Přepis řeči - Zabezpečení linuxového serveru

0:00:16	dobré dopoledne
0:00:18	neméně petr krčmář sem šéfredaktorem sedum rovnice Z
0:00:23	a
0:00:26	tady přednášku o
0:00:28	zabezpečení linuxového serveru
0:00:31	vy byste si chtěli stáhnout a kuš tetě
0:00:34	s pozici na webu takže kdybyste s tou chtěli nějaký příklad odkaz nebo něco tak
0:00:37	to buď můžete opsat
0:00:39	samozřejmě s plátna a nebo máte možnost si to na téhle
0:00:44	adrese
0:00:45	no
0:00:46	jako jiné slajdy
0:00:50	a
0:00:51	takže bude ta přednáška já sem
0:00:56	tak já jsem vaznici zeptám cat kdo z vás má vlastní nějaký serverové pejsků někde
0:01:01	něco co obsluhuje se na sem mít tam přihlásit jako root a něco dělat no
0:01:07	tak polovina řekněme to je velmi solidní
0:01:12	že před pár lety to vlastě docela problém pozici vlastní server
0:01:17	to je byla tak nákladná věc že to obvykle znamenalo jedna ku by to železo
0:01:22	někde hostovat několik tisíc korun měsíčně to si prostě jen tak někdo pro svoje hrátky
0:01:28	s těmi pořídil dneska je situace úplně jiná dneska má možnost cibéb S P pustit
0:01:33	prakticky kdokoli je to otázka dejme tomu stokoruny měsíčně za nějaký základní model
0:01:40	pět seti dvanácti megabajty paměti a
0:01:43	nějakým několika deseti gigabytový diskem velmi solidním připojíme internetu
0:01:50	případně třeba jsem členem sdružení ve pestrý tak za tři stovky máte mašinu se čtyřma
0:01:56	do bity paměti a osm jádrem procesorem
0:01:59	takže my T P S ku dneska vůbec není problém
0:02:03	a co šestce na jednu nedostanu dobře a na druhou stranu se k sedum dostávají
0:02:08	lidé kteří o tom ví velmi málo a často V velmi málo svou zabezpečení
0:02:15	serveru zrovna uveďme jestli se stává že si ve pejsků tvoří nějaké dítě ti si
0:02:22	tam vedení hosting a
0:02:24	týdnem to nějakou šílenou aplikaci někdo prostředí a začnou tamtuď prostě dát nepořádek po internetu
0:02:30	takže skutečně tohle začíná být problém právě proto že
0:02:35	tibet hezky součin dál čím dál dostupnější takže já jsem se
0:02:38	rozhodl udělat takovouhle přednášku
0:02:41	tak i základní přehled toho na co je potřeba myslet
0:02:45	a
0:02:46	chtěl jsem přemýšlel jak to pojmout že to je strašně ve stejné téma že se
0:02:51	dá bavit o jednotlivých server
0:02:53	dá se bavit o těch démonech dá se bavil konfiguraci databáze a všeho možného takže
0:02:59	bychom mohla vzniknout samostatná vedení konference která vyprosila jednotlivé součásti linuxového sem
0:03:05	ale mám na to hodinu takže jsem se rozhodl to udělat tak že
0:03:11	budeme mluvit jenom o tom o té systémové bezpečnosti o tom operačním systému
0:03:15	a nějakých základních aplikacích kolem něj ale ty tu aplikační vrstvu si
0:03:22	necháme třeba na jindy nebo necháme někom jiné takže nebudeme tady probírat
0:03:26	jak funguje
0:03:29	a ta child žen X a jiné služby ale zaměříme se vyloženě na ten systém
0:03:34	na ten linux jako takový ještě
0:03:38	mám tady před nějaké placky s logem by byla velkou jednu možná i a malé
0:03:42	takže když budete měnit na nějaký chytrý dotaz
0:03:45	a pěkný tak dostanete placku máte šanci
0:03:50	na začátku nějaké takové pater zodpovědného admin a sem si myslel co je potřeba na
0:03:56	co je potřeba myslet určitě a postupně potom jenda přednášky ty jednotlivé body si projdeme
0:04:02	městským řekne
0:04:05	vypadá to si takle aktualizace může zbytečných služeb omezení uživatelů pozor access áčko a
0:04:12	samozřejmě luky o těch sledy tady měli pěknou přednášku nové blokovacím systémů systémy
0:04:19	tak
0:04:20	udržování aktuálního softwaru to se tak jako obecně říkáš je to nějaký že by to
0:04:25	měli dělat
0:04:28	samozřejmě kvůli bezpečnosti jedna kuli technickým chybám které můžou se mořeni vznikat tou softwaru které
0:04:33	se objevují a neopravují ale i kvůli těm bezpečnostních mám které se záplatu jí tady
0:04:37	mám první poznámku když debian tak jedině s table i když na linus this
0:04:42	říkal david že nepoužívá takové obskurní věci jako je dobrá s table
0:04:48	takže já jo
0:04:52	to kvůli bezpečnosti třeba je to dost zásadní protože
0:04:56	vlastně jenom s table má plnohodnotnou bezpečnostní podporovat dostává všechny aktualizace bezpečnostní přes se kvality
0:05:04	takže pokud si pořídíte anst table tak tam je to
0:05:09	takové napůl protože tam se tedy bezpečnostní aktualizace přijíždějí protože jsem aktualizuje samotný D software
0:05:15	ale to takové hodně nesystematické a nehlídá s tolika u testy ujedou úplně průšvih tam
0:05:20	prostě ty aktualizace kříži s velkým zpožděním takže
0:05:27	tam ta podpora bezpečnostní není ačkoli terra projekt debian pracuje na tom že
0:05:32	by právě mělo vzniknout do vznikl tým
0:05:36	restrikce kvality který se tím zabývá by bylo možné mít lepší bezpečnosti na testy ale
0:05:41	prostě z hlediska serveru kde se nechcete zlobit s tím že se vám tam každý
0:05:45	týden přijde jiná verze péráka která vám to rozbije tak prostě ten s table je
0:05:49	velmi rozumné řešení
0:05:53	nastavit jestli atik rhone to je taková taky ty to je velmi pěkná aplikace která
0:05:58	vám mi hlídat
0:06:00	aktualizace a sledujete repozitáře hlavní posílat maily o tom že potřeba něco aktualizovat
0:06:06	S tři jako malou statistiku kolik bych z jednoho se budu posílá tak větší průměr
0:06:10	je to mail týdně
0:06:13	za miluje pět
0:06:15	úměrně balíčku k aktualizaci za ten týden
0:06:18	a my neumíme jeden taky občas chodí je maximum bylo třicet jedna z při štrnácti
0:06:23	dny
0:06:25	že se aktualizovala já relátko další věci kolem knihovny v eště balíku tam byla hromada
0:06:30	ale běžně to třeba těch osum devět balíčků které toho znám že potřeba aktualizovat a
0:06:35	hlavně o tom víte že to musíte dělat prostě vám to samo řekne
0:06:38	zda jsou jiné nástroje ale prostě pro nějakou ve pejsků je tohle nějakou malou je
0:06:43	tohle úplně ideální prostě by vás to aby vás to upozorňoval jméno
0:06:47	samozřejmě
0:06:48	počet těch aktualizací těch mejlu je závislý na tom jaké tam ty balíčky kolik tam
0:06:54	máte čím víc tam to máte samozřejmě větší šanci se něco bude aktualizovat
0:06:58	pokud tam máte jenom
0:07:00	nějaké minimální množství balíku tak těch pozici nejezdí moc
0:07:07	vypnutí zbytečný služeb je další položka kterou sem tam měl na začátku
0:07:13	měli byste se podívat na tom serveru co vám tam běží
0:07:16	a to buď pomocí netstat u a tady toho příkazu který vám vysype všechny
0:07:22	služby které poslouchají na nějakém portů tou je tam že to zkontrolujme béčko takže se
0:07:29	podíváte co tam všechno běží zjistíte že tam máte třeba byl server který nepoužíváte nebo
0:07:35	že vám tam běží portmapper a přitom nepotřebujete použila nafasoval tak prostě
0:07:41	obecně lepší povypíná všechno co nepoužíváte protože to je samozřejmě potenciální zdroj nějakých problém zrovna
0:07:50	viviano samozřejmě obecně není aby taková snažit když
0:07:53	něco nainstalujete tak by ta konfiguraci výchozí měla být bezpečná
0:07:59	obvykle to tak je ale prostě není dobré mi tam nějakou službu která je nějak
0:08:02	nastavená víceslovní nestarali
0:08:05	další problém třeba vtom debian se takový hodně debian s empirický protože jak už aby
0:08:09	byla prakticky všude takže zamořuje tyhle všechny věci platí obecně ale já mstím s tím
0:08:15	vybraný zkušeností
0:08:16	za kdyby ale nepříjemné to že když nainstalujete nějaký balík kterém nějaký démon tak moc
0:08:21	automaticky spustí
0:08:23	cože věc která mi se moc nelíbí nejsem sám ale nenašel se nějak jednoduché řešení
0:08:28	že by se je von figurku von figura za pro auto stárkov nebo něco nefungovalo
0:08:33	prostě automaticky to nastartuje co šel vývojáři říkají že to je tak schválně že když
0:08:39	to ten že jste něco nainstalovali tak to přece chcete používat R prudce musí běžet
0:08:43	sádlo strany se najíst ale takže pro server halsall spustíš nemáte žádne uživatele nemáte nic
0:08:48	ale už vám posluchač že bude server jo pak stejně musíte restartovat bys to na
0:08:51	konfigurovali tak je to takové zvláštní ale potřeba na to myslet protože i balíčky které
0:08:56	se aktivně vlastně použili tak jenom tím že se nainstalovali tak vám někde něco spustili
0:09:01	takže je jako velmi dobré
0:09:03	se dívat na to se v tom systému děje ano obraz regnetu
0:09:29	F a to proto to za pak to zopakuju že systém T je možnost
0:09:33	si nakonfigurovat to jsem ta aplikace spouštět postupovou po instalaci nebo ne takže to si
0:09:40	tady tohle řeší
0:09:48	že to globální vlastnost systému nezávislá nebo ty balíčcích ale
0:09:58	že ve výchozím stavu je že se to nespouští
0:10:02	tak co není na seznamu a explicitně vyjmenovaných se nespouští po instalaci to je fakt
0:10:07	to se mi líbí víc než to že se to prostě spustí zavoláte nějaká speciály
0:10:10	tady byla např antecedentu to nedělá svazy těmto jistá tak
0:10:15	si už žen tu automaticky to nepusť
0:10:18	tak
0:10:19	a kromě toho netstat osamoceně můžete podívat třeba a ten zvenku nebo takle lokální já
0:10:24	mám po čeká porty a podívá se
0:10:27	co vám tam běží a podle toho samozřejmě velmi rychle zjistíte
0:10:32	velmi rychle zjistíte co tam co tam máte co nechcete mít
0:10:37	eště tady poznámka některých služeb třeba se vyplatí uzavřít je pro konkrét přistupuju kritiky adres
0:10:43	případně využít nějaký podbloky
0:10:46	to znamená ťukání na porty kterým si z venku otevřete ten port
0:10:51	nějakého strojek jehož aipí adresu nemáte povoleno
0:10:55	pro přístup k té konkrétní službě na to sou
0:10:58	různé automatické aplikace že napíšete cestu k a masně odřekla na tom sem do správné
0:11:03	pořadí portu otevře se vám otevřu se vám dobře
0:11:07	N jako
0:11:08	zajímá
0:11:11	co s uživateli
0:11:12	omezte uživatele tady mám další věc kterou které je potřeba si hlídat
0:11:18	podívejte se jaké máte uživatele systému protože ne každý uživatel systému se rovná fyzickém uživateli
0:11:25	sinicím zastr sedícímu za strojem
0:11:28	protože zase spousta balíků se přidává svoje vlastní uživatele do toho do toho systému různé
0:11:34	démony mají svoje
0:11:36	a pač nagios a podobné podobní uživatele
0:11:40	jsou často taky automatizovaným stroje zdroje automatizovanému cíle park cílem automatizovaný útoku tak jak si
0:11:48	ukážeme potom nějaké statistice tam mám nějaké účty se útočíte velmi často sou to právě
0:11:53	tyhlety protože ty má prakticky každý na server nějaké takže stačí si mladejch seznáno můžete
0:11:59	zkoušet se přihlašoval takže na ně potřeba dát pozor
0:12:03	samozřejmě uživatelům je potřeba zabránit přenosu ne šifrovaný hesel takže je fajn že se tam
0:12:09	dostaly se z áčko nalistovat zároveň spuštěné smítko pro webové služby pro někoho nebo
0:12:15	při nebo imap čtyři B S K S starts L tak taky ničemů že tam
0:12:20	je krásné se zatáčkou když se dá poslouchat jinudy
0:12:24	takže třeba já mám na sebe úplně vypnuté všechny S T K všechny cesty nešifrované
0:12:30	dovnitř aut uživatelé se musí naučit
0:12:33	používat s F a to po
0:12:36	A na nainstaluje klient strčí se tam klíče
0:12:40	se tady křikneš o tom si tuto tady prostě spravuje soubory
0:12:44	tak tady napsáno že máte tyhle varianty pokud kuše nikdo musí používat tak nahradit určitě
0:12:51	nemá utratím start
0:12:53	else nějakou nebo nějakým S pole který jsem třeště postavit ale s tím mají potom
0:12:58	problém ti uživatelé takže to je
0:13:01	ale nechá se jim
0:13:03	udělal nějaký skript automatický který
0:13:06	ústí a ono se to stane takle to mají camry rodičema na ploše
0:13:10	ve windows vista ikonku a o jeden čili daleko daněny může spravovat nemuseli počítače to
0:13:17	mi do
0:13:18	a
0:13:22	mají tam ikonku pro sestavení je sezná tunelu oni prostě ty že když něco potřebuju
0:13:26	takto mají spustil prosím černé okýnko
0:13:29	pak mají dělat tady šeku slevami tak černooký com I zavřít prostě ty normálně to
0:13:33	používá
0:13:35	další slajd k témuž eště
0:13:38	zkontrolujte si že máte některé adresáře připojené s parametry obecná solid analýze speciálně
0:13:46	protože ten je často třeba používám když uřvaný dostaneme bude někdo něco zkoušet
0:13:52	anima coming a zapisovatel do toho tento zamořený že vždycky
0:13:57	a aby tam prostě neměl možnost si necháme nějaké vy nároky a pouštět si dělat
0:14:02	tam neplatí
0:14:04	sticky bit
0:14:05	na ten na ten tam ten je taky výchozím stavu ale je dobré si to
0:14:09	zkontrolovat občas to znamená že se uživatelé můžou stentu
0:14:13	sami vzájemně do souboru trestám uložili a každý už nticím
0:14:21	zkuste nastavit uživatelům rozumné limity na počet procesů třeba které který můžu spustit a podobně
0:14:27	a máte cenu nějak na přetěžovaly pouť
0:14:30	nějaké chyby neznalosti nebo furt lze zlomyslnosti
0:14:35	omezte možnost použití sudo samozřejmě pomocí visu do
0:14:41	podívejte kdo má právo to sudo spouštět s které uživatele se dá co dělat
0:14:47	máte možnost tam definovat je třeba že
0:14:50	uživatel může s nějakým vyšším oprávněním automaticky spouštět jenom určité by nároky nemůže se třeba
0:14:57	nemůže cokoli dělat ale má omezený prostor opět
0:15:01	omezte přístup do různých adresářů si kam uživatel nemusí tak tam
0:15:05	není důvod aby tam lezl
0:15:08	třeba ve výchozím stavů je svém přístup do dobu ho
0:15:14	to
0:15:15	root ovského moje uživatelům zakázán vše rozumné že tam velmi často má právě jako
0:15:20	rozdělané různé věci kopie konfigura jako a podobně není důvodu takže uživatel zveš věděli
0:15:26	další věc
0:15:29	omezte počet S ohnutých binárně k tady je sou dva příkazy které vám je umožní
0:15:34	velmi jednoduše najít sou systému
0:15:36	osud vy náký které mají nastavený setuid bit a nebo se typy
0:15:41	i když spustíte tak jako běžný uživatel tak se nespustí pod vašimi právy ale to
0:15:46	právě to vlastníka
0:15:48	většinou se často se to lidi pletou s a říkají že
0:15:52	submod aby nákazy spustí popravy to automaticky a tak to není to se nejčastěji takle
0:15:57	používá ale prostě po tobě vlastních byl franta a pepa bych pustil jeho binárku takto
0:16:02	se spustí po frontovým
0:16:05	from to je právě ale nejčastěji se to právě spouští pokud typicky celá ping
0:16:09	tomu aby si mohu otevřít
0:16:11	ten roso K ta a posílat si tam ty pak je díky tak potřebuje mít
0:16:16	ta a tak jo má v tom systému ale každá taková nevinná K
0:16:22	potenciálně na sobě nějakou díru
0:16:25	tak může být to budou cestou do systému
0:16:28	takže je dobré se dívat které ty benátky tuhle schopnost mají sestavu tam automaticky a
0:16:34	v případě že to není úplně nutné taky třeba vyhodit nebo neboj ten bit sebrat
0:16:41	a poslední
0:16:43	položka na tohle slajdů je zvažte zapnutí apparmor tady pánové se devět určitě řeknu že
0:16:49	sem linuxe lepší
0:16:51	nazdar měl minulýho přednáška padnout
0:16:53	kam apparmor
0:16:55	asi našlo se mínusu tady teď nějak nebyl pouštět
0:16:58	nebo něco takového prostě to je další způsob jak obezita ty aplikace specielně apparmor dost
0:17:04	nebere na té přednášce tak umožňuje ja konkrétní benátkám nadiktovat práva a věci které můžou
0:17:10	dělat s je to výrazně podrobnější nejš klasicky airbagy
0:17:15	stě práva
0:17:17	můžete říct prostě tenleten program může zapisovat do tohohle adresáře může číst tohle adresáře může
0:17:23	na internet a konec prostě třeba
0:17:26	nebo nemůžu bez na disk ta aplikace nebo nemůže vůbec na síť a je možné
0:17:30	velmi podrobně nastavovat co který software může je to třeba jedna se budou docela fajn
0:17:36	protože
0:17:37	zase můžete psát pač i nadiktovat a pač může číst
0:17:41	z pardon ale nesmí tam nic zapsat a obráceně nemůže do tempu třeba prostě zase
0:17:47	cena vymýšlíte samozřejmě ta aplikace pak musí fungovat takže se to
0:17:53	to musí trochu ladit sou ale napsaná pravidla pro to docela dost těch takových těch
0:17:58	běžných
0:17:59	aplikací senzorových takže to stačí vlastně jenom nainstalovat správný balík
0:18:05	a pan moc podívat se do těch pravidel zkontrolovat je prostě to na to většinou
0:18:09	funguje případně to můžete pole
0:18:14	zásadní položka je seznal
0:18:19	vím že lidi někde
0:18:22	plzně na univerzitě dělali analýzu toho co
0:18:26	kterou cestou se nejčastěji útočí na servery a jednoznačně vedlo jestli z áčko prostě to
0:18:32	je brána rovnic pro administrátor samozřejmě to legitimního ale i pro toho
0:18:38	vašeho nového správce se můžu kterém ještě nevíte že u vás pracuje a který si
0:18:42	když číně tak
0:18:44	tak i ten povědomí se z áčkem
0:18:47	takže
0:18:48	je velmi dobré se na ní zaměřit
0:18:53	je to velký terč vláda kárání hesel z vás má někde se z áčko čte
0:18:57	logicism byste měli dělat
0:18:59	tak určitě vidíte mám tam jenom ty pokusy prostě o to přihlášení
0:19:03	většinou se střílí oblouku protože narozdíl svatý mailů ty se za uživatele jsem tak někde
0:19:10	na internetu nevím little vašeho serveru
0:19:12	ale jak sem říkal je spousta
0:19:16	je spousta běžných uživatelů F systémů které kteří které kteří sou praktických každej instalaci
0:19:23	právě o těch různých démon
0:19:26	a poznámka že jí získání běžného uživatele je velké pro samozřejmě leoš máte ten já
0:19:30	ovšem můžete něco dělat můžete zkoušet
0:19:34	stahovat z internetových spojity kompilovat pouštět a prostě u střílíte země co užito výrazně jednodušší
0:19:39	takže ani
0:19:41	ani to že se nikdo přihlásí jako jirka
0:19:43	není úplně vpořádku někdo cizí když to není jo
0:19:47	tady mám ten seznam těch nejčastěji aspoň to je to je s mého serveru
0:19:53	nejčastější
0:19:55	pokusy o uživatelské auto kino uživatelské účty přece se značkou
0:20:02	vidíte že tam i nagios cast postgres
0:20:05	S tak je tam
0:20:07	S korejkou prostě takže to jsou takové ty jo pro nejběžnějším čtyři
0:20:11	o nikdo tam nezkouší
0:20:13	nějaké jako liška novotná ste to nemá smysl ale přesně na tyhlety nejlepší počet
0:20:19	samozřejmě obrany
0:20:21	existují
0:20:22	a zase tady mám několik budou se jmenovat podrobněji trošku změní port se zásadu omezit
0:20:29	některé uživatele které nechcete vy popřela šamani heslem povinné přihlašování pomoci klíčů
0:20:35	a sledování těch pokusu
0:20:39	první věc kterou vám hodně lidí doporučí je změna portu server ale ono to je
0:20:43	vlastně
0:20:44	se kritizujou curity čili to je jenom tím že po schováte tak vlastně to není
0:20:49	bezpečnost prostě jenom
0:20:51	nějaké omezení
0:20:54	řekněme počtu těch útoků takže vždycky to jenom jako nějaký doplní když to budete dělat
0:20:59	já sem našel moc pěknou statistiku
0:21:02	daniela
0:21:04	myslela
0:21:05	lena
0:21:07	který vyzkoušel najednou pustit se zákona pro tu dvacet dva dvacet čtyři a zjistil že
0:21:12	mu kleslo full tisíckrát
0:21:17	to pokusy o připojení na se sáčku zase by tisíc na při na tom ví
0:21:21	po
0:21:22	takže to jako ukazuje že to opravdu funguje minimálně jako nějaká obrana přece zero by
0:21:28	útoky kdy se objevila nějaká díra F se zač podrážděný z ale která tak tím
0:21:32	že jo máte mimo tak
0:21:33	snížíte do dva tisíce krát šanci na to že to někdo zkusí takže
0:21:37	asi to asi to má smysl já to nedělám
0:21:41	ale hodně lidí vy můžete má posunuté někam mimo zóna použil po dvacet čtyři prostě
0:21:46	nevím proč většinou se to dává někam vysoko nebo na čtyři trojku
0:21:50	aby to bylo dostupné přes firewall první dotaz
0:22:00	samozřejmě
0:22:07	samozřejmě že do
0:22:10	dotaz byl že je to zkreslené pravděpodobně tím že už na obou portech bylo to
0:22:15	je sedláčkovou takže do našeho dvacet musím nešel dál to je pravda asi a jestli
0:22:20	jste nějaký je se zadaný port existujou samozřejmě dokonce existují pokročilé se za nebo ty
0:22:25	dokonce tady někde cesnetu tak if plzni my sme nebo fosterovy
0:22:30	někdo má nějaké velké ti mají na to pracovní skupina víjejí vlastní anny poté sledující
0:22:35	ten přendat útočící dělají oni to mají napsané samozřejmý tak dovoz vám jako že děravé
0:22:39	aby tento čísla dostal a mě pak pěkně lobují kudy tam vleze a co tam
0:22:43	dělá co se zkouší a podobně takže to se dá se určitě nějaký anebo nainstalovat
0:22:49	a ale je pravda že i když kdyby tam vyskočila ten login tak už to
0:22:53	může být pro někoho jako zastávka
0:22:56	když bude trvat vyzkoušeni no hesla patnáct sekund potom útočníka docela pěkně zdržujete pravda
0:23:02	eště bylo opravdu zajímavé to vyzkoušet jenom tím že by se přehodil to je se
0:23:06	z áčko nahoru např a na tu čtyři trojku která je poměrně obvykla
0:23:09	můžu to zkusit a může někde potom publikova nějaký výsledek
0:23:12	ještě D poznámka sou to je
0:23:17	takový pěkný multiplexe když se ty používat toto pros na portu čtyři tři a zároveň
0:23:22	tam se mi deset áčko
0:23:24	tak se podívejte na projekt se stala mám plánování následně klíčová nechtěl jsem
0:23:29	který právě umí toho že
0:23:32	máte na jiných portech spuštěné ty o dvě služby
0:23:36	přijela šest připojujete spolu S L H na ten port čtyři tři a pozná jestli
0:23:42	ste té se z áčko nebo ho toto prosil a proto upřesňuje ten provoz na
0:23:46	jednu stěnu služeb takže můžete mít na tom jednu portu obuj
0:23:49	jako ty
0:23:50	čtyři trojka je výhodná právě proto že prochází
0:23:53	vlastně úplně všemi fajnovou
0:23:56	protože ten scan tu
0:23:58	a toto prostě sem skaným ten taktické podíváte rozhodně na fit
0:24:02	cože zamoření střepin tak
0:24:05	dotaz
0:24:29	že s
0:24:35	s automatickém vám to s automatické útoky velmi často to je pravda samozřejmě
0:24:40	protože
0:24:42	ještě posunutím se může výrazně která sníží ten počet útoku no pojem životě portu ještě
0:24:47	sme P tři
0:24:49	je šest emisi pět nebo šest systém pod nula
0:24:53	ale asi a tam potom hledal plošný tak triviální že vyzkoušet
0:24:59	dvacet obojků čtyři trojku a dva dbáte taky takový obvyklý port případně osumdesát tak to
0:25:05	je není problém malej milošem máte jako
0:25:08	pro nic těch portech a něco hledat už je to horší tam byl nějaký dotaz
0:25:17	bude horních nezajeď otelit se filtru ven
0:25:21	bude řeč element placky
0:25:24	abych vlastně zapomněl tak že
0:25:29	abych vám jo tak to sem neřekl ještě se prosím kolegovi dělení
0:25:33	eště támle prosím pošlete
0:25:36	kolegové zadu za filtru
0:25:39	a k tomu se nedostanu
0:25:42	další věc taková šikovná právě která jo tady ještě poznámky jak se jak se ten
0:25:47	port mění normálně F se zády konci je položka pod dvacetdva vy můžete buď přepsat
0:25:52	nebo jich tam můžete rád být samozřejmě takže si můžete to je srážkou pootvírám na
0:25:56	více portech
0:25:57	pak samozřejmě toho démona nestartujete pomocí netstat u se podíváte na kterých portech
0:26:04	to ten access hladem skutečně běží abyste si to ověřit
0:26:12	a ten filtr když ne tak řekne si užil
0:26:15	tak
0:26:16	další věc omezení privilegovaných uživatelů takže samozřejmě přes S áčko vydáni nemělo by možné aby
0:26:22	se
0:26:23	přihlásil root protože tím zase rušíte jeden účet který je na každém systému ale ten
0:26:29	kočího nemůže využít musí se přihlásit jako
0:26:32	eliška tečka nováková ta teprve na možnost
0:26:36	použít sudo nebo sůva dostat se stát sem ten
0:26:41	zase jsme se za rekonfiguruje se položka vloží na ně s
0:26:47	z asie snadnou a nemůžete mít ještě u vydal passwords to znamená že on se
0:26:51	musí přihlásit potom máte klíč tak projdete nám ta
0:26:55	pokud byste chtěli použít heslo tak tam při přihlášení heslem interaktivní
0:27:01	přihlášení heslem tak tam root nemám možnost projít
0:27:08	tak
0:27:10	omezení další uživatelé se z áčko jak sem říkal vyházet všechny automaticky účty ideálně
0:27:16	vědět všechno co není potřeba
0:27:19	pěkná varianta taky o které sem simply moc neviděl že můžete nadefinovat konkrétní uživatele nebo
0:27:25	skupiny kteří můžu používat se z áčko
0:27:28	k tomu soufrk config u
0:27:30	soubory jsou by L russelovým uzel s případně deny obojího takže si můžete říct že
0:27:39	ke začnu se můžou přihlásit jenom uživatele který jsou ve skupině seznámit se z áčka
0:27:44	řine nějak jakkoli případně štědří mode některé uživatele kteří ste skupině třeba do či sou
0:27:49	a tímto můžete zakázat můžete si tam s tím vyzerá dokonce můžete uvezli adresu za
0:27:53	zavináč takže můžete říct že uživatel
0:27:57	franta není sice ve skupině značka řek ale když sedí doma tak na prádlo se
0:28:01	přihlásit takže je možné takle hezky omezovat i přimluv config u toho
0:28:05	se značka je možné použít válka
0:28:08	jedničku otazník a další takže můžete
0:28:11	still používat skupiny
0:28:14	studenti a máte studenti na studenti dva studenti tři tak prostě dáte studenti hvězdička dotazník
0:28:19	a
0:28:20	tím povolíte těm skupinám aby prošli
0:28:24	seznam
0:28:26	další šikovná věc kterou používám pro uživatele kteří
0:28:31	tam lezou přes S áčko jenom proto aby nechali někde svoje soubory čili místo jestli
0:28:35	F týpka klasického tres uživatele zvyklí
0:28:39	tak se značkou od verze
0:28:41	jaké už hodně docela staneš tedy osum myslím ní možnost má možnost chomutova toho uživatele
0:28:48	automatického zavřít kam řekl tam
0:28:51	neučíte
0:28:52	je to úplně jednoduchá věc
0:28:55	řeknete kde jeho
0:28:57	adresář kam se má ten uživatel zavřít
0:29:01	prof procento Ú proměnné je uživatelské jméno takže ztráta krásně automatizovat případně procento hájenou
0:29:08	na fotce ve tam příkaz internals a toto pole to samé se nevolá žádné S
0:29:12	T P daný se T P
0:29:15	backend ale pustí se rovnou ten z nic
0:29:18	povypíná termů nějaké forvard dingy a
0:29:21	tím omezit uživatele takže jediné co může skutečně využité se sáčku místo F kytka dostane
0:29:26	se do
0:29:28	prostředí nemůžeme nemůže si prohlížet systém prostě je u sebe tam bude mít nějaké public
0:29:33	potom adresáře bůhvíco soubory obrázky a meta může prostě sypat a tím končí a možnosti
0:29:42	je tady taková poznámka se potom celá článek myslím že tady dole je odkaz na
0:29:47	ni
0:29:48	zkrácený přes ten v sobě o co
0:29:51	chtěli
0:29:52	a pro každou chvíli vychodí mely kde se nějak lidi tady já sem to zkoušel
0:29:56	mně to nefunguje házíme tatule chybu jako je to
0:29:59	řád dokola a je to v tom žáku napsáno
0:30:02	uživatel nesmí mít právo zápisu do toho adresáře uvedeného ste vodběh údaje vektory
0:30:08	on musí mít zakázán zápis do toho adresáře aby to fungovalo protože
0:30:14	řekli sme šťastní důvodů a byl se tam nevytvořil to co a nezačal atice passes
0:30:18	ovedl nezkoušel slovo chlupů T
0:30:21	tak prostě vtom adresáři do kterého spadne čili lomeno třeba lomeno se toto plemeno petr
0:30:27	tak tam nesmí mít právo zápisu váš tam mám mít adresář obrázky adresář public to
0:30:32	byl adresář soubory a do těch pak může zapisovat že takle uděláte to funguje
0:30:37	ale pokud chcete aby zapisovat toho svého kořene tak vám to fungovat nebude a to
0:30:42	ten co to pro server vám odmítne toho uživatele přihlásit a bude to vám to
0:30:47	zvládnou že prostě je ten adresa zapisovatelný první až po nepustí
0:30:51	takže po
0:30:52	za volatilita kdybyste roštěna se dívat se na to dejte pozor dotazů a
0:31:01	my si nemůžeme použít home jeho vlastní můžeme samozřejmě let omezení tam platíš elvisi nesměl
0:31:07	do toho kořene to zapisoval
0:31:11	soubory přesto se toto pro
0:31:14	musel by mít prostě nespraví právo zápisu do Ú
0:31:16	že je lepší vodivými sleč nějaký pod adresář do kterého poleze
0:31:21	jak i mean právě nebo to úplně oddělit dodávat vojna prostě nějakého se potopa nebo
0:31:26	vám to něco prostě aby nebo
0:31:29	dost je potřeba to dodrženo tou
0:31:32	takže to je pak problém pokud on má používá taky normálně terminál tak samozřejmě se
0:31:37	nebo potom měnit volby přát tomu
0:31:41	konfigurační soubory chtěl tečka něco takže to je samozřejmě o problém
0:31:46	to je nevýhoda téhle tohle řešení ale jinak je jako velmi elegantně
0:31:53	si mlýnky zní
0:31:58	to je dobrá otázka neměl bity pro shodu to také z
0:32:05	to chuděra jo to sem
0:32:07	to sem pravda asi nezkoušel
0:32:10	a tísňo placku že
0:32:13	nebo separaci nezkoušel předpokládám že to možné není to bylo strašně triviální kdyby
0:32:18	sundej tento
0:32:20	a tamhle kolega se pak příde poplatku
0:32:24	tady je
0:32:25	tak takže jako je se na to mlýny jak je to jednoduché na implementaci prostě
0:32:30	tohle zapleteš konfigurátor a je to je možné to zase omezit i na skupinu na
0:32:34	uživatele takže můžete prostě říct že uživatele soubor áraři mají přese se z áčko takle
0:32:40	omezený přístup uživatele z jiných skupin můžou sledování připojit na terminál
0:32:45	dělat něco většího dotaz
0:32:51	že nemá vytvořit se mi to já jsem si že přes co to vytvořit cimry
0:32:54	normálním
0:32:58	takže že pomož
0:33:00	jo nebo tam
0:33:04	dvou vytvoří nový třeba z venku teprve prostě jako dále dva to pravděpodobně využito zkusit
0:33:11	a nebo já to vyzkouším a
0:33:18	no bude to ano protože ten cíl nevidí
0:33:21	tak že vlastně nejsi malý bude ukazovat dostupného prostoru bude telefon že se mi
0:33:28	jako
0:33:29	tak přihlašování klíčem že koná věc kdo z vás může a přihlašování klíčem ke seznáš
0:33:35	a podobně tak se skoro všichni který varletem tak toto proletim takle
0:33:41	tak jo a kdo z vás používá přihlašování klíče na svoje
0:33:46	se z áčka a zároveň má zakázáno úplně přihlašování heslem
0:33:51	taky dost toušeň víte tak třetina s těch co se přihlásili přijetí ale je to
0:33:55	dost takhle takym
0:33:58	takže případně falšování klíčem terase nepředává vůbec žádné slovo
0:34:04	používá se asymetrická kryptografie podepisuje se nějaká výzva
0:34:09	tím se ověří že ste držitelem privátního klíče veřejnému klíči který je na tom serveru
0:34:13	tento ověří pustí vás
0:34:16	ještě si generují pomocí se zátky gen pokládají setra do domovského adresáře na serveru uživatele
0:34:21	který má právo se tím klíčem přihlásit do autorizací s
0:34:25	a zapíná se
0:34:27	jaký
0:34:28	autem ty ke všemu pobav se zákon figo a za sme to samo založí fungovat
0:34:35	jsou klienti dneska většina klient umí přilepšování klíčem
0:34:39	sám nadrovinu že několik konce niti klikací právě třeba files jela umí normálně přihlašování klíčem
0:34:47	než dobře v nějakém uživateli dát přístup k těm souborů tak prostě nahrajete na počítač
0:34:53	tech ty a klíčem vygenerujete odvez zadání hesla třeba nebo zadáváním piny k tomu klíči
0:34:58	a
0:34:59	přihlásí se na sem
0:35:01	opět odkaz na článek kde se o tom dozvíte dycky byste chtěli vytři kteří ste
0:35:05	nezvedli u že to používá
0:35:09	jak se vypíná přihlašování heslem
0:35:12	to je taky jednoduché ústavy proud pásmo autem ty K šum a že lyže responds
0:35:17	to je jiný způsob
0:35:19	kdy ste aby interaktivně dotazováním různé věci
0:35:23	co se používá třeba při nárazu jesle jsou jsem se zeptá a jako na nějaké
0:35:27	vypadněte formulář tomu byste se přihlásili v zásadě
0:35:31	když to takle vypnete startujete ten server tak tady je příkaz který můžete ověřit že
0:35:36	i když tam máte ten klíč
0:35:38	tak by když dáte access řádek se prostě přihlásit a tím je zjistit jestli je
0:35:41	možné se přihlásit přes klávesnici tak zadáte přidáte parametr mínus odpadky autem ty K šednou
0:35:48	a tím zakážete použití klíčů tomu svém klientovi dočasně a pokud to máte nastavené správně
0:35:53	tak vlastně sem seřve že je není možné se přihlásit heslem a tohle
0:35:59	je zase je tady kolega říkal o tom že většina těch útoku je robot izolovaných
0:36:04	tak je krásnej že
0:36:06	já takle na těch sem lehman a stejně ještě hloubku těch blocích jede že po
0:36:11	způsobem ten server na nebo ten útočník na nám to ne nejde se přihlásit S
0:36:16	je to zkusí naladěnost nejde se přihlásit jestli to zkusí na gesta neplacený nepřihlásili slevou
0:36:22	takle zkusi osum set krát a protože té robot špatně napsaný tak prostě nezjistí že
0:36:26	to že to nemá smysl zkoušet ale prostě pořád dokola to zkouší u pane zakážete
0:36:32	tak a teď tady ten slajd s tím filtrem
0:36:34	pokud chcete aby zabrání tom aby se to vůbec zkoušelo což vám třeba vytěžuje server
0:36:39	nebo prostě se vám to nemůžou bez nikdo zkouš jako je věci
0:36:44	tak můžete vyzkoušet nainstalovat
0:36:46	filtru band řeše moc pěkná věc je to démon který
0:36:51	někde sedí a hlídá logy a když tam přijíždějí právě ta hlášení od různých serverů
0:36:57	ono to není vůbec
0:37:00	spojené se zmáčk ona prostě skripty která parsuje touhy
0:37:04	a umí to pro strašně moc služeb a pro ty služby které to neumí stačí
0:37:08	přepsat dva řádky dopravy dalo mi to i pro ně
0:37:11	tak sleduje auto a když překročí se nastavenými třeba tři pokusy
0:37:16	tak dáván na nastavené na stromu třeba dvacet čtyři hodin a potom to se zruší
0:37:23	což je fajn protože usušen protože vám potom nezatěžuje ten nezatěžujte pokusy na jsem protože
0:37:28	u sebe s nedostanu tomto kostariky adresy
0:37:32	pak není obecné port otevření
0:37:36	co je zajímavé
0:37:37	je že to útočníci tohle zjistili
0:37:41	a
0:37:42	jana tyto plní
0:37:45	S H pokusu o přihlášené se značku takže já to mám tři pokusem pro vás
0:37:49	to na dva tři čtyři něco za řízné a nám tam každej pět jestli dva
0:37:53	pokusy nic
0:37:54	musím otázku C oracle neví pak s jeden P adresy zkusí nagios musí gesta neví
0:38:00	je dále nechá se zavanul pro
0:38:02	a třeba za
0:38:03	půl hodiny
0:38:05	to vyprší ty pokusy mu auts přístěnek i adresované jeviště takže to takové že oni
0:38:10	se přizpůsobili
0:38:11	a dokonce když
0:38:13	sem nastavil na je chybný pokus tam opravdu prostě nebo na dva tak on se
0:38:16	zase snížila na jeden a dál je takže oni se tomu tomuhle se umí přizpůsobit
0:38:20	velmi dobře
0:38:21	ale nevšimli se že se nedá přihlásit heslem takže ten jako
0:38:25	velmi pochybném ale pak se to děje tři šest jako zajímavé takže už asi na
0:38:29	seriózní na to a je to tak známá věc že
0:38:34	že chtěl útočníci se tomu jaksi přizpůsobí
0:38:37	kde je taková poznámka že pokud máte víc klíčů
0:38:42	to je to vy
0:38:43	a nemáte nastaveného v konfiguraci že se má K
0:38:46	je konkrétnímu server u použít konkrétní klíč
0:38:49	tak to funguje tak že se zkusí několik těch klíčů
0:38:53	nebo dyž
0:38:54	ano
0:38:55	musí se
0:38:57	postupně ty klíče všechny a jeden Y N mezi ta odpověď správná přihlásí vás to
0:39:01	ale pokud a máte keltové na těch klíčů tam máte osum
0:39:04	a filtru ve máte na tři pokusy tak se vám prostě stane že se top
0:39:09	zkusit classic říká pavla stonava třešti hodně požadované aby se strkáte celej nedošlo nefunguje todlento
0:39:13	spustíte znovu a rozčilujete se pořád nafocené můžete přihlásit to skutečně tím měl po se
0:39:19	mi kdysi nechystal
0:39:20	řešení jednoduché do konfigurátor můžete dát prostě použít tenhle klíč proti tomu v lese
0:39:28	a dokonce s tam je možné udělat si zkratku vhodné server takže
0:39:31	takže dáte se zádům úvodem prvé a V který klíčová spárovaný s k server kdo
0:39:36	jedu pro něj
0:39:38	přihlásí se
0:39:40	konfigurace toho filtru BNF F to C
0:39:43	nastavuje se
0:39:46	jedna
0:39:47	to branišovu se nastavuje co se má hlídáte jak a to budem se nastavují ty
0:39:51	limity najdu je ten pán a nebo se
0:39:54	jak dlouho se
0:39:56	nebo kolikrát jaké době se musí ten útočník súsy přihlásit a bylo to
0:40:01	zavanul
0:40:02	zajímavé že tak jak sem říkal filtru byl vůbec není limitovaný nese sáčku takže se
0:40:06	dá nasadit třeba i na ve by
0:40:08	třeba word press
0:40:10	na pro něj flagy
0:40:14	který ty chybové hlášky ukládat do sumu
0:40:17	takže se tam objevují potom vtom
0:40:20	auto
0:40:21	a pokud si připíše to pravidlo do které má si dva řádky do
0:40:26	ta konfigurace filtru bebe mantovy hlídá přihlášení třeba dovolit presso že při třikrát tak mu
0:40:31	to zavře
0:40:32	přístup takže
0:40:35	nepatří čtyři třeba
0:40:36	takže je to
0:40:38	je to jako hodně univerzální služba
0:40:41	a ono přesně potom napsaných jako několik takže pro spoustu věcí docela
0:40:49	tak a poslední slajd tadyma čtete logy
0:40:55	je to takové mimochodem četli ste tu o té historce
0:41:00	ten chlapík pracoval nebo nepracovala mého syna svoji práci programátora nějakou firmu s čili
0:41:07	že dle ste to a tam vlastně to začalo tím že
0:41:10	si ti administrátoři přečetli nějaký bezpečnostní dokument doporučeně zdržel bez nečtou by
0:41:16	na svých server firemních a dyž to udělali tak zjistili že sem tam hraje připojit
0:41:20	dotčeny takže
0:41:21	tečně takovém je dobré se není jo
0:41:24	hlavně nemusíte úplně či samozřejmě že tam je zajisté ti adrese síla stálost afrikou tečka
0:41:30	po nebyl to samozřejmě jde při větším provozu ale je dobré na to být nějaký
0:41:34	sledovací nástroj třeba který vám pomůže odhalit nějaké anomálie pokud prostě
0:41:41	váš
0:41:42	jak server běžně pošle se rovná zde údajně aby si všimnete že včera toho patnáct
0:41:47	tisíc tak je něco špatně moc něco zbylo anebo někdo dost ani dost se dostal
0:41:52	k vašim L jsem rovnice z něj třeba rozesílat spam
0:41:55	takže
0:41:57	cestně tyhlety věci
0:41:59	je potřeba sledovat nebo jestli nikdo netuší dosud o to taky může být znamení že
0:42:04	se nikdo dostal na uživatelský účet a zkouší prostě souborů ta a zkouší prostě zadávané
0:42:09	slajdu ta hádat
0:42:11	takže všechny tyhle věci
0:42:13	je dobré sledovat zase já jako do to koukám tak pak vidím třeba jak se
0:42:17	zase snaží roboti hledat na vepředu různé pro pomáhají ajpina minute a takovéhle věci a
0:42:25	ten sem se mu je posílá do háje zase s tím dá třeba pracovat že
0:42:30	třeba na tři takové nepokusil můžete pomocí frontu B
0:42:34	zablokovat nebo u
0:42:36	plně prostě znemožnit kdybys nějaký uživatel tam nahrál nějaký takovýhle podmínek pozor tak
0:42:42	tak
0:42:44	tomu vepředu vůbec zakázat přístup k tomu a podobně poctivé názvem aby cenné nedal ručně
0:42:49	automaticky dohledat apod
0:42:51	zase šikovní nástrojem je uhoď
0:42:54	ten umí F dělat automatické souhrny s těch ímejlů má nějaké skripty
0:42:59	které projdou
0:43:01	zase moře se můžete doplňovat ale neprojdou když spustíte většinou nějakým kodonem tak pojedou gitaje
0:43:07	tam máte a udělají zní discuss řeknou vám
0:43:10	z jakých jaký adrese přepo vepsanou jaké soubory házeli chybu právě tak tam vidíte ty
0:43:15	štyřista štyřky těm admin entá velmi na min těmhletěm věcem
0:43:22	a
0:43:25	dobře rekonfigurovatelný umí spoustu služeb hlídat
0:43:28	účtu informací napíše lan polymerů dneska prošlou kolik to bylo megabajtů ímejlů kolik zavřel spojení
0:43:35	předtím ještě M neprošli protože řekl že ta resp R a podobně
0:43:40	ale dole při této číst takže pak je problém že dívám pravidel jak nechodí souhrnně
0:43:45	tak většinou naše ten což nakoukli káva speciální listed jde na dovolené dakoty no máte
0:43:50	sedum tak odpykáte tak to taky není dobře takže já sem skutečně se rozhodl už
0:43:55	to budu číst a
0:43:56	fakt si najdu denně těch
0:43:58	dvacet sekund na to abych to protože ono to je celkem pěkně udělaný souhrn
0:44:03	takže nemusíte projíždět kilometru Ú ale mám to řekne co
0:44:08	sou se tam dělo u spousty tisk vypuzena nastavit ukecal moc takže pokud se vám
0:44:14	dnes nechcete číst
0:44:16	seznam Y T adres kterých se nikdo přeložila vepsanou tak si necháte radimu třeba číslo
0:44:20	nebo kolik bylo Y T ve čtyři adres kolikati ve šest adresář a podobně a
0:44:24	máte prostě přehled
0:44:27	tak s tím že to já teda že ste vybírám každý den ale můžete si
0:44:30	nastavit třeba nutně může chcete jak jsou
0:44:34	záleží ta
0:44:36	co byl nakonec prezentace
0:44:38	jsem s tím jsem dneska když čtrnáct minut tak takže docela dost času
0:44:42	takže si můžete vysloužit placku chytrou otázku
0:44:53	jestli umělo voči pracovat napříč více servery potom ale se zlomku měl okovat s na
0:45:00	jeden společný sem takže tím se to dá řešit ty se vymlouvat
0:45:04	na jednu mašínová to bude posílat je souhrnný takle samozřejmě úplně
0:45:09	to je cesta
0:45:12	další otázka
0:45:32	že se dá použít aplikovat s R ten bit a ne ten bit gryc který
0:45:36	umí instalovat
0:45:38	i zásadní bezpečnostní a aktualizace sám
0:45:42	to je to já se to taky dobré nechat si ty bezpečnostní věc instalovat
0:45:46	automaticky
0:45:48	A a to mám rapu kontrolou je pravda že tam se mi nese nepomatuju že
0:45:52	by se něco stalo jako bezpečnostní záplatou ale dá se to samozřejmě vyřeš tím že
0:45:56	se to fakt instaluje sám že to nemusíte o tom dostávat nebo respektive roven celou
0:46:02	moč umění mám poslat mail o tom nebo v tom souboru je X S K
0:46:06	balíčky sám manipuloval takže můžete to mít takže se
0:46:10	záplaty romanistovi sami a utvoř úplný démon vám stranu vše s
0:46:16	pošle mail se souhrnem a nahoře B napsáno aktualizovaly se tyto tři balíčky
0:46:20	co se dělo tam třeba dalo voči píše někteří uživatele se přihlásili
0:46:25	kdo se stal ten nepoužilo sudo tak takže tam vykrást
0:46:29	takže je takle to můžu dám jako proč ne bezpečnostní zaplo vysedej
0:46:37	další otázka
0:46:58	že lepenka byla válka luftu vás pro přístup to museli republice sem
0:47:05	jo
0:47:12	to je další varianta můžete použít letenku
0:47:15	a otevřít do světa fakt jenom třeba ve tam a dvacet pětku pro přístup pošty
0:47:21	a všechny ostatní služby můžete mi zavřeném penci které se zase musí ty uživatele přihlásit
0:47:27	pomocí nějakých certifikátů to že samozřejmě tím eliminujete útoky na všechny ty služby tam jenom
0:47:32	otevřu tu
0:47:34	to jako další varianta s
0:47:36	a to buď můžete mít lepenku na jednom serveru opravdu
0:47:39	a nebo ji můžete mít prostě nějaké vnitřní síti
0:47:42	do které vás ta lepenka propustí a
0:47:48	potom když vidíte ty služby na těch třeba lokální adresa pochopit právě probíhá
0:47:54	workshop koupíme tento informace o celkem asi k ničemu protože ste tady ale
0:47:59	ale je operace ledka k tomu má moc pěkné materiály a určitě mě můžete dostat
0:48:03	jestli chcete bude mít má určitě na webu k tomu slajdy a ty papíry které
0:48:08	událost konfigurací letenky a
0:48:10	s tímto zvládnete vyhradili byste chtěli
0:48:23	kdy na jeho se je
0:48:26	až ke alternativa chtěl dobe nemusím že starší dokonce ale deny host nepanuje na úrovni
0:48:33	ani týž den jako kdyby zakazuje stack služba chybu vtom lese zarážku zakazuje
0:48:40	konfiguraci zakazuje s tím chtěl flipped kde se nedá přihlásit jako je to
0:48:47	uživatelského hlediska je to
0:48:49	účes stejné ale filtru B na vůbec nepustí touto šikana ten port takže ti ani
0:48:55	nezatěžuje pak ten server a nemusí se jakou nemá vůbec přístup k tomu portů něco
0:49:00	citelně takže já proto profil úspěšné floutové prostě neotravuje i na tom vebu když oni
0:49:06	umí sme cejtí webový roboti jsou strašně agresi takže ani si najdou vedlo menoval pro
0:49:11	admin u nějakého toho word prsu a pak to tam prostě šijou podtlakem takže jako
0:49:16	ta mašina je zatížena sto procent a jenom řeší jako jestli se stáčela jsou nebo
0:49:21	ne takže sto hledisk pak lepší to za zaříznout
0:49:25	na úrovni toho portů aby ten k ten dělencem bez ne připojil a podle nevyřešen
0:49:31	oni prostě neotravuj potápko doma jestli databáze
0:49:36	takže radši mansfeld ven
0:49:41	nelze zeměkoule super lack sem dycky chtěl tak tam nahoře komprese pásem
0:49:56	nerozumím tomu začátku že má možnost nastavit
0:50:11	tak to je toto je při jednom neúspěšné
0:50:14	stačí jedničku nastavit aby při prvním neúspěšném pokusu se to zablokovalo
0:50:18	to je takové dost jako už drsné řešení nejprve že s těma klíčema by to
0:50:23	nemuselo být až takový problém protože tam se často nesla nepřepadne ale N nedává to
0:50:28	prostor jako moc na chyby ale na druhou stranu ještě řeknu jinou věc filtru velmi
0:50:32	Y T
0:50:33	takže můžete říct kterej ty adresy někde nezapaluj
0:50:36	takže můžete říct že z domova budete zkoušet různé věci a neza řízne last
0:50:40	co udělají bodě
0:50:42	no můžou moc nechtělo takže prostě opravdu budou střílet se je pokus každej ty adresy
0:50:47	a to uvidíte prostě stalo světa je zkouší tak jako je
0:50:56	a neumím říct ona mít říct něco napsaný do těch se stěsnaný když se to
0:50:59	vrátíte tomu
0:51:01	já myslím že dostupnosti zkoušet pořád mají tu kapacitu co k neomezenou tě windows u
0:51:05	je na světě docela dost takže
0:51:08	takže tam jako Y T adrese takže docházej ty adresy ten bod bude tam určitě
0:51:12	docházejí spíš naopak
0:51:15	tak tady dole byl nějaký dotaz ještě
0:51:21	co je s používá
0:51:25	ne to bych se takže netouží
0:51:40	ano tak
0:51:42	tak co jak celé dozadu dáme jsou
0:51:54	jaký má filtru ven vliv na výkon já jsem jako nepozoroval nějaký zásadní jako že
0:51:59	by to byl problém dneska
0:52:03	dělat průběžně a tam se to snaží jako by natrénovat co nejrychleji
0:52:06	stane se že když se to tam nasype rychle tak si za podaří těch pokusů
0:52:10	jako o jedna více jako nebo tak případně pak je problém někdy že
0:52:14	aby se ta se slavného mládi tak on
0:52:17	zapisuje ty zprávy hromadí že napíše došlo pěti pokusům o přihlášení a tak takže ta
0:52:24	naše do jedné zprávy a může se stát že když si jako rychlý ten proud
0:52:30	tak o to zkusím celá jako víckrát a ten mi mírně překročí a nepovede sem
0:52:34	to čtyrycet krát pokuste daly ty tři a nebude se pořád pětkrát ale už ne
0:52:39	toho potom zaříznete cizí drátem filtru B se snaží jako reagovat zamořené o to nemůže
0:52:45	jednou denně dělat
0:52:47	že to nefungovalo touto o na to kouká pořád a každý při přibývající řádek si
0:52:51	prostě parsuje dělá se na ní stavět
0:52:54	při
0:52:56	jo dělat pořád a ne nemám protože by to něco brzdilo takže jako vektory velký
0:53:01	ten vokna ve finále nehraje roli
0:53:11	jo vydržíme takže systém tam žádný nemá
0:53:15	ale
0:53:16	další varianta prostě pokročilejší nástroj pro sledování to co se tam děje do vás užší
0:53:22	jsou různé aplikační firewall i které sledují provoz
0:53:26	a snaží se zabránit v nějakém
0:53:29	nějakým
0:53:30	akcím které by na tom sedum být neměli typicky vypsání nějakých tabulek z databáze na
0:53:36	které se normálně ten ta webová aplikace nikdy neptá podrobně ti možnosti tam hodně tou
0:53:43	o tom
0:53:43	je pro když není to že detekční systém není aplikační věc ale nic konkrétního zase
0:53:49	za
0:53:52	tak jo jsem to všecko
0:53:55	ano
0:54:08	šifrování dat na server je a
0:54:15	na sem našich jula mám pocit že to je jako celkem
0:54:19	i tečná věc protože proti fyzickému útočníkovi to
0:54:23	může fungovat a nemusí termice známku a tak takt jako
0:54:29	takové dost problematické
0:54:31	a
0:54:32	teď je decentnější ty klíče a má je paměti a má to šifrované
0:54:37	takže
0:54:41	takže ta data tam jsou vidět tak že to je taková jako
0:54:46	chybné proti útočníkovi vzdáleném který se přihlásit o neuplyne obranné neuchrání protože ta data tam
0:54:52	jsou vidět jako může to neopatrné Ú fyzickém útočníkovi zabráníš takže dyž to výšku nezazdil
0:54:58	mezi snesete tak si nepřečte data
0:55:01	policajti třeba no i když s tím taky docela zajímavá zkušenost mám ještě čtyři minuty
0:55:06	se lze má historka která teda není moje ale je docela pěkná
0:55:10	že přiběhli policajti do jedné se někdy běželi nějaké service nějakým softwarem a filmy a
0:55:16	podobně
0:55:17	a
0:55:19	protože to byly poučení nešikovně policisté tak odpojili
0:55:24	po muset připojení k síti nebo těm sem to vy tam
0:55:27	jenomže
0:55:28	vlastní toho server ubil měl monitorovací souhře nějaký systém venku a sledovali si popisem nežijou
0:55:35	a já to nás a mořina esemesku a byl velmi rychlý protože moje sem umřel
0:55:40	co se děje způso se přihlásit po síti to nevyšlo
0:55:44	tak se připojil na kafe jako a připoj při a přímo před těma policajtama na
0:55:49	monitoru viděli sevřela se na korun ta tu firmu pojede K V
0:55:54	takže měli před sebou otevřelo konzoly které do přihlášený dvouřadé čemuž toho neměl přístup ale
0:55:59	zůstal přihlášený a sice disky byly zašifrované to je ta pointa
0:56:03	protože kdyby policajti nebyly poučení odpoj neodnesli tak bitovou cajku ale disky byly šifrované vliv
0:56:10	tu dobu samozřejmě připojené a vím navíc ještě otevřel to konzoly nám tady že se
0:56:14	mu to měli možnosti takže sítě
0:56:16	takže ani to není uvolňovaná policajtů oni push nejsou takový ty stě vtip jako někteří
0:56:22	ano
0:56:23	ale ti ty počítačový ušatou velmi často N
0:56:37	jo
0:56:40	je tak
0:56:42	rozšifrovat případně tam velké tlačítko rozšifrovat
0:56:46	oranžové vpravo zhruba překonat ochranu třeba to je to bylo zde mališe medově moc tento
0:56:51	bankomaty some řeší data bylo překonat ochranu asi jo no ano do takže
0:56:57	takže
0:57:02	co ze jedna dva tři čtyři takové slovy sehnání a sukův
0:57:06	dobře tak
0:57:08	ano ještě
0:57:12	využili no ten čaj sto měl jako nějaké velké problémy
0:57:17	lze naměkko za pozornost a můžete si budeme musel to díky

Zabezpečení linuxového serveru

Neděle 3.11.2012 - velký sál D105

Petr Krčmář