0:00:16 | dobré dopoledne |
---|
0:00:18 | neméně petr krčmář sem šéfredaktorem sedum rovnice Z |
---|
0:00:23 | a |
---|
0:00:26 | tady přednášku o |
---|
0:00:28 | zabezpečení linuxového serveru |
---|
0:00:31 | vy byste si chtěli stáhnout a kuš tetě |
---|
0:00:34 | s pozici na webu takže kdybyste s tou chtěli nějaký příklad odkaz nebo něco tak |
---|
0:00:37 | to buď můžete opsat |
---|
0:00:39 | samozřejmě s plátna a nebo máte možnost si to na téhle |
---|
0:00:44 | adrese |
---|
0:00:45 | no |
---|
0:00:46 | jako jiné slajdy |
---|
0:00:50 | a |
---|
0:00:51 | takže bude ta přednáška já sem |
---|
0:00:56 | tak já jsem vaznici zeptám cat kdo z vás má vlastní nějaký serverové pejsků někde |
---|
0:01:01 | něco co obsluhuje se na sem mít tam přihlásit jako root a něco dělat no |
---|
0:01:07 | tak polovina řekněme to je velmi solidní |
---|
0:01:12 | že před pár lety to vlastě docela problém pozici vlastní server |
---|
0:01:17 | to je byla tak nákladná věc že to obvykle znamenalo jedna ku by to železo |
---|
0:01:22 | někde hostovat několik tisíc korun měsíčně to si prostě jen tak někdo pro svoje hrátky |
---|
0:01:28 | s těmi pořídil dneska je situace úplně jiná dneska má možnost cibéb S P pustit |
---|
0:01:33 | prakticky kdokoli je to otázka dejme tomu stokoruny měsíčně za nějaký základní model |
---|
0:01:40 | pět seti dvanácti megabajty paměti a |
---|
0:01:43 | nějakým několika deseti gigabytový diskem velmi solidním připojíme internetu |
---|
0:01:50 | případně třeba jsem členem sdružení ve pestrý tak za tři stovky máte mašinu se čtyřma |
---|
0:01:56 | do bity paměti a osm jádrem procesorem |
---|
0:01:59 | takže my T P S ku dneska vůbec není problém |
---|
0:02:03 | a co šestce na jednu nedostanu dobře a na druhou stranu se k sedum dostávají |
---|
0:02:08 | lidé kteří o tom ví velmi málo a často V velmi málo svou zabezpečení |
---|
0:02:15 | serveru zrovna uveďme jestli se stává že si ve pejsků tvoří nějaké dítě ti si |
---|
0:02:22 | tam vedení hosting a |
---|
0:02:24 | týdnem to nějakou šílenou aplikaci někdo prostředí a začnou tamtuď prostě dát nepořádek po internetu |
---|
0:02:30 | takže skutečně tohle začíná být problém právě proto že |
---|
0:02:35 | tibet hezky součin dál čím dál dostupnější takže já jsem se |
---|
0:02:38 | rozhodl udělat takovouhle přednášku |
---|
0:02:41 | tak i základní přehled toho na co je potřeba myslet |
---|
0:02:45 | a |
---|
0:02:46 | chtěl jsem přemýšlel jak to pojmout že to je strašně ve stejné téma že se |
---|
0:02:51 | dá bavit o jednotlivých server |
---|
0:02:53 | dá se bavit o těch démonech dá se bavil konfiguraci databáze a všeho možného takže |
---|
0:02:59 | bychom mohla vzniknout samostatná vedení konference která vyprosila jednotlivé součásti linuxového sem |
---|
0:03:05 | ale mám na to hodinu takže jsem se rozhodl to udělat tak že |
---|
0:03:11 | budeme mluvit jenom o tom o té systémové bezpečnosti o tom operačním systému |
---|
0:03:15 | a nějakých základních aplikacích kolem něj ale ty tu aplikační vrstvu si |
---|
0:03:22 | necháme třeba na jindy nebo necháme někom jiné takže nebudeme tady probírat |
---|
0:03:26 | jak funguje |
---|
0:03:29 | a ta child žen X a jiné služby ale zaměříme se vyloženě na ten systém |
---|
0:03:34 | na ten linux jako takový ještě |
---|
0:03:38 | mám tady před nějaké placky s logem by byla velkou jednu možná i a malé |
---|
0:03:42 | takže když budete měnit na nějaký chytrý dotaz |
---|
0:03:45 | a pěkný tak dostanete placku máte šanci |
---|
0:03:50 | na začátku nějaké takové pater zodpovědného admin a sem si myslel co je potřeba na |
---|
0:03:56 | co je potřeba myslet určitě a postupně potom jenda přednášky ty jednotlivé body si projdeme |
---|
0:04:02 | městským řekne |
---|
0:04:05 | vypadá to si takle aktualizace může zbytečných služeb omezení uživatelů pozor access áčko a |
---|
0:04:12 | samozřejmě luky o těch sledy tady měli pěknou přednášku nové blokovacím systémů systémy |
---|
0:04:19 | tak |
---|
0:04:20 | udržování aktuálního softwaru to se tak jako obecně říkáš je to nějaký že by to |
---|
0:04:25 | měli dělat |
---|
0:04:28 | samozřejmě kvůli bezpečnosti jedna kuli technickým chybám které můžou se mořeni vznikat tou softwaru které |
---|
0:04:33 | se objevují a neopravují ale i kvůli těm bezpečnostních mám které se záplatu jí tady |
---|
0:04:37 | mám první poznámku když debian tak jedině s table i když na linus this |
---|
0:04:42 | říkal david že nepoužívá takové obskurní věci jako je dobrá s table |
---|
0:04:48 | takže já jo |
---|
0:04:52 | to kvůli bezpečnosti třeba je to dost zásadní protože |
---|
0:04:56 | vlastně jenom s table má plnohodnotnou bezpečnostní podporovat dostává všechny aktualizace bezpečnostní přes se kvality |
---|
0:05:04 | takže pokud si pořídíte anst table tak tam je to |
---|
0:05:09 | takové napůl protože tam se tedy bezpečnostní aktualizace přijíždějí protože jsem aktualizuje samotný D software |
---|
0:05:15 | ale to takové hodně nesystematické a nehlídá s tolika u testy ujedou úplně průšvih tam |
---|
0:05:20 | prostě ty aktualizace kříži s velkým zpožděním takže |
---|
0:05:27 | tam ta podpora bezpečnostní není ačkoli terra projekt debian pracuje na tom že |
---|
0:05:32 | by právě mělo vzniknout do vznikl tým |
---|
0:05:36 | restrikce kvality který se tím zabývá by bylo možné mít lepší bezpečnosti na testy ale |
---|
0:05:41 | prostě z hlediska serveru kde se nechcete zlobit s tím že se vám tam každý |
---|
0:05:45 | týden přijde jiná verze péráka která vám to rozbije tak prostě ten s table je |
---|
0:05:49 | velmi rozumné řešení |
---|
0:05:53 | nastavit jestli atik rhone to je taková taky ty to je velmi pěkná aplikace která |
---|
0:05:58 | vám mi hlídat |
---|
0:06:00 | aktualizace a sledujete repozitáře hlavní posílat maily o tom že potřeba něco aktualizovat |
---|
0:06:06 | S tři jako malou statistiku kolik bych z jednoho se budu posílá tak větší průměr |
---|
0:06:10 | je to mail týdně |
---|
0:06:13 | za miluje pět |
---|
0:06:15 | úměrně balíčku k aktualizaci za ten týden |
---|
0:06:18 | a my neumíme jeden taky občas chodí je maximum bylo třicet jedna z při štrnácti |
---|
0:06:23 | dny |
---|
0:06:25 | že se aktualizovala já relátko další věci kolem knihovny v eště balíku tam byla hromada |
---|
0:06:30 | ale běžně to třeba těch osum devět balíčků které toho znám že potřeba aktualizovat a |
---|
0:06:35 | hlavně o tom víte že to musíte dělat prostě vám to samo řekne |
---|
0:06:38 | zda jsou jiné nástroje ale prostě pro nějakou ve pejsků je tohle nějakou malou je |
---|
0:06:43 | tohle úplně ideální prostě by vás to aby vás to upozorňoval jméno |
---|
0:06:47 | samozřejmě |
---|
0:06:48 | počet těch aktualizací těch mejlu je závislý na tom jaké tam ty balíčky kolik tam |
---|
0:06:54 | máte čím víc tam to máte samozřejmě větší šanci se něco bude aktualizovat |
---|
0:06:58 | pokud tam máte jenom |
---|
0:07:00 | nějaké minimální množství balíku tak těch pozici nejezdí moc |
---|
0:07:07 | vypnutí zbytečný služeb je další položka kterou sem tam měl na začátku |
---|
0:07:13 | měli byste se podívat na tom serveru co vám tam běží |
---|
0:07:16 | a to buď pomocí netstat u a tady toho příkazu který vám vysype všechny |
---|
0:07:22 | služby které poslouchají na nějakém portů tou je tam že to zkontrolujme béčko takže se |
---|
0:07:29 | podíváte co tam všechno běží zjistíte že tam máte třeba byl server který nepoužíváte nebo |
---|
0:07:35 | že vám tam běží portmapper a přitom nepotřebujete použila nafasoval tak prostě |
---|
0:07:41 | obecně lepší povypíná všechno co nepoužíváte protože to je samozřejmě potenciální zdroj nějakých problém zrovna |
---|
0:07:50 | viviano samozřejmě obecně není aby taková snažit když |
---|
0:07:53 | něco nainstalujete tak by ta konfiguraci výchozí měla být bezpečná |
---|
0:07:59 | obvykle to tak je ale prostě není dobré mi tam nějakou službu která je nějak |
---|
0:08:02 | nastavená víceslovní nestarali |
---|
0:08:05 | další problém třeba vtom debian se takový hodně debian s empirický protože jak už aby |
---|
0:08:09 | byla prakticky všude takže zamořuje tyhle všechny věci platí obecně ale já mstím s tím |
---|
0:08:15 | vybraný zkušeností |
---|
0:08:16 | za kdyby ale nepříjemné to že když nainstalujete nějaký balík kterém nějaký démon tak moc |
---|
0:08:21 | automaticky spustí |
---|
0:08:23 | cože věc která mi se moc nelíbí nejsem sám ale nenašel se nějak jednoduché řešení |
---|
0:08:28 | že by se je von figurku von figura za pro auto stárkov nebo něco nefungovalo |
---|
0:08:33 | prostě automaticky to nastartuje co šel vývojáři říkají že to je tak schválně že když |
---|
0:08:39 | to ten že jste něco nainstalovali tak to přece chcete používat R prudce musí běžet |
---|
0:08:43 | sádlo strany se najíst ale takže pro server halsall spustíš nemáte žádne uživatele nemáte nic |
---|
0:08:48 | ale už vám posluchač že bude server jo pak stejně musíte restartovat bys to na |
---|
0:08:51 | konfigurovali tak je to takové zvláštní ale potřeba na to myslet protože i balíčky které |
---|
0:08:56 | se aktivně vlastně použili tak jenom tím že se nainstalovali tak vám někde něco spustili |
---|
0:09:01 | takže je jako velmi dobré |
---|
0:09:03 | se dívat na to se v tom systému děje ano obraz regnetu |
---|
0:09:29 | F a to proto to za pak to zopakuju že systém T je možnost |
---|
0:09:33 | si nakonfigurovat to jsem ta aplikace spouštět postupovou po instalaci nebo ne takže to si |
---|
0:09:40 | tady tohle řeší |
---|
0:09:48 | že to globální vlastnost systému nezávislá nebo ty balíčcích ale |
---|
0:09:58 | že ve výchozím stavu je že se to nespouští |
---|
0:10:02 | tak co není na seznamu a explicitně vyjmenovaných se nespouští po instalaci to je fakt |
---|
0:10:07 | to se mi líbí víc než to že se to prostě spustí zavoláte nějaká speciály |
---|
0:10:10 | tady byla např antecedentu to nedělá svazy těmto jistá tak |
---|
0:10:15 | si už žen tu automaticky to nepusť |
---|
0:10:18 | tak |
---|
0:10:19 | a kromě toho netstat osamoceně můžete podívat třeba a ten zvenku nebo takle lokální já |
---|
0:10:24 | mám po čeká porty a podívá se |
---|
0:10:27 | co vám tam běží a podle toho samozřejmě velmi rychle zjistíte |
---|
0:10:32 | velmi rychle zjistíte co tam co tam máte co nechcete mít |
---|
0:10:37 | eště tady poznámka některých služeb třeba se vyplatí uzavřít je pro konkrét přistupuju kritiky adres |
---|
0:10:43 | případně využít nějaký podbloky |
---|
0:10:46 | to znamená ťukání na porty kterým si z venku otevřete ten port |
---|
0:10:51 | nějakého strojek jehož aipí adresu nemáte povoleno |
---|
0:10:55 | pro přístup k té konkrétní službě na to sou |
---|
0:10:58 | různé automatické aplikace že napíšete cestu k a masně odřekla na tom sem do správné |
---|
0:11:03 | pořadí portu otevře se vám otevřu se vám dobře |
---|
0:11:07 | N jako |
---|
0:11:08 | zajímá |
---|
0:11:11 | co s uživateli |
---|
0:11:12 | omezte uživatele tady mám další věc kterou které je potřeba si hlídat |
---|
0:11:18 | podívejte se jaké máte uživatele systému protože ne každý uživatel systému se rovná fyzickém uživateli |
---|
0:11:25 | sinicím zastr sedícímu za strojem |
---|
0:11:28 | protože zase spousta balíků se přidává svoje vlastní uživatele do toho do toho systému různé |
---|
0:11:34 | démony mají svoje |
---|
0:11:36 | a pač nagios a podobné podobní uživatele |
---|
0:11:40 | jsou často taky automatizovaným stroje zdroje automatizovanému cíle park cílem automatizovaný útoku tak jak si |
---|
0:11:48 | ukážeme potom nějaké statistice tam mám nějaké účty se útočíte velmi často sou to právě |
---|
0:11:53 | tyhlety protože ty má prakticky každý na server nějaké takže stačí si mladejch seznáno můžete |
---|
0:11:59 | zkoušet se přihlašoval takže na ně potřeba dát pozor |
---|
0:12:03 | samozřejmě uživatelům je potřeba zabránit přenosu ne šifrovaný hesel takže je fajn že se tam |
---|
0:12:09 | dostaly se z áčko nalistovat zároveň spuštěné smítko pro webové služby pro někoho nebo |
---|
0:12:15 | při nebo imap čtyři B S K S starts L tak taky ničemů že tam |
---|
0:12:20 | je krásné se zatáčkou když se dá poslouchat jinudy |
---|
0:12:24 | takže třeba já mám na sebe úplně vypnuté všechny S T K všechny cesty nešifrované |
---|
0:12:30 | dovnitř aut uživatelé se musí naučit |
---|
0:12:33 | používat s F a to po |
---|
0:12:36 | A na nainstaluje klient strčí se tam klíče |
---|
0:12:40 | se tady křikneš o tom si tuto tady prostě spravuje soubory |
---|
0:12:44 | tak tady napsáno že máte tyhle varianty pokud kuše nikdo musí používat tak nahradit určitě |
---|
0:12:51 | nemá utratím start |
---|
0:12:53 | else nějakou nebo nějakým S pole který jsem třeště postavit ale s tím mají potom |
---|
0:12:58 | problém ti uživatelé takže to je |
---|
0:13:01 | ale nechá se jim |
---|
0:13:03 | udělal nějaký skript automatický který |
---|
0:13:06 | ústí a ono se to stane takle to mají camry rodičema na ploše |
---|
0:13:10 | ve windows vista ikonku a o jeden čili daleko daněny může spravovat nemuseli počítače to |
---|
0:13:17 | mi do |
---|
0:13:18 | a |
---|
0:13:22 | mají tam ikonku pro sestavení je sezná tunelu oni prostě ty že když něco potřebuju |
---|
0:13:26 | takto mají spustil prosím černé okýnko |
---|
0:13:29 | pak mají dělat tady šeku slevami tak černooký com I zavřít prostě ty normálně to |
---|
0:13:33 | používá |
---|
0:13:35 | další slajd k témuž eště |
---|
0:13:38 | zkontrolujte si že máte některé adresáře připojené s parametry obecná solid analýze speciálně |
---|
0:13:46 | protože ten je často třeba používám když uřvaný dostaneme bude někdo něco zkoušet |
---|
0:13:52 | anima coming a zapisovatel do toho tento zamořený že vždycky |
---|
0:13:57 | a aby tam prostě neměl možnost si necháme nějaké vy nároky a pouštět si dělat |
---|
0:14:02 | tam neplatí |
---|
0:14:04 | sticky bit |
---|
0:14:05 | na ten na ten tam ten je taky výchozím stavu ale je dobré si to |
---|
0:14:09 | zkontrolovat občas to znamená že se uživatelé můžou stentu |
---|
0:14:13 | sami vzájemně do souboru trestám uložili a každý už nticím |
---|
0:14:21 | zkuste nastavit uživatelům rozumné limity na počet procesů třeba které který můžu spustit a podobně |
---|
0:14:27 | a máte cenu nějak na přetěžovaly pouť |
---|
0:14:30 | nějaké chyby neznalosti nebo furt lze zlomyslnosti |
---|
0:14:35 | omezte možnost použití sudo samozřejmě pomocí visu do |
---|
0:14:41 | podívejte kdo má právo to sudo spouštět s které uživatele se dá co dělat |
---|
0:14:47 | máte možnost tam definovat je třeba že |
---|
0:14:50 | uživatel může s nějakým vyšším oprávněním automaticky spouštět jenom určité by nároky nemůže se třeba |
---|
0:14:57 | nemůže cokoli dělat ale má omezený prostor opět |
---|
0:15:01 | omezte přístup do různých adresářů si kam uživatel nemusí tak tam |
---|
0:15:05 | není důvod aby tam lezl |
---|
0:15:08 | třeba ve výchozím stavů je svém přístup do dobu ho |
---|
0:15:14 | to |
---|
0:15:15 | root ovského moje uživatelům zakázán vše rozumné že tam velmi často má právě jako |
---|
0:15:20 | rozdělané různé věci kopie konfigura jako a podobně není důvodu takže uživatel zveš věděli |
---|
0:15:26 | další věc |
---|
0:15:29 | omezte počet S ohnutých binárně k tady je sou dva příkazy které vám je umožní |
---|
0:15:34 | velmi jednoduše najít sou systému |
---|
0:15:36 | osud vy náký které mají nastavený setuid bit a nebo se typy |
---|
0:15:41 | i když spustíte tak jako běžný uživatel tak se nespustí pod vašimi právy ale to |
---|
0:15:46 | právě to vlastníka |
---|
0:15:48 | většinou se často se to lidi pletou s a říkají že |
---|
0:15:52 | submod aby nákazy spustí popravy to automaticky a tak to není to se nejčastěji takle |
---|
0:15:57 | používá ale prostě po tobě vlastních byl franta a pepa bych pustil jeho binárku takto |
---|
0:16:02 | se spustí po frontovým |
---|
0:16:05 | from to je právě ale nejčastěji se to právě spouští pokud typicky celá ping |
---|
0:16:09 | tomu aby si mohu otevřít |
---|
0:16:11 | ten roso K ta a posílat si tam ty pak je díky tak potřebuje mít |
---|
0:16:16 | ta a tak jo má v tom systému ale každá taková nevinná K |
---|
0:16:22 | potenciálně na sobě nějakou díru |
---|
0:16:25 | tak může být to budou cestou do systému |
---|
0:16:28 | takže je dobré se dívat které ty benátky tuhle schopnost mají sestavu tam automaticky a |
---|
0:16:34 | v případě že to není úplně nutné taky třeba vyhodit nebo neboj ten bit sebrat |
---|
0:16:41 | a poslední |
---|
0:16:43 | položka na tohle slajdů je zvažte zapnutí apparmor tady pánové se devět určitě řeknu že |
---|
0:16:49 | sem linuxe lepší |
---|
0:16:51 | nazdar měl minulýho přednáška padnout |
---|
0:16:53 | kam apparmor |
---|
0:16:55 | asi našlo se mínusu tady teď nějak nebyl pouštět |
---|
0:16:58 | nebo něco takového prostě to je další způsob jak obezita ty aplikace specielně apparmor dost |
---|
0:17:04 | nebere na té přednášce tak umožňuje ja konkrétní benátkám nadiktovat práva a věci které můžou |
---|
0:17:10 | dělat s je to výrazně podrobnější nejš klasicky airbagy |
---|
0:17:15 | stě práva |
---|
0:17:17 | můžete říct prostě tenleten program může zapisovat do tohohle adresáře může číst tohle adresáře může |
---|
0:17:23 | na internet a konec prostě třeba |
---|
0:17:26 | nebo nemůžu bez na disk ta aplikace nebo nemůže vůbec na síť a je možné |
---|
0:17:30 | velmi podrobně nastavovat co který software může je to třeba jedna se budou docela fajn |
---|
0:17:36 | protože |
---|
0:17:37 | zase můžete psát pač i nadiktovat a pač může číst |
---|
0:17:41 | z pardon ale nesmí tam nic zapsat a obráceně nemůže do tempu třeba prostě zase |
---|
0:17:47 | cena vymýšlíte samozřejmě ta aplikace pak musí fungovat takže se to |
---|
0:17:53 | to musí trochu ladit sou ale napsaná pravidla pro to docela dost těch takových těch |
---|
0:17:58 | běžných |
---|
0:17:59 | aplikací senzorových takže to stačí vlastně jenom nainstalovat správný balík |
---|
0:18:05 | a pan moc podívat se do těch pravidel zkontrolovat je prostě to na to většinou |
---|
0:18:09 | funguje případně to můžete pole |
---|
0:18:14 | zásadní položka je seznal |
---|
0:18:19 | vím že lidi někde |
---|
0:18:22 | plzně na univerzitě dělali analýzu toho co |
---|
0:18:26 | kterou cestou se nejčastěji útočí na servery a jednoznačně vedlo jestli z áčko prostě to |
---|
0:18:32 | je brána rovnic pro administrátor samozřejmě to legitimního ale i pro toho |
---|
0:18:38 | vašeho nového správce se můžu kterém ještě nevíte že u vás pracuje a který si |
---|
0:18:42 | když číně tak |
---|
0:18:44 | tak i ten povědomí se z áčkem |
---|
0:18:47 | takže |
---|
0:18:48 | je velmi dobré se na ní zaměřit |
---|
0:18:53 | je to velký terč vláda kárání hesel z vás má někde se z áčko čte |
---|
0:18:57 | logicism byste měli dělat |
---|
0:18:59 | tak určitě vidíte mám tam jenom ty pokusy prostě o to přihlášení |
---|
0:19:03 | většinou se střílí oblouku protože narozdíl svatý mailů ty se za uživatele jsem tak někde |
---|
0:19:10 | na internetu nevím little vašeho serveru |
---|
0:19:12 | ale jak sem říkal je spousta |
---|
0:19:16 | je spousta běžných uživatelů F systémů které kteří které kteří sou praktických každej instalaci |
---|
0:19:23 | právě o těch různých démon |
---|
0:19:26 | a poznámka že jí získání běžného uživatele je velké pro samozřejmě leoš máte ten já |
---|
0:19:30 | ovšem můžete něco dělat můžete zkoušet |
---|
0:19:34 | stahovat z internetových spojity kompilovat pouštět a prostě u střílíte země co užito výrazně jednodušší |
---|
0:19:39 | takže ani |
---|
0:19:41 | ani to že se nikdo přihlásí jako jirka |
---|
0:19:43 | není úplně vpořádku někdo cizí když to není jo |
---|
0:19:47 | tady mám ten seznam těch nejčastěji aspoň to je to je s mého serveru |
---|
0:19:53 | nejčastější |
---|
0:19:55 | pokusy o uživatelské auto kino uživatelské účty přece se značkou |
---|
0:20:02 | vidíte že tam i nagios cast postgres |
---|
0:20:05 | S tak je tam |
---|
0:20:07 | S korejkou prostě takže to jsou takové ty jo pro nejběžnějším čtyři |
---|
0:20:11 | o nikdo tam nezkouší |
---|
0:20:13 | nějaké jako liška novotná ste to nemá smysl ale přesně na tyhlety nejlepší počet |
---|
0:20:19 | samozřejmě obrany |
---|
0:20:21 | existují |
---|
0:20:22 | a zase tady mám několik budou se jmenovat podrobněji trošku změní port se zásadu omezit |
---|
0:20:29 | některé uživatele které nechcete vy popřela šamani heslem povinné přihlašování pomoci klíčů |
---|
0:20:35 | a sledování těch pokusu |
---|
0:20:39 | první věc kterou vám hodně lidí doporučí je změna portu server ale ono to je |
---|
0:20:43 | vlastně |
---|
0:20:44 | se kritizujou curity čili to je jenom tím že po schováte tak vlastně to není |
---|
0:20:49 | bezpečnost prostě jenom |
---|
0:20:51 | nějaké omezení |
---|
0:20:54 | řekněme počtu těch útoků takže vždycky to jenom jako nějaký doplní když to budete dělat |
---|
0:20:59 | já sem našel moc pěknou statistiku |
---|
0:21:02 | daniela |
---|
0:21:04 | myslela |
---|
0:21:05 | lena |
---|
0:21:07 | který vyzkoušel najednou pustit se zákona pro tu dvacet dva dvacet čtyři a zjistil že |
---|
0:21:12 | mu kleslo full tisíckrát |
---|
0:21:17 | to pokusy o připojení na se sáčku zase by tisíc na při na tom ví |
---|
0:21:21 | po |
---|
0:21:22 | takže to jako ukazuje že to opravdu funguje minimálně jako nějaká obrana přece zero by |
---|
0:21:28 | útoky kdy se objevila nějaká díra F se zač podrážděný z ale která tak tím |
---|
0:21:32 | že jo máte mimo tak |
---|
0:21:33 | snížíte do dva tisíce krát šanci na to že to někdo zkusí takže |
---|
0:21:37 | asi to asi to má smysl já to nedělám |
---|
0:21:41 | ale hodně lidí vy můžete má posunuté někam mimo zóna použil po dvacet čtyři prostě |
---|
0:21:46 | nevím proč většinou se to dává někam vysoko nebo na čtyři trojku |
---|
0:21:50 | aby to bylo dostupné přes firewall první dotaz |
---|
0:22:00 | samozřejmě |
---|
0:22:07 | samozřejmě že do |
---|
0:22:10 | dotaz byl že je to zkreslené pravděpodobně tím že už na obou portech bylo to |
---|
0:22:15 | je sedláčkovou takže do našeho dvacet musím nešel dál to je pravda asi a jestli |
---|
0:22:20 | jste nějaký je se zadaný port existujou samozřejmě dokonce existují pokročilé se za nebo ty |
---|
0:22:25 | dokonce tady někde cesnetu tak if plzni my sme nebo fosterovy |
---|
0:22:30 | někdo má nějaké velké ti mají na to pracovní skupina víjejí vlastní anny poté sledující |
---|
0:22:35 | ten přendat útočící dělají oni to mají napsané samozřejmý tak dovoz vám jako že děravé |
---|
0:22:39 | aby tento čísla dostal a mě pak pěkně lobují kudy tam vleze a co tam |
---|
0:22:43 | dělá co se zkouší a podobně takže to se dá se určitě nějaký anebo nainstalovat |
---|
0:22:49 | a ale je pravda že i když kdyby tam vyskočila ten login tak už to |
---|
0:22:53 | může být pro někoho jako zastávka |
---|
0:22:56 | když bude trvat vyzkoušeni no hesla patnáct sekund potom útočníka docela pěkně zdržujete pravda |
---|
0:23:02 | eště bylo opravdu zajímavé to vyzkoušet jenom tím že by se přehodil to je se |
---|
0:23:06 | z áčko nahoru např a na tu čtyři trojku která je poměrně obvykla |
---|
0:23:09 | můžu to zkusit a může někde potom publikova nějaký výsledek |
---|
0:23:12 | ještě D poznámka sou to je |
---|
0:23:17 | takový pěkný multiplexe když se ty používat toto pros na portu čtyři tři a zároveň |
---|
0:23:22 | tam se mi deset áčko |
---|
0:23:24 | tak se podívejte na projekt se stala mám plánování následně klíčová nechtěl jsem |
---|
0:23:29 | který právě umí toho že |
---|
0:23:32 | máte na jiných portech spuštěné ty o dvě služby |
---|
0:23:36 | přijela šest připojujete spolu S L H na ten port čtyři tři a pozná jestli |
---|
0:23:42 | ste té se z áčko nebo ho toto prosil a proto upřesňuje ten provoz na |
---|
0:23:46 | jednu stěnu služeb takže můžete mít na tom jednu portu obuj |
---|
0:23:49 | jako ty |
---|
0:23:50 | čtyři trojka je výhodná právě proto že prochází |
---|
0:23:53 | vlastně úplně všemi fajnovou |
---|
0:23:56 | protože ten scan tu |
---|
0:23:58 | a toto prostě sem skaným ten taktické podíváte rozhodně na fit |
---|
0:24:02 | cože zamoření střepin tak |
---|
0:24:05 | dotaz |
---|
0:24:29 | že s |
---|
0:24:35 | s automatickém vám to s automatické útoky velmi často to je pravda samozřejmě |
---|
0:24:40 | protože |
---|
0:24:42 | ještě posunutím se může výrazně která sníží ten počet útoku no pojem životě portu ještě |
---|
0:24:47 | sme P tři |
---|
0:24:49 | je šest emisi pět nebo šest systém pod nula |
---|
0:24:53 | ale asi a tam potom hledal plošný tak triviální že vyzkoušet |
---|
0:24:59 | dvacet obojků čtyři trojku a dva dbáte taky takový obvyklý port případně osumdesát tak to |
---|
0:25:05 | je není problém malej milošem máte jako |
---|
0:25:08 | pro nic těch portech a něco hledat už je to horší tam byl nějaký dotaz |
---|
0:25:17 | bude horních nezajeď otelit se filtru ven |
---|
0:25:21 | bude řeč element placky |
---|
0:25:24 | abych vlastně zapomněl tak že |
---|
0:25:29 | abych vám jo tak to sem neřekl ještě se prosím kolegovi dělení |
---|
0:25:33 | eště támle prosím pošlete |
---|
0:25:36 | kolegové zadu za filtru |
---|
0:25:39 | a k tomu se nedostanu |
---|
0:25:42 | další věc taková šikovná právě která jo tady ještě poznámky jak se jak se ten |
---|
0:25:47 | port mění normálně F se zády konci je položka pod dvacetdva vy můžete buď přepsat |
---|
0:25:52 | nebo jich tam můžete rád být samozřejmě takže si můžete to je srážkou pootvírám na |
---|
0:25:56 | více portech |
---|
0:25:57 | pak samozřejmě toho démona nestartujete pomocí netstat u se podíváte na kterých portech |
---|
0:26:04 | to ten access hladem skutečně běží abyste si to ověřit |
---|
0:26:12 | a ten filtr když ne tak řekne si užil |
---|
0:26:15 | tak |
---|
0:26:16 | další věc omezení privilegovaných uživatelů takže samozřejmě přes S áčko vydáni nemělo by možné aby |
---|
0:26:22 | se |
---|
0:26:23 | přihlásil root protože tím zase rušíte jeden účet který je na každém systému ale ten |
---|
0:26:29 | kočího nemůže využít musí se přihlásit jako |
---|
0:26:32 | eliška tečka nováková ta teprve na možnost |
---|
0:26:36 | použít sudo nebo sůva dostat se stát sem ten |
---|
0:26:41 | zase jsme se za rekonfiguruje se položka vloží na ně s |
---|
0:26:47 | z asie snadnou a nemůžete mít ještě u vydal passwords to znamená že on se |
---|
0:26:51 | musí přihlásit potom máte klíč tak projdete nám ta |
---|
0:26:55 | pokud byste chtěli použít heslo tak tam při přihlášení heslem interaktivní |
---|
0:27:01 | přihlášení heslem tak tam root nemám možnost projít |
---|
0:27:08 | tak |
---|
0:27:10 | omezení další uživatelé se z áčko jak sem říkal vyházet všechny automaticky účty ideálně |
---|
0:27:16 | vědět všechno co není potřeba |
---|
0:27:19 | pěkná varianta taky o které sem simply moc neviděl že můžete nadefinovat konkrétní uživatele nebo |
---|
0:27:25 | skupiny kteří můžu používat se z áčko |
---|
0:27:28 | k tomu soufrk config u |
---|
0:27:30 | soubory jsou by L russelovým uzel s případně deny obojího takže si můžete říct že |
---|
0:27:39 | ke začnu se můžou přihlásit jenom uživatele který jsou ve skupině seznámit se z áčka |
---|
0:27:44 | řine nějak jakkoli případně štědří mode některé uživatele kteří ste skupině třeba do či sou |
---|
0:27:49 | a tímto můžete zakázat můžete si tam s tím vyzerá dokonce můžete uvezli adresu za |
---|
0:27:53 | zavináč takže můžete říct že uživatel |
---|
0:27:57 | franta není sice ve skupině značka řek ale když sedí doma tak na prádlo se |
---|
0:28:01 | přihlásit takže je možné takle hezky omezovat i přimluv config u toho |
---|
0:28:05 | se značka je možné použít válka |
---|
0:28:08 | jedničku otazník a další takže můžete |
---|
0:28:11 | still používat skupiny |
---|
0:28:14 | studenti a máte studenti na studenti dva studenti tři tak prostě dáte studenti hvězdička dotazník |
---|
0:28:19 | a |
---|
0:28:20 | tím povolíte těm skupinám aby prošli |
---|
0:28:24 | seznam |
---|
0:28:26 | další šikovná věc kterou používám pro uživatele kteří |
---|
0:28:31 | tam lezou přes S áčko jenom proto aby nechali někde svoje soubory čili místo jestli |
---|
0:28:35 | F týpka klasického tres uživatele zvyklí |
---|
0:28:39 | tak se značkou od verze |
---|
0:28:41 | jaké už hodně docela staneš tedy osum myslím ní možnost má možnost chomutova toho uživatele |
---|
0:28:48 | automatického zavřít kam řekl tam |
---|
0:28:51 | neučíte |
---|
0:28:52 | je to úplně jednoduchá věc |
---|
0:28:55 | řeknete kde jeho |
---|
0:28:57 | adresář kam se má ten uživatel zavřít |
---|
0:29:01 | prof procento Ú proměnné je uživatelské jméno takže ztráta krásně automatizovat případně procento hájenou |
---|
0:29:08 | na fotce ve tam příkaz internals a toto pole to samé se nevolá žádné S |
---|
0:29:12 | T P daný se T P |
---|
0:29:15 | backend ale pustí se rovnou ten z nic |
---|
0:29:18 | povypíná termů nějaké forvard dingy a |
---|
0:29:21 | tím omezit uživatele takže jediné co může skutečně využité se sáčku místo F kytka dostane |
---|
0:29:26 | se do |
---|
0:29:28 | prostředí nemůžeme nemůže si prohlížet systém prostě je u sebe tam bude mít nějaké public |
---|
0:29:33 | potom adresáře bůhvíco soubory obrázky a meta může prostě sypat a tím končí a možnosti |
---|
0:29:42 | je tady taková poznámka se potom celá článek myslím že tady dole je odkaz na |
---|
0:29:47 | ni |
---|
0:29:48 | zkrácený přes ten v sobě o co |
---|
0:29:51 | chtěli |
---|
0:29:52 | a pro každou chvíli vychodí mely kde se nějak lidi tady já sem to zkoušel |
---|
0:29:56 | mně to nefunguje házíme tatule chybu jako je to |
---|
0:29:59 | řád dokola a je to v tom žáku napsáno |
---|
0:30:02 | uživatel nesmí mít právo zápisu do toho adresáře uvedeného ste vodběh údaje vektory |
---|
0:30:08 | on musí mít zakázán zápis do toho adresáře aby to fungovalo protože |
---|
0:30:14 | řekli sme šťastní důvodů a byl se tam nevytvořil to co a nezačal atice passes |
---|
0:30:18 | ovedl nezkoušel slovo chlupů T |
---|
0:30:21 | tak prostě vtom adresáři do kterého spadne čili lomeno třeba lomeno se toto plemeno petr |
---|
0:30:27 | tak tam nesmí mít právo zápisu váš tam mám mít adresář obrázky adresář public to |
---|
0:30:32 | byl adresář soubory a do těch pak může zapisovat že takle uděláte to funguje |
---|
0:30:37 | ale pokud chcete aby zapisovat toho svého kořene tak vám to fungovat nebude a to |
---|
0:30:42 | ten co to pro server vám odmítne toho uživatele přihlásit a bude to vám to |
---|
0:30:47 | zvládnou že prostě je ten adresa zapisovatelný první až po nepustí |
---|
0:30:51 | takže po |
---|
0:30:52 | za volatilita kdybyste roštěna se dívat se na to dejte pozor dotazů a |
---|
0:31:01 | my si nemůžeme použít home jeho vlastní můžeme samozřejmě let omezení tam platíš elvisi nesměl |
---|
0:31:07 | do toho kořene to zapisoval |
---|
0:31:11 | soubory přesto se toto pro |
---|
0:31:14 | musel by mít prostě nespraví právo zápisu do Ú |
---|
0:31:16 | že je lepší vodivými sleč nějaký pod adresář do kterého poleze |
---|
0:31:21 | jak i mean právě nebo to úplně oddělit dodávat vojna prostě nějakého se potopa nebo |
---|
0:31:26 | vám to něco prostě aby nebo |
---|
0:31:29 | dost je potřeba to dodrženo tou |
---|
0:31:32 | takže to je pak problém pokud on má používá taky normálně terminál tak samozřejmě se |
---|
0:31:37 | nebo potom měnit volby přát tomu |
---|
0:31:41 | konfigurační soubory chtěl tečka něco takže to je samozřejmě o problém |
---|
0:31:46 | to je nevýhoda téhle tohle řešení ale jinak je jako velmi elegantně |
---|
0:31:53 | si mlýnky zní |
---|
0:31:58 | to je dobrá otázka neměl bity pro shodu to také z |
---|
0:32:05 | to chuděra jo to sem |
---|
0:32:07 | to sem pravda asi nezkoušel |
---|
0:32:10 | a tísňo placku že |
---|
0:32:13 | nebo separaci nezkoušel předpokládám že to možné není to bylo strašně triviální kdyby |
---|
0:32:18 | sundej tento |
---|
0:32:20 | a tamhle kolega se pak příde poplatku |
---|
0:32:24 | tady je |
---|
0:32:25 | tak takže jako je se na to mlýny jak je to jednoduché na implementaci prostě |
---|
0:32:30 | tohle zapleteš konfigurátor a je to je možné to zase omezit i na skupinu na |
---|
0:32:34 | uživatele takže můžete prostě říct že uživatele soubor áraři mají přese se z áčko takle |
---|
0:32:40 | omezený přístup uživatele z jiných skupin můžou sledování připojit na terminál |
---|
0:32:45 | dělat něco většího dotaz |
---|
0:32:51 | že nemá vytvořit se mi to já jsem si že přes co to vytvořit cimry |
---|
0:32:54 | normálním |
---|
0:32:58 | takže že pomož |
---|
0:33:00 | jo nebo tam |
---|
0:33:04 | dvou vytvoří nový třeba z venku teprve prostě jako dále dva to pravděpodobně využito zkusit |
---|
0:33:11 | a nebo já to vyzkouším a |
---|
0:33:18 | no bude to ano protože ten cíl nevidí |
---|
0:33:21 | tak že vlastně nejsi malý bude ukazovat dostupného prostoru bude telefon že se mi |
---|
0:33:28 | jako |
---|
0:33:29 | tak přihlašování klíčem že koná věc kdo z vás může a přihlašování klíčem ke seznáš |
---|
0:33:35 | a podobně tak se skoro všichni který varletem tak toto proletim takle |
---|
0:33:41 | tak jo a kdo z vás používá přihlašování klíče na svoje |
---|
0:33:46 | se z áčka a zároveň má zakázáno úplně přihlašování heslem |
---|
0:33:51 | taky dost toušeň víte tak třetina s těch co se přihlásili přijetí ale je to |
---|
0:33:55 | dost takhle takym |
---|
0:33:58 | takže případně falšování klíčem terase nepředává vůbec žádné slovo |
---|
0:34:04 | používá se asymetrická kryptografie podepisuje se nějaká výzva |
---|
0:34:09 | tím se ověří že ste držitelem privátního klíče veřejnému klíči který je na tom serveru |
---|
0:34:13 | tento ověří pustí vás |
---|
0:34:16 | ještě si generují pomocí se zátky gen pokládají setra do domovského adresáře na serveru uživatele |
---|
0:34:21 | který má právo se tím klíčem přihlásit do autorizací s |
---|
0:34:25 | a zapíná se |
---|
0:34:27 | jaký |
---|
0:34:28 | autem ty ke všemu pobav se zákon figo a za sme to samo založí fungovat |
---|
0:34:35 | jsou klienti dneska většina klient umí přilepšování klíčem |
---|
0:34:39 | sám nadrovinu že několik konce niti klikací právě třeba files jela umí normálně přihlašování klíčem |
---|
0:34:47 | než dobře v nějakém uživateli dát přístup k těm souborů tak prostě nahrajete na počítač |
---|
0:34:53 | tech ty a klíčem vygenerujete odvez zadání hesla třeba nebo zadáváním piny k tomu klíči |
---|
0:34:58 | a |
---|
0:34:59 | přihlásí se na sem |
---|
0:35:01 | opět odkaz na článek kde se o tom dozvíte dycky byste chtěli vytři kteří ste |
---|
0:35:05 | nezvedli u že to používá |
---|
0:35:09 | jak se vypíná přihlašování heslem |
---|
0:35:12 | to je taky jednoduché ústavy proud pásmo autem ty K šum a že lyže responds |
---|
0:35:17 | to je jiný způsob |
---|
0:35:19 | kdy ste aby interaktivně dotazováním různé věci |
---|
0:35:23 | co se používá třeba při nárazu jesle jsou jsem se zeptá a jako na nějaké |
---|
0:35:27 | vypadněte formulář tomu byste se přihlásili v zásadě |
---|
0:35:31 | když to takle vypnete startujete ten server tak tady je příkaz který můžete ověřit že |
---|
0:35:36 | i když tam máte ten klíč |
---|
0:35:38 | tak by když dáte access řádek se prostě přihlásit a tím je zjistit jestli je |
---|
0:35:41 | možné se přihlásit přes klávesnici tak zadáte přidáte parametr mínus odpadky autem ty K šednou |
---|
0:35:48 | a tím zakážete použití klíčů tomu svém klientovi dočasně a pokud to máte nastavené správně |
---|
0:35:53 | tak vlastně sem seřve že je není možné se přihlásit heslem a tohle |
---|
0:35:59 | je zase je tady kolega říkal o tom že většina těch útoku je robot izolovaných |
---|
0:36:04 | tak je krásnej že |
---|
0:36:06 | já takle na těch sem lehman a stejně ještě hloubku těch blocích jede že po |
---|
0:36:11 | způsobem ten server na nebo ten útočník na nám to ne nejde se přihlásit S |
---|
0:36:16 | je to zkusí naladěnost nejde se přihlásit jestli to zkusí na gesta neplacený nepřihlásili slevou |
---|
0:36:22 | takle zkusi osum set krát a protože té robot špatně napsaný tak prostě nezjistí že |
---|
0:36:26 | to že to nemá smysl zkoušet ale prostě pořád dokola to zkouší u pane zakážete |
---|
0:36:32 | tak a teď tady ten slajd s tím filtrem |
---|
0:36:34 | pokud chcete aby zabrání tom aby se to vůbec zkoušelo což vám třeba vytěžuje server |
---|
0:36:39 | nebo prostě se vám to nemůžou bez nikdo zkouš jako je věci |
---|
0:36:44 | tak můžete vyzkoušet nainstalovat |
---|
0:36:46 | filtru band řeše moc pěkná věc je to démon který |
---|
0:36:51 | někde sedí a hlídá logy a když tam přijíždějí právě ta hlášení od různých serverů |
---|
0:36:57 | ono to není vůbec |
---|
0:37:00 | spojené se zmáčk ona prostě skripty která parsuje touhy |
---|
0:37:04 | a umí to pro strašně moc služeb a pro ty služby které to neumí stačí |
---|
0:37:08 | přepsat dva řádky dopravy dalo mi to i pro ně |
---|
0:37:11 | tak sleduje auto a když překročí se nastavenými třeba tři pokusy |
---|
0:37:16 | tak dáván na nastavené na stromu třeba dvacet čtyři hodin a potom to se zruší |
---|
0:37:23 | což je fajn protože usušen protože vám potom nezatěžuje ten nezatěžujte pokusy na jsem protože |
---|
0:37:28 | u sebe s nedostanu tomto kostariky adresy |
---|
0:37:32 | pak není obecné port otevření |
---|
0:37:36 | co je zajímavé |
---|
0:37:37 | je že to útočníci tohle zjistili |
---|
0:37:41 | a |
---|
0:37:42 | jana tyto plní |
---|
0:37:45 | S H pokusu o přihlášené se značku takže já to mám tři pokusem pro vás |
---|
0:37:49 | to na dva tři čtyři něco za řízné a nám tam každej pět jestli dva |
---|
0:37:53 | pokusy nic |
---|
0:37:54 | musím otázku C oracle neví pak s jeden P adresy zkusí nagios musí gesta neví |
---|
0:38:00 | je dále nechá se zavanul pro |
---|
0:38:02 | a třeba za |
---|
0:38:03 | půl hodiny |
---|
0:38:05 | to vyprší ty pokusy mu auts přístěnek i adresované jeviště takže to takové že oni |
---|
0:38:10 | se přizpůsobili |
---|
0:38:11 | a dokonce když |
---|
0:38:13 | sem nastavil na je chybný pokus tam opravdu prostě nebo na dva tak on se |
---|
0:38:16 | zase snížila na jeden a dál je takže oni se tomu tomuhle se umí přizpůsobit |
---|
0:38:20 | velmi dobře |
---|
0:38:21 | ale nevšimli se že se nedá přihlásit heslem takže ten jako |
---|
0:38:25 | velmi pochybném ale pak se to děje tři šest jako zajímavé takže už asi na |
---|
0:38:29 | seriózní na to a je to tak známá věc že |
---|
0:38:34 | že chtěl útočníci se tomu jaksi přizpůsobí |
---|
0:38:37 | kde je taková poznámka že pokud máte víc klíčů |
---|
0:38:42 | to je to vy |
---|
0:38:43 | a nemáte nastaveného v konfiguraci že se má K |
---|
0:38:46 | je konkrétnímu server u použít konkrétní klíč |
---|
0:38:49 | tak to funguje tak že se zkusí několik těch klíčů |
---|
0:38:53 | nebo dyž |
---|
0:38:54 | ano |
---|
0:38:55 | musí se |
---|
0:38:57 | postupně ty klíče všechny a jeden Y N mezi ta odpověď správná přihlásí vás to |
---|
0:39:01 | ale pokud a máte keltové na těch klíčů tam máte osum |
---|
0:39:04 | a filtru ve máte na tři pokusy tak se vám prostě stane že se top |
---|
0:39:09 | zkusit classic říká pavla stonava třešti hodně požadované aby se strkáte celej nedošlo nefunguje todlento |
---|
0:39:13 | spustíte znovu a rozčilujete se pořád nafocené můžete přihlásit to skutečně tím měl po se |
---|
0:39:19 | mi kdysi nechystal |
---|
0:39:20 | řešení jednoduché do konfigurátor můžete dát prostě použít tenhle klíč proti tomu v lese |
---|
0:39:28 | a dokonce s tam je možné udělat si zkratku vhodné server takže |
---|
0:39:31 | takže dáte se zádům úvodem prvé a V který klíčová spárovaný s k server kdo |
---|
0:39:36 | jedu pro něj |
---|
0:39:38 | přihlásí se |
---|
0:39:40 | konfigurace toho filtru BNF F to C |
---|
0:39:43 | nastavuje se |
---|
0:39:46 | jedna |
---|
0:39:47 | to branišovu se nastavuje co se má hlídáte jak a to budem se nastavují ty |
---|
0:39:51 | limity najdu je ten pán a nebo se |
---|
0:39:54 | jak dlouho se |
---|
0:39:56 | nebo kolikrát jaké době se musí ten útočník súsy přihlásit a bylo to |
---|
0:40:01 | zavanul |
---|
0:40:02 | zajímavé že tak jak sem říkal filtru byl vůbec není limitovaný nese sáčku takže se |
---|
0:40:06 | dá nasadit třeba i na ve by |
---|
0:40:08 | třeba word press |
---|
0:40:10 | na pro něj flagy |
---|
0:40:14 | který ty chybové hlášky ukládat do sumu |
---|
0:40:17 | takže se tam objevují potom vtom |
---|
0:40:20 | auto |
---|
0:40:21 | a pokud si připíše to pravidlo do které má si dva řádky do |
---|
0:40:26 | ta konfigurace filtru bebe mantovy hlídá přihlášení třeba dovolit presso že při třikrát tak mu |
---|
0:40:31 | to zavře |
---|
0:40:32 | přístup takže |
---|
0:40:35 | nepatří čtyři třeba |
---|
0:40:36 | takže je to |
---|
0:40:38 | je to jako hodně univerzální služba |
---|
0:40:41 | a ono přesně potom napsaných jako několik takže pro spoustu věcí docela |
---|
0:40:49 | tak a poslední slajd tadyma čtete logy |
---|
0:40:55 | je to takové mimochodem četli ste tu o té historce |
---|
0:41:00 | ten chlapík pracoval nebo nepracovala mého syna svoji práci programátora nějakou firmu s čili |
---|
0:41:07 | že dle ste to a tam vlastně to začalo tím že |
---|
0:41:10 | si ti administrátoři přečetli nějaký bezpečnostní dokument doporučeně zdržel bez nečtou by |
---|
0:41:16 | na svých server firemních a dyž to udělali tak zjistili že sem tam hraje připojit |
---|
0:41:20 | dotčeny takže |
---|
0:41:21 | tečně takovém je dobré se není jo |
---|
0:41:24 | hlavně nemusíte úplně či samozřejmě že tam je zajisté ti adrese síla stálost afrikou tečka |
---|
0:41:30 | po nebyl to samozřejmě jde při větším provozu ale je dobré na to být nějaký |
---|
0:41:34 | sledovací nástroj třeba který vám pomůže odhalit nějaké anomálie pokud prostě |
---|
0:41:41 | váš |
---|
0:41:42 | jak server běžně pošle se rovná zde údajně aby si všimnete že včera toho patnáct |
---|
0:41:47 | tisíc tak je něco špatně moc něco zbylo anebo někdo dost ani dost se dostal |
---|
0:41:52 | k vašim L jsem rovnice z něj třeba rozesílat spam |
---|
0:41:55 | takže |
---|
0:41:57 | cestně tyhlety věci |
---|
0:41:59 | je potřeba sledovat nebo jestli nikdo netuší dosud o to taky může být znamení že |
---|
0:42:04 | se nikdo dostal na uživatelský účet a zkouší prostě souborů ta a zkouší prostě zadávané |
---|
0:42:09 | slajdu ta hádat |
---|
0:42:11 | takže všechny tyhle věci |
---|
0:42:13 | je dobré sledovat zase já jako do to koukám tak pak vidím třeba jak se |
---|
0:42:17 | zase snaží roboti hledat na vepředu různé pro pomáhají ajpina minute a takovéhle věci a |
---|
0:42:25 | ten sem se mu je posílá do háje zase s tím dá třeba pracovat že |
---|
0:42:30 | třeba na tři takové nepokusil můžete pomocí frontu B |
---|
0:42:34 | zablokovat nebo u |
---|
0:42:36 | plně prostě znemožnit kdybys nějaký uživatel tam nahrál nějaký takovýhle podmínek pozor tak |
---|
0:42:42 | tak |
---|
0:42:44 | tomu vepředu vůbec zakázat přístup k tomu a podobně poctivé názvem aby cenné nedal ručně |
---|
0:42:49 | automaticky dohledat apod |
---|
0:42:51 | zase šikovní nástrojem je uhoď |
---|
0:42:54 | ten umí F dělat automatické souhrny s těch ímejlů má nějaké skripty |
---|
0:42:59 | které projdou |
---|
0:43:01 | zase moře se můžete doplňovat ale neprojdou když spustíte většinou nějakým kodonem tak pojedou gitaje |
---|
0:43:07 | tam máte a udělají zní discuss řeknou vám |
---|
0:43:10 | z jakých jaký adrese přepo vepsanou jaké soubory házeli chybu právě tak tam vidíte ty |
---|
0:43:15 | štyřista štyřky těm admin entá velmi na min těmhletěm věcem |
---|
0:43:22 | a |
---|
0:43:25 | dobře rekonfigurovatelný umí spoustu služeb hlídat |
---|
0:43:28 | účtu informací napíše lan polymerů dneska prošlou kolik to bylo megabajtů ímejlů kolik zavřel spojení |
---|
0:43:35 | předtím ještě M neprošli protože řekl že ta resp R a podobně |
---|
0:43:40 | ale dole při této číst takže pak je problém že dívám pravidel jak nechodí souhrnně |
---|
0:43:45 | tak většinou naše ten což nakoukli káva speciální listed jde na dovolené dakoty no máte |
---|
0:43:50 | sedum tak odpykáte tak to taky není dobře takže já sem skutečně se rozhodl už |
---|
0:43:55 | to budu číst a |
---|
0:43:56 | fakt si najdu denně těch |
---|
0:43:58 | dvacet sekund na to abych to protože ono to je celkem pěkně udělaný souhrn |
---|
0:44:03 | takže nemusíte projíždět kilometru Ú ale mám to řekne co |
---|
0:44:08 | sou se tam dělo u spousty tisk vypuzena nastavit ukecal moc takže pokud se vám |
---|
0:44:14 | dnes nechcete číst |
---|
0:44:16 | seznam Y T adres kterých se nikdo přeložila vepsanou tak si necháte radimu třeba číslo |
---|
0:44:20 | nebo kolik bylo Y T ve čtyři adres kolikati ve šest adresář a podobně a |
---|
0:44:24 | máte prostě přehled |
---|
0:44:27 | tak s tím že to já teda že ste vybírám každý den ale můžete si |
---|
0:44:30 | nastavit třeba nutně může chcete jak jsou |
---|
0:44:34 | záleží ta |
---|
0:44:36 | co byl nakonec prezentace |
---|
0:44:38 | jsem s tím jsem dneska když čtrnáct minut tak takže docela dost času |
---|
0:44:42 | takže si můžete vysloužit placku chytrou otázku |
---|
0:44:53 | jestli umělo voči pracovat napříč více servery potom ale se zlomku měl okovat s na |
---|
0:45:00 | jeden společný sem takže tím se to dá řešit ty se vymlouvat |
---|
0:45:04 | na jednu mašínová to bude posílat je souhrnný takle samozřejmě úplně |
---|
0:45:09 | to je cesta |
---|
0:45:12 | další otázka |
---|
0:45:32 | že se dá použít aplikovat s R ten bit a ne ten bit gryc který |
---|
0:45:36 | umí instalovat |
---|
0:45:38 | i zásadní bezpečnostní a aktualizace sám |
---|
0:45:42 | to je to já se to taky dobré nechat si ty bezpečnostní věc instalovat |
---|
0:45:46 | automaticky |
---|
0:45:48 | A a to mám rapu kontrolou je pravda že tam se mi nese nepomatuju že |
---|
0:45:52 | by se něco stalo jako bezpečnostní záplatou ale dá se to samozřejmě vyřeš tím že |
---|
0:45:56 | se to fakt instaluje sám že to nemusíte o tom dostávat nebo respektive roven celou |
---|
0:46:02 | moč umění mám poslat mail o tom nebo v tom souboru je X S K |
---|
0:46:06 | balíčky sám manipuloval takže můžete to mít takže se |
---|
0:46:10 | záplaty romanistovi sami a utvoř úplný démon vám stranu vše s |
---|
0:46:16 | pošle mail se souhrnem a nahoře B napsáno aktualizovaly se tyto tři balíčky |
---|
0:46:20 | co se dělo tam třeba dalo voči píše někteří uživatele se přihlásili |
---|
0:46:25 | kdo se stal ten nepoužilo sudo tak takže tam vykrást |
---|
0:46:29 | takže je takle to můžu dám jako proč ne bezpečnostní zaplo vysedej |
---|
0:46:37 | další otázka |
---|
0:46:58 | že lepenka byla válka luftu vás pro přístup to museli republice sem |
---|
0:47:05 | jo |
---|
0:47:12 | to je další varianta můžete použít letenku |
---|
0:47:15 | a otevřít do světa fakt jenom třeba ve tam a dvacet pětku pro přístup pošty |
---|
0:47:21 | a všechny ostatní služby můžete mi zavřeném penci které se zase musí ty uživatele přihlásit |
---|
0:47:27 | pomocí nějakých certifikátů to že samozřejmě tím eliminujete útoky na všechny ty služby tam jenom |
---|
0:47:32 | otevřu tu |
---|
0:47:34 | to jako další varianta s |
---|
0:47:36 | a to buď můžete mít lepenku na jednom serveru opravdu |
---|
0:47:39 | a nebo ji můžete mít prostě nějaké vnitřní síti |
---|
0:47:42 | do které vás ta lepenka propustí a |
---|
0:47:48 | potom když vidíte ty služby na těch třeba lokální adresa pochopit právě probíhá |
---|
0:47:54 | workshop koupíme tento informace o celkem asi k ničemu protože ste tady ale |
---|
0:47:59 | ale je operace ledka k tomu má moc pěkné materiály a určitě mě můžete dostat |
---|
0:48:03 | jestli chcete bude mít má určitě na webu k tomu slajdy a ty papíry které |
---|
0:48:08 | událost konfigurací letenky a |
---|
0:48:10 | s tímto zvládnete vyhradili byste chtěli |
---|
0:48:23 | kdy na jeho se je |
---|
0:48:26 | až ke alternativa chtěl dobe nemusím že starší dokonce ale deny host nepanuje na úrovni |
---|
0:48:33 | ani týž den jako kdyby zakazuje stack služba chybu vtom lese zarážku zakazuje |
---|
0:48:40 | konfiguraci zakazuje s tím chtěl flipped kde se nedá přihlásit jako je to |
---|
0:48:47 | uživatelského hlediska je to |
---|
0:48:49 | účes stejné ale filtru B na vůbec nepustí touto šikana ten port takže ti ani |
---|
0:48:55 | nezatěžuje pak ten server a nemusí se jakou nemá vůbec přístup k tomu portů něco |
---|
0:49:00 | citelně takže já proto profil úspěšné floutové prostě neotravuje i na tom vebu když oni |
---|
0:49:06 | umí sme cejtí webový roboti jsou strašně agresi takže ani si najdou vedlo menoval pro |
---|
0:49:11 | admin u nějakého toho word prsu a pak to tam prostě šijou podtlakem takže jako |
---|
0:49:16 | ta mašina je zatížena sto procent a jenom řeší jako jestli se stáčela jsou nebo |
---|
0:49:21 | ne takže sto hledisk pak lepší to za zaříznout |
---|
0:49:25 | na úrovni toho portů aby ten k ten dělencem bez ne připojil a podle nevyřešen |
---|
0:49:31 | oni prostě neotravuj potápko doma jestli databáze |
---|
0:49:36 | takže radši mansfeld ven |
---|
0:49:41 | nelze zeměkoule super lack sem dycky chtěl tak tam nahoře komprese pásem |
---|
0:49:56 | nerozumím tomu začátku že má možnost nastavit |
---|
0:50:11 | tak to je toto je při jednom neúspěšné |
---|
0:50:14 | stačí jedničku nastavit aby při prvním neúspěšném pokusu se to zablokovalo |
---|
0:50:18 | to je takové dost jako už drsné řešení nejprve že s těma klíčema by to |
---|
0:50:23 | nemuselo být až takový problém protože tam se často nesla nepřepadne ale N nedává to |
---|
0:50:28 | prostor jako moc na chyby ale na druhou stranu ještě řeknu jinou věc filtru velmi |
---|
0:50:32 | Y T |
---|
0:50:33 | takže můžete říct kterej ty adresy někde nezapaluj |
---|
0:50:36 | takže můžete říct že z domova budete zkoušet různé věci a neza řízne last |
---|
0:50:40 | co udělají bodě |
---|
0:50:42 | no můžou moc nechtělo takže prostě opravdu budou střílet se je pokus každej ty adresy |
---|
0:50:47 | a to uvidíte prostě stalo světa je zkouší tak jako je |
---|
0:50:56 | a neumím říct ona mít říct něco napsaný do těch se stěsnaný když se to |
---|
0:50:59 | vrátíte tomu |
---|
0:51:01 | já myslím že dostupnosti zkoušet pořád mají tu kapacitu co k neomezenou tě windows u |
---|
0:51:05 | je na světě docela dost takže |
---|
0:51:08 | takže tam jako Y T adrese takže docházej ty adresy ten bod bude tam určitě |
---|
0:51:12 | docházejí spíš naopak |
---|
0:51:15 | tak tady dole byl nějaký dotaz ještě |
---|
0:51:21 | co je s používá |
---|
0:51:25 | ne to bych se takže netouží |
---|
0:51:40 | ano tak |
---|
0:51:42 | tak co jak celé dozadu dáme jsou |
---|
0:51:54 | jaký má filtru ven vliv na výkon já jsem jako nepozoroval nějaký zásadní jako že |
---|
0:51:59 | by to byl problém dneska |
---|
0:52:03 | dělat průběžně a tam se to snaží jako by natrénovat co nejrychleji |
---|
0:52:06 | stane se že když se to tam nasype rychle tak si za podaří těch pokusů |
---|
0:52:10 | jako o jedna více jako nebo tak případně pak je problém někdy že |
---|
0:52:14 | aby se ta se slavného mládi tak on |
---|
0:52:17 | zapisuje ty zprávy hromadí že napíše došlo pěti pokusům o přihlášení a tak takže ta |
---|
0:52:24 | naše do jedné zprávy a může se stát že když si jako rychlý ten proud |
---|
0:52:30 | tak o to zkusím celá jako víckrát a ten mi mírně překročí a nepovede sem |
---|
0:52:34 | to čtyrycet krát pokuste daly ty tři a nebude se pořád pětkrát ale už ne |
---|
0:52:39 | toho potom zaříznete cizí drátem filtru B se snaží jako reagovat zamořené o to nemůže |
---|
0:52:45 | jednou denně dělat |
---|
0:52:47 | že to nefungovalo touto o na to kouká pořád a každý při přibývající řádek si |
---|
0:52:51 | prostě parsuje dělá se na ní stavět |
---|
0:52:54 | při |
---|
0:52:56 | jo dělat pořád a ne nemám protože by to něco brzdilo takže jako vektory velký |
---|
0:53:01 | ten vokna ve finále nehraje roli |
---|
0:53:11 | jo vydržíme takže systém tam žádný nemá |
---|
0:53:15 | ale |
---|
0:53:16 | další varianta prostě pokročilejší nástroj pro sledování to co se tam děje do vás užší |
---|
0:53:22 | jsou různé aplikační firewall i které sledují provoz |
---|
0:53:26 | a snaží se zabránit v nějakém |
---|
0:53:29 | nějakým |
---|
0:53:30 | akcím které by na tom sedum být neměli typicky vypsání nějakých tabulek z databáze na |
---|
0:53:36 | které se normálně ten ta webová aplikace nikdy neptá podrobně ti možnosti tam hodně tou |
---|
0:53:43 | o tom |
---|
0:53:43 | je pro když není to že detekční systém není aplikační věc ale nic konkrétního zase |
---|
0:53:49 | za |
---|
0:53:52 | tak jo jsem to všecko |
---|
0:53:55 | ano |
---|
0:54:08 | šifrování dat na server je a |
---|
0:54:15 | na sem našich jula mám pocit že to je jako celkem |
---|
0:54:19 | i tečná věc protože proti fyzickému útočníkovi to |
---|
0:54:23 | může fungovat a nemusí termice známku a tak takt jako |
---|
0:54:29 | takové dost problematické |
---|
0:54:31 | a |
---|
0:54:32 | teď je decentnější ty klíče a má je paměti a má to šifrované |
---|
0:54:37 | takže |
---|
0:54:41 | takže ta data tam jsou vidět tak že to je taková jako |
---|
0:54:46 | chybné proti útočníkovi vzdáleném který se přihlásit o neuplyne obranné neuchrání protože ta data tam |
---|
0:54:52 | jsou vidět jako může to neopatrné Ú fyzickém útočníkovi zabráníš takže dyž to výšku nezazdil |
---|
0:54:58 | mezi snesete tak si nepřečte data |
---|
0:55:01 | policajti třeba no i když s tím taky docela zajímavá zkušenost mám ještě čtyři minuty |
---|
0:55:06 | se lze má historka která teda není moje ale je docela pěkná |
---|
0:55:10 | že přiběhli policajti do jedné se někdy běželi nějaké service nějakým softwarem a filmy a |
---|
0:55:16 | podobně |
---|
0:55:17 | a |
---|
0:55:19 | protože to byly poučení nešikovně policisté tak odpojili |
---|
0:55:24 | po muset připojení k síti nebo těm sem to vy tam |
---|
0:55:27 | jenomže |
---|
0:55:28 | vlastní toho server ubil měl monitorovací souhře nějaký systém venku a sledovali si popisem nežijou |
---|
0:55:35 | a já to nás a mořina esemesku a byl velmi rychlý protože moje sem umřel |
---|
0:55:40 | co se děje způso se přihlásit po síti to nevyšlo |
---|
0:55:44 | tak se připojil na kafe jako a připoj při a přímo před těma policajtama na |
---|
0:55:49 | monitoru viděli sevřela se na korun ta tu firmu pojede K V |
---|
0:55:54 | takže měli před sebou otevřelo konzoly které do přihlášený dvouřadé čemuž toho neměl přístup ale |
---|
0:55:59 | zůstal přihlášený a sice disky byly zašifrované to je ta pointa |
---|
0:56:03 | protože kdyby policajti nebyly poučení odpoj neodnesli tak bitovou cajku ale disky byly šifrované vliv |
---|
0:56:10 | tu dobu samozřejmě připojené a vím navíc ještě otevřel to konzoly nám tady že se |
---|
0:56:14 | mu to měli možnosti takže sítě |
---|
0:56:16 | takže ani to není uvolňovaná policajtů oni push nejsou takový ty stě vtip jako někteří |
---|
0:56:22 | ano |
---|
0:56:23 | ale ti ty počítačový ušatou velmi často N |
---|
0:56:37 | jo |
---|
0:56:40 | je tak |
---|
0:56:42 | rozšifrovat případně tam velké tlačítko rozšifrovat |
---|
0:56:46 | oranžové vpravo zhruba překonat ochranu třeba to je to bylo zde mališe medově moc tento |
---|
0:56:51 | bankomaty some řeší data bylo překonat ochranu asi jo no ano do takže |
---|
0:56:57 | takže |
---|
0:57:02 | co ze jedna dva tři čtyři takové slovy sehnání a sukův |
---|
0:57:06 | dobře tak |
---|
0:57:08 | ano ještě |
---|
0:57:12 | využili no ten čaj sto měl jako nějaké velké problémy |
---|
0:57:17 | lze naměkko za pozornost a můžete si budeme musel to díky |
---|