po jeho kontextu tak se spustí
0:04:49	bash a protože se ta práva dělí tak ten by se spustí poceni právě jakoby
0:04:54	pinka ping sme si řekli že běží vždycky pod root
0:04:56	to je průšvih
0:04:57	samozřejmě podobná situace může nastat třeba u a pač E nebo u jakéhokoli jiného server
0:05:02	který dostupných menší kdyby ho do musíte třeba přes ten buffer overflow nebo jinak
0:05:07	udělat něco co nemá a
0:05:10	on vám teda zpřístupní třeba tu konzoly nemusíte se zrovna spadnu ten access případě toho
0:05:18	bleše ale prostě teda pardon poppingu ale prostě už dostanete řádku a nebo můžete provádět
0:05:24	nějaké věci které by vám ten server dovolit neměl zmenší
0:05:29	pardon
0:05:30	úspory
0:05:31	tak to je průšvih protože
0:05:35	normální systém prásklo neumožňuje ošetři a otázka zní jestli by vůbec třeba P nedělní zprávu
0:05:43	spouštět budeš
0:05:44	no já si myslím že neměl protože on to normálně ni nedělá čili proč mu
0:05:48	to právo dávat
0:05:52	ovšem spustit bash
0:05:54	má samotným linux úplně každý
0:05:56	každý uživatel ho principů mít musí
0:05:59	a rozlišit jestli omámí voči kterýho pak spouští nebo nějaký ten anebo má anebo ho
0:06:05	nemám ty nebo no nemám pinkston za normálních okolností rozlišit možné není
0:06:11	řešením jsou linuxe kryty modulus
0:06:14	koše nějaký univerzální frymburk do jádra nebo který součástí jádra který umožňuje přidávat do něj
0:06:21	bezpečnosti moduly tady věc já se vyvinula zase v roce dva tisíce tři protože na
0:06:27	začátku někde kolem roku dva tisíce dva tisíce jedná se začaly objevovat snahy takovou věc
0:06:33	do linuxu implementovat a
0:06:36	takový nej nejzajímavější první byl selinux
0:06:39	ale linus o by se nelíbilo že jsem se mnou samozřejmý spoustu věcí děláte
0:06:44	a řekl že to je příliš není to moc obecné že té konkrétní že to
0:06:48	tam nedá pak se začaly byla další ty moduly a tak se vymyslel únosem koše
0:06:54	vlastně sada nějaký zvuků v jádře se s každým místě kde se snaží aplikace vždycky
0:07:00	spustit nějakou funkci tak je možné tam pověsit nějakou další funkci toho sekli ty modulu
0:07:06	který může třeba prověřit jestli je to možné si tam aplikace to dělat může že
0:07:12	se době sou teda čtyři losova moduly v jádře apparmor se mnou sme k tomu
0:07:16	jo já s toho ty dva spodní vůbec neznám mluvím o těch dvou prvních ten
0:07:21	první používám ten druhý ne
0:07:24	používat armor je taková na straně otázka jaký rozdíl mezi apparmor na se linuxem
0:07:31	hlavní důvod prožitku apparmor
0:07:34	ten sig vážku selinuxu samozřejmě a jeho výhodou je že se ovládá velmi jednoduše a
0:07:40	vám tady ukážu teďkom později jak se to přesně ovládá jak to funguje že to
0:07:44	je poměrně jednoduché že možné to
0:07:46	za chvíli vysvětlit a budete to umět T u selinuxu si tím nejsem jistý že
0:07:53	to je takle jednoduchém selinux našel několikrát pochopit a je to poměrně komplexní věc minimálně
0:07:58	tam uvidíme no člověka černém klobouků R věci jsou zvlášť firma která se v nose
0:08:03	voni zabývá hodně ho tlačí a já bych třeba byl moc rád kdyby mi třeba
0:08:07	na příští mínus auto někdo připravil přednášku jak se za hodinu naučit selinux a já
0:08:12	věřím tomu že to je možné ale a opravdu jako nemyslím do ironicky pak bych
0:08:16	takovou přednášku dát viděl při by se dá třeba ten o tom selinuxu dozvěděl víc
0:08:20	ale
0:08:21	pro mě je to poměrně komplexní záležitost
0:08:26	která vlastně vyžaduje velkou integraci do systému protože spousta aplikací aby to fungovalo musí o
0:08:34	tom selinuxu vědět protože selinux přidávali blik procesům a souboru na disku I identifikuje soubory
0:08:42	pomocí a nodů na disku košile apparmor nedělá ten identifikuje programy jenom pomocí cesty jestli
0:08:48	za chvíli ukážeme
0:08:50	výhodou je že je možné bezproblémové selinux ladit za jízdy troše zásadní
0:08:58	principů je možné úplně oddělit sem boxíku to mám dlouhé víte
0:09:03	pěkný
0:09:04	S N boxy to je dneska hrozně moderní všechny prohlížeče uzavírají flash různé pluginy do
0:09:09	vlastního paměťového prostoru tak principu to umí ten apparmor že prostě libovolné aplikaci která vám
0:09:15	příjde vy nevíte co dělá a třeba ne neznáte
0:09:21	nemáte k ní zdá k nemůžete si přečíst nebo někomu ukázat podívej se mi na
0:09:24	to jestli to je vpořádku
0:09:26	nějaký splaj skype a podobně tak si to aplikaci pouštíte do systému dává ty vlastně
0:09:32	pola uživatelská práva tak apparmor vám umožní tu aplikaci na začátku třeba úplně zavřít že
0:09:38	u ne prostoru nemůže vyjít ven můžete si dívat co dělám nakrásně loguje apparmor všechny
0:09:45	akce které set aplikace snaží dělat
0:09:48	a vy můžete i potom povolovat jenom to co chcete
0:09:52	jo a samozřejmě s tím že uživatelsky přívětivý souvisí to že jak dole píšu za
0:09:57	málo práce budete mít hodně muziky
0:09:59	nevýhody a malym osum že souběžně uživatel ne si je běžný uživatel ne spravovatelný tím
0:10:05	myslím to že k němu nejsou žádné klikací nástroje které by vám třeba vyskočili jako
0:10:10	známe s takových těch personál firewallů z windows Ú jako tahle aplikace se snaží přistoupit
0:10:14	na internet dovolit ano ne a vydáte ano a je to takto pro armor neexistuje
0:10:19	neviděl se nic takového další věc že a farmu neumí práva zvyšovat umí jenom udavač
0:10:26	ruby čili jenom směrem dolů takže k tomu koutu tady píšu proto byly these nebo
0:10:31	setuid takže vy můžete tomu pingu musí zůstat ten setuid bit aby měl tento s
0:10:37	K práva vy potom ti apparmor M je moje seberete nebo částmi seberte takle co
0:10:42	šije ten postup který potřebujete
0:10:44	takovou drobnost renatce potřeba myslet pokud se apparmor nahrává jako modul až při zavádění systému
0:10:51	tak cokoli nastartuje předním tak on neumí hlídat
0:10:54	což umí potom vypsat S ve svém ve své stavové obrazovce to vám ukážu a
0:10:59	může se tam objevit informace o tom že je tam nějaký program kterému existuje tak
0:11:04	zvaný profil čili B apparmor oni G
0:11:07	ale teďko nehlídá protože nastartoval ještě třetí co Š se dá vyřešit vůči restartem systému
0:11:14	někdy ale stačí restartovat o službu aby znova na se za pláž o tom apparmor
0:11:20	opravdu čtu chvíli dívám ten apparmor běží
0:11:23	jsem říkal nemá žádný automat
0:11:25	a pozor důležitá věc jakmile začnete používat apparmor musíte myslet na to že ho používáte
0:11:31	protože se vám začne občas říct že vám tom systém bude straší
0:11:35	to znamená že nějaká věc kterou normálně používáte na jednu nefunguje a vy nevíte proč
0:11:40	volky koukáte prostě ty pak budete toho sto úplně zoufalý asi za týden vzpomenete že
0:11:45	jste slyšeli o a pan úloh kde se s ním hráli a podíváte se dolů
0:11:49	apparmor a tam tak grupy chyby zákaz a pak se říkáte no jo vydělat nepovolil
0:11:55	tady přístup k těm souboru
0:11:57	to je mimochodem ještě se vrátím tomu selinuxu největší zájem o selinux vždycky když se
0:12:03	díváte kde se co sem šel jsem vnucuje jak to vypnout
0:12:06	protože lidi selinuxu nerozumí já mu taky nerozumím
0:12:10	a třeba s stane se že vy chcete používat řezačku klíče cože úplně ultimátum bloku
0:12:17	se s z áčka kdo používáte se z áčku ještě hesla tak
0:12:21	neumíte S háčko a L ondra caletka tady bude tyhle věci přednášet dneska myslím že
0:12:26	dneska nebo zítra určitě tam je přednáška losses háčků
0:12:30	ano to se těší no a když máte selinux tak zapnutý tak třeba nemůžete bude
0:12:35	klíče nefunguje tu a pavel jsem se o tom s public sem který dělá frčet
0:12:39	on říkal ujasněte se normální tady tohleto vytřeštili byly a ty tomu stoly bilovat a
0:12:44	dobře takže bysme selinux ono to funguje
0:12:47	to že špatně ale samozřejmě a klobouk se nahlásí povídejte
0:12:55	a
0:12:56	ano
0:13:00	tak to restore kontext ano to pak říkal hotový ale jenom je třeba mu říct
0:13:03	aby si ty ten kontech obnovil tak no jasně ano ale prostě důsledek toho bohužel
0:13:09	je říkám bohužel já se to na ten seznam se útočím jenom prostě říkám že
0:13:13	test asi takový že lidi prostě se toho bojí a všichni leda jednu selinuxu že
0:13:17	úplně ale špatně že místo abys o naučili používat takže doufám že příště bude ta
0:13:21	přednáška před těžší
0:13:23	tak vopravdu jako tak vážně abych tomu teda viděl
0:13:29	tak
0:13:30	před jak ten jak se na pár more teda funguje já jsem to nazval že
0:13:34	tady jaderní firewall asi znáte to je nějaký
0:13:39	počítač nebo zařízení nebo software který je ve vašem systému který sleduje komunikace po síti
0:13:45	a podle nějaký filtru vydírá co projde a co ne a pardon funguje velmi podobně
0:13:50	ale není na síti samozřejmě ale je vlastně postavení jako by mezi jádro aplikaci a
0:13:56	když aplikace potřebuje komunikovat někam ten něco potřebuje připojit cena C celá noci na soubor
0:14:02	ni pár přišli na disku cokoliv ten kromě toho když tam něco počítá nebo něco
0:14:06	vypisuje na obrazovku pokud si napíšete hallovo tak tento nepotřebuje samozřejmě ale
0:14:13	cokoli složitější už ano tak vlastně potře požadavku jádra stuff potřebuje požádat jádro tu věc
0:14:18	jádro uvěří jestli ta aplikace to udělat může a provede to za něj pokud je
0:14:24	tam ten armor tak nastává ještě na vrstva on se podle nějakých pravidel podívá jestli
0:14:29	ste mu to dovolili té aplikaci ten požadavek dělat
0:14:32	a pokud ano tak to běžně projde pokud ne tak je to zablokováno zaurguje se
0:14:37	že ta aplikace sou to pokusil
0:14:39	jak už sem říkal ty aplikace rozlišují cestou poměrně jednoduše každý den každej ten soubor
0:14:47	má svůj vlastní profil ve kterém ten program který chcete aby apparmor hlídal atom profiluje
0:14:53	zapsáno jsou nebo sou zapsána ta pravidla je to jednoduchý textový soubor ukážeme si
0:15:00	tak výchozí chování apparmor u je nedělám nic
0:15:03	to znamená že pokud
0:15:06	nechcete nějaký program a argonem ovlivňovat tak mu nevytvoříte profiles takle můžete ten proces mazat
0:15:13	a v tu chvíli se ten apparmor oni nezajímá
0:15:16	jakmile vytvoříte být i prázdný profil tak se to obočí
0:15:21	a stane nastane klasický bezpečí stáv co není povoleny zakázáno takže jakmile vytvoříte prázdný profil
0:15:30	opět si ukážeme stačí napsat vytvořit soubor napsat lomeno begin nebo jo ta lomeno pí
0:15:36	lomeno bash a prázdné složené závorky tu chvíli ste vytvořili prosila amosovi program začne zajímat
0:15:42	a filtry jsou prázdné takže ten program nebude umět nic nebude umět komunikovat směrem ven
0:15:46	vůbec
0:15:47	pokud chcete aby uměl komunikovat venuší sem to výslovně povolit
0:15:52	co zase sem tady zpátky znova tohoto upozorňuju je třeba na ten okoukat předlohu se
0:15:58	pak objevují vyhlášky takže jakmile dejme tomu to S řezáč o může nastat podobný problém
0:16:04	pokud vytáhnete šrouby a po čase se rozhodnete používat klíče a nedá se mu přístup
0:16:09	do toho souboru nebo do těch souboru kde ty klíče jsou tak prostě to je
0:16:13	se začnu řekněme dostane a nebude to fungovat a bude vám tom systému strašit nebudu
0:16:16	se diví jiné věci budete na dál
0:16:19	a je to jenom o tom že stane nastavili
0:16:22	mutes právě ten přístup
0:16:25	ty profily jsou standardně uložené se to co apparmor de tam jsou textové soubory které
0:16:30	kde to je popsáno já budu ukazovat na ubuntu protože ubuntu dneska je distribuce která
0:16:37	velmi dobře a anebo používání na tom hodně staví tam vlastně podpora začalo někdy v
0:16:41	roce dva tisíce sedum
0:16:42	pro o objemu nátiskového právě aby ho zabezpečili takže na to mám to budu ukazovat
0:16:49	třeba já to udělám kdyby antoš
0:16:51	buďto je teda taky skoro debian ale
0:16:54	debianu ta podpora formuluje dost problematická jednu dobu byla rozbitá nebo taková pólu funkční pak
0:17:01	se to někdo snažil spravit a tak to úplně rozbil a tak snad s posledním
0:17:06	stack bude to úplně jako rozbité a teď je snaha to zase dá dohromady a
0:17:11	ale sem koukal tak se zatím tam nejsou úplně všechny peče v tom jádře a
0:17:16	byla fungovalo potřebujete post potrhat nejnovější verzi S webu a o pečovat jádru protože sice
0:17:23	v jádře jakoby poprat formuluje ale nejsou tam tento úplně všechny novinky a které jsou
0:17:29	zase ale v těch u život těch metrikách takže takto jako ničíš vám já si
0:17:34	chybí tohle autorita opomíjel nemůžete použít a podobně ale snímky to funguje velmi dobře
0:17:41	bluetooth standardně je několik málo profilů ty mám přijedou sou základní instalací dejme tomu jich
0:17:48	tam šest asi pokud chcete další tak si můžete ne toho balíček armor pro file
0:17:52	s a tam jich je spousta dalších
0:17:55	případně pokud chcete ještě jiné tak na webu apparmor nebo existuje loučka je walsh
0:18:01	počkejte takováto služba myslím ubuntu a tam je nějaký účet na kterém se vyvíjí type
0:18:07	ty profily takže pokud hledáte není problém prostě kde procesy můžete vytvořit ukážeme si třeba
0:18:13	pro opačným se sítě chrání apparmor páč a může typu cestou budu vyrábět sám vědět
0:18:19	co tam mám a mladi nějakou dobu a nebo může sáhnu po něčem jsou s
0:18:23	někdo připravil ušetřeno zdola tímto si druhá varianta
0:18:27	pokud chcete ubuntu ty profily vytvářet a opravdu s tím apparmor nechci to nechat com
0:18:33	výchozím stavu kdy teda chrání těch pár programů
0:18:36	tak slyším potřebuje ta anebo ústil s já jsem vtom té testovací vymýtit která možná
0:18:42	nebude fungovat že na jsou zase může upil schválené ty pro fans abychom že profilu
0:18:46	tolik nemělo abychom si mohli ukazuje se vytváří
0:18:52	tak ty soubory se jmenují normálně C T cestou takže když něco vzory je to
0:18:57	tak že by wget tak se nesvobodné nejvíce tečka pin tečka tak je logická v
0:19:02	názvech souboru být nemůžou takže tam sou takle tečky je to velmi jednoduchý textový soubor
0:19:07	který můžete buď editovat normálně třeba vjemem jako se děláme a ukážu anebo osum na
0:19:12	to nástroje které mám umí ten profil připravit
0:19:16	dosedl základu vypadá si takhle víte že to je poměrně jednoduché
0:19:21	tenhle profil se týká binárku lomeno v jednom elfů vymyšlené a ta má práva přečíst
0:19:27	soubor je to co se ptát
0:19:30	předčí si o přečíst a spustit kdy by
0:19:36	následuje přístup do pro do souboru uživatelském profilu do souboru slůvko adresáře teďka config do
0:19:44	něj je možné či je tedy možné číst obsazení a připisovat oni a je předtím
0:19:49	napsáno únor to znamená že se ještě kontrolu jestli ste vlastníkem toho souboru
0:19:54	to znamená že kdyby
0:19:57	kdybyste mě kdyby tam ne soubor byl kdybyste hnanice ta práva stejný měli na disku
0:20:02	ale vlastně obě někdo jiný dva to tam přes ten a parmou nepustí
0:20:06	že se ještě navíc kontrole spisy o fakt vlastníte
0:20:09	to je šikovné třeba u tempu jak mám lízaly výzkumem ten R V a prostě
0:20:13	pro jistotu i tak
0:20:15	stentu můžete sahat můžete číst psát přidávat do libovolný souboru v libovolných podadresářích proto si
0:20:21	dvě hvězdičky jedna hvězdička znamená soubory tady jedničky znamená soubory tady a kdykoliv huby
0:20:28	ale eště se kontroly zase vlastník takže i kdyby vtom tento měl někdo jiný soubory
0:20:33	vy tím prostě nesmíte apparmor mám tam přístupné na
0:20:39	vrátím se ještě po C putna čtvrtý řádek a pátý zále tím dovolujete přístup internetu
0:20:46	stream je
0:20:48	link
0:20:49	pro TCP jinými slovy čili povoli byste T C T tomu schůzce povolili tímhle ty
0:20:55	sítí provo zná dive čtyři a šest
0:20:57	následuje teda ten potom sme si řekli a tak mobility ty dvě čárky na konci
0:21:01	sou chyba
0:21:02	kapa byly ty jsou
0:21:06	tam se předává space předávají stejné parametry jako okapo byly u jádra jenom je to
0:21:13	se taky ukážeme je to vlastně zápis úplně stejný takže když nějaké aplikaci dáte jadernou
0:21:21	kapa byly to třeba jako tady otvírat se do sokety F na čem do sítě
0:21:26	tak můj musíte povolit tím ose barboru aby to opravdu fungovalo
0:21:30	zrovna tohle třeba potřebujete X
0:21:33	přesně tenleten řádek
0:21:36	tak to všech meta možné regulovat často jste viděli takže soubory čtení zápis použít tvorba
0:21:42	a jasně mapování paměti tam ještě jako síť
0:21:45	čili může tady ty ve čtyři šest kultistkou bude P náhodou pakety adresy je možné
0:21:50	tam i filtrovat to s nepoužívám ale nebo z dokumentace to je že můžete vyfiltrovat
0:21:56	třeba komunikaci po šiftu jenom proti nějakým server umnou podobně můžete to omezovat nějak podle
0:22:02	adres
0:22:03	můžete kostře možné mutovat
0:22:07	můžete
0:22:09	určovatele další práva jo jaká práva kam může jestli může ten program sahat na práva
0:22:15	na disku jestli může nastavovat
0:22:17	vlastníka práva souborům co může nastavovat může tom tam na masku na to přesně může
0:22:23	selhat takže můžete říct tenhle program má právo nastavovat stamp u souboru moje může nastavovat
0:22:31	práva ale jenom práva třeba skupiny jenom group na práva vlastníka napravo ostatní sahat nemůže
0:22:38	se tak nemůže mít takhle vlastníky kdyby byl root nový dopouštěl root který si to
0:22:44	sem řek ty věci může změnit ten profil ale prostě může tomu třeba říct že
0:22:48	tenleten konkrétní program když budu ten prostě nemůže měnit nemůže stát na práva u programů
0:22:54	souboru
0:22:55	kapa byly tyto sme si řekli a pak tam sou další věci jako přístup nad
0:22:59	vás a
0:23:01	a podobně tady na té stránce wiki apparmor net
0:23:04	lomeno jinde ztráta lomeno pro fallen kvičet popsaný celý ten
0:23:09	jazyk profilu
0:23:11	vůbec na té wiki je ta dokumentace ta je to takové ten projekt je celkem
0:23:18	jako se tak jako by výtoku překotně divoce takže ta dokumentace není úplně dokonalá bohužel
0:23:24	ale ty hlavní věci tyhlety které server ukazovat tam sou
0:23:30	tak
0:23:31	praktická ukázka
0:23:34	podíváme se teda na ty adresáře na ten to se apparmor D vytvoříme si prázdný
0:23:38	profil upravíme si ho myslím se sou je
0:23:41	a vyzkoušíme jestli to funguje
0:23:44	tak se ukaž kuben a výborně
0:23:50	podíváme se
0:23:51	nastav a statusy je první utilita víte že modul je připojen ale není připojený of
0:23:57	a systém
0:23:59	tak to nastartovalo vtom
0:24:04	záchranném režimu tak se nenastartoval ten apparmor tady vidíte že se připojuje notting víte to
0:24:11	sou vám je tady to nebudu moc z řeči ale toto trochu je vidět
0:24:15	víte že se tam unpin cyklit SSL jsem připojí nějaký svůj souborový systém kdo se
0:24:21	objevují
0:24:25	informace
0:24:27	o
0:24:30	poté o tom ste napadlo dělá ten souborový systém pro vás slušně není on
0:24:35	se tady je vidět potom to je ten com podivnou to a statusů pokud to
0:24:39	všechno běží
0:24:43	tady vidíte ty informace nemusíte hledat tom souborovém systému co vidíte víte že moduly nahraný
0:24:49	že to funguje fajn a protože to dlouhé tak jasný že to funguje víte že
0:24:53	u všech patnáct profilu na hraných
0:24:57	teď tudle chytnete ten výchozí stav ubuntu tam jich je patnáct teda vy víte vítej
0:25:02	sezná víte že sou performs modu
0:25:05	ty profily může být ve dvou režimech
0:25:09	jak se máte semene ten druhý ale jeden jako výkonný to je tenhleten kdy skutečně
0:25:14	sou vynucována ta práva těch profilů a druhý je testovací a ten funguje tak že
0:25:20	ten profil tam je
0:25:22	apparmor ani je ten profily natažený a používá se ale ne vynucují set pravidla jenom
0:25:29	sem obuvi jejich
0:25:31	překročení tak
0:25:33	čili pokud je tam C dejme tomu pravidlo
0:25:39	pro čtení někde disku ze souboru a ten program se pokusí přičíst tak pořád nic
0:25:45	se neděje pokud se pokusí přitiskne tak se mu to normálně povede ale apparmor to
0:25:49	zalomuje
0:25:50	a to se hodí právě chvíli kdy potřebujete odladit ten profil takže by připravíte nějakou
0:25:54	základní strukturu které si třeba miss když by mohla stačit a pustíte to ano tak
0:25:59	mi normální běží aby sledujete log co eště navíc naprosto třeba zapomněli utišíme to no
0:26:03	jo naše musí se to co samozřejmě ale ten program funguje ho nezadá žádnou chybu
0:26:07	jenom apparmor pouze louhuje
0:26:09	toho budeme používat za chvíli při automatickém vytváření těch profilu což je možné to je
0:26:14	to vytváření profilů těmi následky sem mluvil tady vidíte seznam profilu aktuálně a com play
0:26:21	mu tyto ano stěžovat či režim to je ten režim čili N for a com
0:26:25	planck on line režim je ten který kdysi ten apparmor jenom stěžuje důvodů ale ne
0:26:31	nezakazuje nikomu nebo tomu program nic
0:26:34	jeden s těch
0:26:36	pro s a jo ten poslední botto nula to je tam se objeví nějaké číslo
0:26:41	v případě že nějaký ten proces teda profil ale byl spuštěn ještě před apparmor M
0:26:47	čili apparmor vás upozorňuje pozor ten proces ale nehlídá tady je problém musí to restartovat
0:26:54	tak mrknem se teda do toho
0:27:00	adresáře
0:27:02	více teda že tady nějaké profily jsou je tady profil pro evidenci F alfo s
0:27:07	a tak dále ale ty jsou myslím design let
0:27:11	jo když na link budete do adresáře mizej bylo některých těch profilů to sedum linky
0:27:17	teda vtom
0:27:19	vy vidíte
0:27:20	vtom disable tak tukwila barboru bude ignorovat takže jenomže nemusíte poslaní mazat nemusíte něco v
0:27:26	něm o tom zakomentovat nebo tak stačí prostě uděl takle link
0:27:29	a ten restartnout apparmor a on na ten profil nebude hodit čili víte že jo
0:27:35	na to bych kde se fajn fuchs
0:27:40	nehlídá dost docela ještě zajímavý adresáři up strašim kde sou
0:27:47	já bych řekl že to jsou takové knihovny pravidel pro apparmor pokud chcete některou běžnou
0:27:53	věc třeba je tady paní ten uprostřed zhruba když se podíváte podle abecedy když chcete
0:27:58	nějakému jak aplikaci povolit přístup I Q to si třeba rozhodí nebo to mi ruby
0:28:04	samba podobně tak prostě jednoduše ta pingnete do toho jo profilu některý si souboru sto
0:28:11	podadresáře
0:28:13	abstrakcím
0:28:15	a tam jsou připravené ty sady těch pravidel tak aby to prostě fungovalo je to
0:28:20	odladěné aby ten platí prostě běžel můžete se musí do toho zasahovat můžete si to
0:28:24	sami upravovat nemusím že to dělat ty a nemusí to by slinkovat tohleto ta pravidla
0:28:28	právě sou tady protože to sou poměrně komplexní věci
0:28:32	můžeme si to potom ukázat
0:28:35	tak
0:28:37	já přemýšlím jestli
0:28:40	ale jo já vám to ukážu
0:28:42	normálně ručí tak můžeme si předvést nejdřív že na ping pinka
0:28:49	ping nám letinka neunaví síť
0:28:54	s a pro lodi další s tak to zkusíme jestli
0:28:59	se nám to povede
0:29:01	no network
0:29:05	tak se ukaž call budeme
0:29:09	tak co se teda mu vám to tady je problém co tady
0:29:17	no teda problém včera mi to fungovalo samozřejmě neska se tady běží v nějakém záchranném
0:29:21	režimu
0:29:24	tak
0:29:25	nevím jestli
0:29:27	zkusíme taková oblast no tohoto by mohlo fungovat
0:29:30	uvidím takový damping a uvidíme se nám nebude pinka režimu tohlencto zakážeme jo
0:29:37	spin eště jednou pinty takže se založíme ručně
0:29:41	bin tečka ping
0:29:45	dostali za informaci
0:29:51	nelze jo dobře
0:30:08	dobře
0:30:12	máte dvě na
0:30:14	no já se omlouvám prostě se to sypalo a
0:30:19	remote o volné server je tam R ven
0:30:23	tak nevím
0:30:43	prvek B na začátku
0:30:49	no to je pravda takže nemoudrého zkusíme
0:30:54	poradíte mi
0:30:59	takle
0:31:02	jo
0:31:04	tak uvidíme
0:31:07	jo
0:31:09	ráda tak by to mohlo fungovat
0:31:12	to je tak ten generálský efekt no říkal mladím železny
0:31:21	tak prázdný profil
0:31:23	vypadá takhle víte že tam ta cesta k tomu programu který se to řešit a
0:31:32	a závorky složené kterých je teda ten obsah
0:31:40	my si tam ten profil zavedeme co to vlastně nepotřebu rysem stejně root
0:31:45	apparmor pár se
0:31:48	mínus a jako a D a dáme by ping
0:31:51	tak
0:31:55	a
0:31:56	tak a tady to máme
0:31:57	čili vidíte že já jsem zavedl prázdný
0:32:02	prázdný profil pingu api na přestal pingl protože na tom nemá právě když je ping
0:32:08	pořád root
0:32:09	tak víte že ta benátkám nemá právo vlastně zničím komunikovat na nic aha ping teďkom
0:32:13	prostě neudělám vůbec nic
0:32:16	a aby to fungovalo
0:32:20	tak
0:32:21	můžeme si ukázat automaticky režim
0:32:24	to by šlo
0:32:34	no tak
0:32:36	tady není ani to není na céčko to se omlouvám
0:32:40	no
0:32:41	vypadá to asi tak vám to předvedu takle jako nasucho
0:32:46	ten program který vám může generovat ten profil je agent provoz čili genera apparmor generuj
0:32:52	profil mimo dáte jenom
0:32:56	cestu k tomu souboru
0:32:59	který chcete ohlídat a funguje to tak
0:33:02	že on pro ni založí vlastně
0:33:06	prázdný profil a přepne ho do toho stěžovat si ho režim
0:33:10	a zapamatuje si kdy to udělal a tady mám tady píše než začnete měl by
0:33:15	sis kontrolo že tamten dosazení protože vám o přepíšu
0:33:18	a teď byste měli začít spinkat
0:33:22	co šátek teda bohužel nemůže protože se na to z další terminál
0:33:27	jakmile budu pinkat a vtom lomu se začne objevovat i záznamy co se tam děje
0:33:34	proč ping nebo co se snaží P dělat jakmile skončím
0:33:38	tak budeme to pro skenuje
0:33:41	o to pro skenuje
0:33:44	samozřejmě ťkam žádný žádné a události tam nejsou
0:33:47	ale já to je naštěstí natahat napsané celý ten profil toho pinguje aby to fungovalo
0:33:53	takže o tom napíšu ručně
0:33:54	a on si ten moh projde a podle něj vlastně vymyslí zpětně ten profil tak
0:34:00	aby odpovídal tomu logů aby všechno co
0:34:03	se zamlouvalo
0:34:05	aby užší příště sem alokoval o eště mám to pěkně vypisuje prostě princezna že přesto
0:34:10	pitoma k tomu se tomuto povolit ano nemůžete to ještě ladit couře pak můžete kdykoli
0:34:15	ten soubor do editovat ručně
0:34:18	čili principy vtom že byste s tou aplikací měli udělat ideálně všechno co bys to
0:34:22	byste pozdě jakou běžný uživatel tak u brány uživatel té aplikace
0:34:27	prováděli tak aby ten pharmos i skutečně všiml všech přístupu ke všemu co
0:34:33	s u ho
0:34:37	no je pořád prázdný
0:34:39	aby si všiml všeho K ke všemu S se snažil ten ping přistoupit k čemu
0:34:44	snažil ten tým přistoupit aby mu to potom
0:34:47	do pro pozdější
0:34:48	práci povolil tak
0:34:53	include známé si
0:34:59	extract šáns potřebuje tam je nějaký based nějaký obecný základ
0:35:05	tak se na ni můžeme jít podívat
0:35:09	určitě potřebuje
0:35:11	není servis aby mohl bych přistupovat k
0:35:16	kde nechce jinak to nebude fungovat
0:35:19	eště součástí toho prostoru name servis je přístup na internet nalitý ve čtyři lety ve
0:35:26	šest
0:35:27	takže automaticky ve službě které dáte D nesku samotný pohled je přístup na síť
0:35:33	to můžete potlačit můžete si to nějak upravit že třeba D přístupná dense to znamená
0:35:38	pravdu přístup bude téčkem jenom na tedleten počítač nebo osude tečkovanou větších odpovědi stejně nestačí
0:35:46	takže prostě Ú D P T C P na tendle počítači ostatní potom budete muset
0:35:50	povolovat zvlášť když to můžete takle tak aplikace prostě může na síť
0:35:54	pak budeme potřebovat
0:35:57	povolit tu síť
0:36:06	se ui
0:36:09	setuid je tam republika proto aby mohl ten program zahodit své právo to funguje že
0:36:16	jo jako by to nejbezpečnější takže on provede na začátku tu potřebu jako root a
0:36:20	pak se ta pravá změní ná nějakého prostě uživatele já nevím nul nebo něco nebo
0:36:26	na vašeho uživatele a
0:36:28	aby pak push případě chyby nemohlo žádný problém dojít
0:36:33	a teď i zásadní
0:36:36	aby mohl
0:36:38	jo aby mohl ten
0:36:40	ten program si teda otevřít throw soket a posílat po něm ty pakety
0:36:45	svoje
0:36:46	nestandardní vlastně
0:36:50	tak opět o načteme můžete buď restartovat celý ten apparmor ale to je při úpravě
0:36:54	skutečné spočítat mínus rekord lout
0:37:01	honza semestru R rozpozná
0:37:03	cože
0:37:04	tak výstup tak dobře tak vám předvedu dostat
0:37:12	tak pěkně
0:37:16	jo to možná tak
0:37:17	bude
0:37:19	S tak je to dva
0:37:24	jo tady mám ukazuje že přeskakuje ten fans lososi slot
0:37:29	je tam sice se jo
0:37:35	ta sme udělali
0:37:42	tam eště totiž
0:37:44	na začátek patří
0:37:48	tam totiž mají připravené
0:37:54	ty profily tak takovéhle jako obecné věci
0:37:57	které
0:38:01	tu na druhé straně
0:38:04	co tam takové obecné profily které se předpokládá že budete dávat úplně všude účtu funguje
0:38:12	jo
0:38:13	a tak vidíte že by nám pinka je tam teda ještě tento unable set global
0:38:17	který se přidalo úplně do každého profilu na začátek a tam jsou nějaké
0:38:21	můžeme se podívat
0:38:24	jaká obecná pravidla
0:38:27	další které se přidávají jako přístup do procesů
0:38:30	přístupu hubu a podobně aby to aplikace aspoň ty základní P věci které prakticky umí
0:38:36	každá aplikace aby nebo potřebuje tak
0:38:42	aby měl
0:38:45	jo tady vidíte nastaví u třeba ještě se tam includu další potom zoom do tam
0:38:49	je tam celá
0:38:51	jo
0:38:52	tam je prostě celá zcela ten celý takový strom pravidel který se tam automaticky přidává
0:38:58	takle prostě to k tomuto standardně funguje neznamená to že to takle budete používat vy
0:39:04	když se podíváme na status tak už víte nahoře že už máme šestnáct profilů všechny
0:39:09	jsou teda sem furt modu a úplně nahoře printing
0:39:14	takle vypadá ten ping já jsem chtěl ještě před předvést vám jak vypadá profil soketu
0:39:20	ale protože bohužel nemám cit tak tady nemám co větnou to bych to abych to
0:39:24	předvedl ten profily jako podobný akorát tam chybí teda ta síť protože on síť dostane
0:39:31	přes ten M services
0:39:33	a dá se tam zase zapsat po ste viděli vtom
0:39:38	tady tom slajdu
0:39:41	že třeba já jsem zkoušel na začátku si tak je ten se něco do tempu
0:39:46	takže apparmor dovolí pingu pardon sem soupis ghettu zapisovat do lomeno todleto lomené deset omyl
0:39:55	N
0:39:56	stačí mu tam zápis right samozřejmě takovýto potřeby nějak s vůbec nic tak ideálně tam
0:40:01	napíšete že uvede lomeno tomuto lomeno hvězdička nebo výška hvězdička a stejně tak je to
0:40:08	tady k tomu tak mu prostě dovolíte tomu ghettu ručně třeba ještě zapisovat domů pravý
0:40:14	tomuto takhle
0:40:15	abyste si mohli opravdu stahovat něco humus to čemu jak říkám
0:40:20	de třeba reálná ukázka potom toho využití toho ghettu stačí mu vlastně zápis do
0:40:28	těch souborů
0:40:29	a protože on vlastně nepotřebuje nižší s takže i kdyby někdo se nějak prostě využil
0:40:35	třeba v nějakém vašem skriptů špatně napsaném zvenku wget aby vám třeba vyčetl nějaké informace
0:40:42	sou Ú nebo podobně tak jsem to nepodaří protože apparmor mu dovolí jenom
0:40:46	jenom zapisovat mši souboru protože to je to má stahovat a nemá dělat
0:40:52	žádnou jinou
0:40:53	zlobivost tak prozkoumání adresářů udělali toto jsme si profil automaticky vytvoří profilu se má teda
0:40:59	bohužel neukázal
0:41:01	ale nepřerušíme si bych to muka v nějakém jiném programu ještě
0:41:06	asi tečný nic rozumnou nenapadá
0:41:10	to asi to je já myslím že to chcete to ukázat na ubuntu tady nutnosti
0:41:14	na se
0:41:15	myslím že vám to takhle si snad doufám stačilo jo prohlédnutí voltů jsme ukázali ještě
0:41:21	ten blok je
0:41:36	tak takle vypadají ty jeho výkřiky do logu
0:41:42	pro file outs tady vidíte že se sem se snažil na ludva teda ten profil
0:41:48	jo jde totiž že neplyne výkřik ani nebudu
0:41:50	protože sme neprováděly ten
0:41:53	jinak je tam teda napsáno normálně co se snažila tato snažil ten to snažila kabinách
0:42:00	a dělat jenom normální napsáno že se třeba snažila přistoupit na ne C otevřít i
0:42:05	C P spojení
0:42:06	a že jí to třeba bylo zakázáno nebo že to prošlo protože to jenom to
0:42:09	křižovat tím režimu a právě na základě tyhleti houby potom ten gen prof tento projde
0:42:15	a nabídne vám co chcete do toho posun a přidat
0:42:20	takže doporučuji sledovat existuje i v bundu nějaká integrace do
0:42:25	takového ty vyskakovat singly sou vpravil
0:42:28	takže vám to umí potom případně jako nahlas vás to upozorní že se zavazovalo něco
0:42:33	kokos
0:42:34	co se týká pár moru abyste si to fakt všimli protože jsem říkal že tam
0:42:38	straší a díky ten disku char bublině mám to prostě řekne teď tady ping se
0:42:43	snaží dělat nějakou nestandardní věc
0:42:46	tak
0:42:47	máme ještě
0:42:48	čili času protože to ukázka je teda takle zkrácená v tom bodě tak
0:42:52	jako ukázku máte
0:42:54	si proud a
0:43:07	ne to není samo C proces to je normální modul v jádře
0:43:18	protože se vzala ano protože se zavádí ty profily
0:43:21	tam není vidět si tam nevím D
0:43:24	ale on se zavádí ty profily jsou zásadní bodu se načte někdy prostě na začátku
0:43:29	ale až prostě během startu systému se zavede to co je tedy do apparmor což
0:43:33	znamená že se že se pomocí toho parseru načtu všechny moduly a čtu chvíli začíná
0:43:39	starat ten apparmor o ty
0:43:42	o ty procesy které mají ty profily takže pokud se předtím ještě podaří něco nastartovat
0:43:47	nebo třeba se stane jako they že ten apparmor ty profily nenačte
0:43:51	a spouštělo by se něco s těch profilů předtím ještě aby si vzpomněl nemálo armor
0:43:58	tak pokud už něco běží třeba ten pin kůžemi pinka tak není kontrolován ani dodatečně
0:44:03	u neumíte práva jako by sebrat dodatečně připíchnu si pinka u si to na otvíral
0:44:07	ty sokety a užší dělá co chce a tábor modelu stojí a čeká jsou počítat
0:44:12	pak teprve jakoby nebo při dalším spuštění na něm teprve převezme kontrolu
0:44:25	to na to dominate na odpovědět já jako ne nejsem derivace do netušíme to funguje
0:44:29	tom jádře
0:44:32	je to možné no ale každopádně to takle prostě jen jako je s taky neumím
0:44:37	by se to je ten proces proč to také proč při
0:44:42	abychom na záznam řekl jsem měl při dodatečnému spuštění to apparmor u proč neumí převzít
0:44:48	tu kontrolu to neumřít s taky
0:44:53	tak ještě někdo nějaký dotaz tam
0:45:11	to bylo ideální možnost zkombinovat
0:45:14	víc tělesem do modu pardon
0:45:17	jo opakuju že je tady dotaz na možno S zkombinování více osum modulu to by
0:45:22	bylo ideální protože no protože by se dalo to doladit jednoduše ale nevím o tom
0:45:26	že by to bylo možné netuší myslím si že skutečně jako je možný jo
0:45:32	u tě jedno nebo druhý
0:45:35	tak jo tak vám děkuju na tom za pozornost a dobrou chuť
0:45:38	obědu vám přeju díky

AppArmor: brnění pro váš systém

Sobota 3.11.2012 - velký sál D105

Petr Krčmář