dobré dopoledne
neméně petr krčmář sem šéfredaktorem sedum rovnice Z
a
tady přednášku o
zabezpečení linuxového serveru
vy byste si chtěli stáhnout a kuš tetě
s pozici na webu takže kdybyste s tou chtěli nějaký příklad odkaz nebo něco tak
to buď můžete opsat
samozřejmě s plátna a nebo máte možnost si to na téhle
adrese
no
jako jiné slajdy
a
takže bude ta přednáška já sem
tak já jsem vaznici zeptám cat kdo z vás má vlastní nějaký serverové pejsků někde
něco co obsluhuje se na sem mít tam přihlásit jako root a něco dělat no
tak polovina řekněme to je velmi solidní
že před pár lety to vlastě docela problém pozici vlastní server
to je byla tak nákladná věc že to obvykle znamenalo jedna ku by to železo
někde hostovat několik tisíc korun měsíčně to si prostě jen tak někdo pro svoje hrátky
s těmi pořídil dneska je situace úplně jiná dneska má možnost cibéb S P pustit
prakticky kdokoli je to otázka dejme tomu stokoruny měsíčně za nějaký základní model
pět seti dvanácti megabajty paměti a
nějakým několika deseti gigabytový diskem velmi solidním připojíme internetu
případně třeba jsem členem sdružení ve pestrý tak za tři stovky máte mašinu se čtyřma
do bity paměti a osm jádrem procesorem
takže my T P S ku dneska vůbec není problém
a co šestce na jednu nedostanu dobře a na druhou stranu se k sedum dostávají
lidé kteří o tom ví velmi málo a často V velmi málo svou zabezpečení
serveru zrovna uveďme jestli se stává že si ve pejsků tvoří nějaké dítě ti si
tam vedení hosting a
týdnem to nějakou šílenou aplikaci někdo prostředí a začnou tamtuď prostě dát nepořádek po internetu
takže skutečně tohle začíná být problém právě proto že
tibet hezky součin dál čím dál dostupnější takže já jsem se
rozhodl udělat takovouhle přednášku
tak i základní přehled toho na co je potřeba myslet
a
chtěl jsem přemýšlel jak to pojmout že to je strašně ve stejné téma že se
dá bavit o jednotlivých server
dá se bavit o těch démonech dá se bavil konfiguraci databáze a všeho možného takže
bychom mohla vzniknout samostatná vedení konference která vyprosila jednotlivé součásti linuxového sem
ale mám na to hodinu takže jsem se rozhodl to udělat tak že
budeme mluvit jenom o tom o té systémové bezpečnosti o tom operačním systému
a nějakých základních aplikacích kolem něj ale ty tu aplikační vrstvu si
necháme třeba na jindy nebo necháme někom jiné takže nebudeme tady probírat
jak funguje
a ta child žen X a jiné služby ale zaměříme se vyloženě na ten systém
na ten linux jako takový ještě
mám tady před nějaké placky s logem by byla velkou jednu možná i a malé
takže když budete měnit na nějaký chytrý dotaz
a pěkný tak dostanete placku máte šanci
na začátku nějaké takové pater zodpovědného admin a sem si myslel co je potřeba na
co je potřeba myslet určitě a postupně potom jenda přednášky ty jednotlivé body si projdeme
městským řekne
vypadá to si takle aktualizace může zbytečných služeb omezení uživatelů pozor access áčko a
samozřejmě luky o těch sledy tady měli pěknou přednášku nové blokovacím systémů systémy
tak
udržování aktuálního softwaru to se tak jako obecně říkáš je to nějaký že by to
měli dělat
samozřejmě kvůli bezpečnosti jedna kuli technickým chybám které můžou se mořeni vznikat tou softwaru které
se objevují a neopravují ale i kvůli těm bezpečnostních mám které se záplatu jí tady
mám první poznámku když debian tak jedině s table i když na linus this
říkal david že nepoužívá takové obskurní věci jako je dobrá s table
takže já jo
to kvůli bezpečnosti třeba je to dost zásadní protože
vlastně jenom s table má plnohodnotnou bezpečnostní podporovat dostává všechny aktualizace bezpečnostní přes se kvality
takže pokud si pořídíte anst table tak tam je to
takové napůl protože tam se tedy bezpečnostní aktualizace přijíždějí protože jsem aktualizuje samotný D software
ale to takové hodně nesystematické a nehlídá s tolika u testy ujedou úplně průšvih tam
prostě ty aktualizace kříži s velkým zpožděním takže
tam ta podpora bezpečnostní není ačkoli terra projekt debian pracuje na tom že
by právě mělo vzniknout do vznikl tým
restrikce kvality který se tím zabývá by bylo možné mít lepší bezpečnosti na testy ale
prostě z hlediska serveru kde se nechcete zlobit s tím že se vám tam každý
týden přijde jiná verze péráka která vám to rozbije tak prostě ten s table je
velmi rozumné řešení
nastavit jestli atik rhone to je taková taky ty to je velmi pěkná aplikace která
vám mi hlídat
aktualizace a sledujete repozitáře hlavní posílat maily o tom že potřeba něco aktualizovat
S tři jako malou statistiku kolik bych z jednoho se budu posílá tak větší průměr
je to mail týdně
za miluje pět
úměrně balíčku k aktualizaci za ten týden
a my neumíme jeden taky občas chodí je maximum bylo třicet jedna z při štrnácti
dny
že se aktualizovala já relátko další věci kolem knihovny v eště balíku tam byla hromada
ale běžně to třeba těch osum devět balíčků které toho znám že potřeba aktualizovat a
hlavně o tom víte že to musíte dělat prostě vám to samo řekne
zda jsou jiné nástroje ale prostě pro nějakou ve pejsků je tohle nějakou malou je
tohle úplně ideální prostě by vás to aby vás to upozorňoval jméno
samozřejmě
počet těch aktualizací těch mejlu je závislý na tom jaké tam ty balíčky kolik tam
máte čím víc tam to máte samozřejmě větší šanci se něco bude aktualizovat
pokud tam máte jenom
nějaké minimální množství balíku tak těch pozici nejezdí moc
vypnutí zbytečný služeb je další položka kterou sem tam měl na začátku
měli byste se podívat na tom serveru co vám tam běží
a to buď pomocí netstat u a tady toho příkazu který vám vysype všechny
služby které poslouchají na nějakém portů tou je tam že to zkontrolujme béčko takže se
podíváte co tam všechno běží zjistíte že tam máte třeba byl server který nepoužíváte nebo
že vám tam běží portmapper a přitom nepotřebujete použila nafasoval tak prostě
obecně lepší povypíná všechno co nepoužíváte protože to je samozřejmě potenciální zdroj nějakých problém zrovna
viviano samozřejmě obecně není aby taková snažit když
něco nainstalujete tak by ta konfiguraci výchozí měla být bezpečná
obvykle to tak je ale prostě není dobré mi tam nějakou službu která je nějak
nastavená víceslovní nestarali
další problém třeba vtom debian se takový hodně debian s empirický protože jak už aby
byla prakticky všude takže zamořuje tyhle všechny věci platí obecně ale já mstím s tím
vybraný zkušeností
za kdyby ale nepříjemné to že když nainstalujete nějaký balík kterém nějaký démon tak moc
automaticky spustí
cože věc která mi se moc nelíbí nejsem sám ale nenašel se nějak jednoduché řešení
že by se je von figurku von figura za pro auto stárkov nebo něco nefungovalo
prostě automaticky to nastartuje co šel vývojáři říkají že to je tak schválně že když
to ten že jste něco nainstalovali tak to přece chcete používat R prudce musí běžet
sádlo strany se najíst ale takže pro server halsall spustíš nemáte žádne uživatele nemáte nic
ale už vám posluchač že bude server jo pak stejně musíte restartovat bys to na
konfigurovali tak je to takové zvláštní ale potřeba na to myslet protože i balíčky které
se aktivně vlastně použili tak jenom tím že se nainstalovali tak vám někde něco spustili
takže je jako velmi dobré
se dívat na to se v tom systému děje ano obraz regnetu
F a to proto to za pak to zopakuju že systém T je možnost
si nakonfigurovat to jsem ta aplikace spouštět postupovou po instalaci nebo ne takže to si
tady tohle řeší
že to globální vlastnost systému nezávislá nebo ty balíčcích ale
že ve výchozím stavu je že se to nespouští
tak co není na seznamu a explicitně vyjmenovaných se nespouští po instalaci to je fakt
to se mi líbí víc než to že se to prostě spustí zavoláte nějaká speciály
tady byla např antecedentu to nedělá svazy těmto jistá tak
si už žen tu automaticky to nepusť
tak
a kromě toho netstat osamoceně můžete podívat třeba a ten zvenku nebo takle lokální já
mám po čeká porty a podívá se
co vám tam běží a podle toho samozřejmě velmi rychle zjistíte
velmi rychle zjistíte co tam co tam máte co nechcete mít
eště tady poznámka některých služeb třeba se vyplatí uzavřít je pro konkrét přistupuju kritiky adres
případně využít nějaký podbloky
to znamená ťukání na porty kterým si z venku otevřete ten port
nějakého strojek jehož aipí adresu nemáte povoleno
pro přístup k té konkrétní službě na to sou
různé automatické aplikace že napíšete cestu k a masně odřekla na tom sem do správné
pořadí portu otevře se vám otevřu se vám dobře
N jako
zajímá
co s uživateli
omezte uživatele tady mám další věc kterou které je potřeba si hlídat
podívejte se jaké máte uživatele systému protože ne každý uživatel systému se rovná fyzickém uživateli
sinicím zastr sedícímu za strojem
protože zase spousta balíků se přidává svoje vlastní uživatele do toho do toho systému různé
démony mají svoje
a pač nagios a podobné podobní uživatele
jsou často taky automatizovaným stroje zdroje automatizovanému cíle park cílem automatizovaný útoku tak jak si
ukážeme potom nějaké statistice tam mám nějaké účty se útočíte velmi často sou to právě
tyhlety protože ty má prakticky každý na server nějaké takže stačí si mladejch seznáno můžete
zkoušet se přihlašoval takže na ně potřeba dát pozor
samozřejmě uživatelům je potřeba zabránit přenosu ne šifrovaný hesel takže je fajn že se tam
dostaly se z áčko nalistovat zároveň spuštěné smítko pro webové služby pro někoho nebo
při nebo imap čtyři B S K S starts L tak taky ničemů že tam
je krásné se zatáčkou když se dá poslouchat jinudy
takže třeba já mám na sebe úplně vypnuté všechny S T K všechny cesty nešifrované
dovnitř aut uživatelé se musí naučit
používat s F a to po
A na nainstaluje klient strčí se tam klíče
se tady křikneš o tom si tuto tady prostě spravuje soubory
tak tady napsáno že máte tyhle varianty pokud kuše nikdo musí používat tak nahradit určitě
nemá utratím start
else nějakou nebo nějakým S pole který jsem třeště postavit ale s tím mají potom
problém ti uživatelé takže to je
ale nechá se jim
udělal nějaký skript automatický který
ústí a ono se to stane takle to mají camry rodičema na ploše
ve windows vista ikonku a o jeden čili daleko daněny může spravovat nemuseli počítače to
mi do
a
mají tam ikonku pro sestavení je sezná tunelu oni prostě ty že když něco potřebuju
takto mají spustil prosím černé okýnko
pak mají dělat tady šeku slevami tak černooký com I zavřít prostě ty normálně to
používá
další slajd k témuž eště
zkontrolujte si že máte některé adresáře připojené s parametry obecná solid analýze speciálně
protože ten je často třeba používám když uřvaný dostaneme bude někdo něco zkoušet
anima coming a zapisovatel do toho tento zamořený že vždycky
a aby tam prostě neměl možnost si necháme nějaké vy nároky a pouštět si dělat
tam neplatí
sticky bit
na ten na ten tam ten je taky výchozím stavu ale je dobré si to
zkontrolovat občas to znamená že se uživatelé můžou stentu
sami vzájemně do souboru trestám uložili a každý už nticím
zkuste nastavit uživatelům rozumné limity na počet procesů třeba které který můžu spustit a podobně
a máte cenu nějak na přetěžovaly pouť
nějaké chyby neznalosti nebo furt lze zlomyslnosti
omezte možnost použití sudo samozřejmě pomocí visu do
podívejte kdo má právo to sudo spouštět s které uživatele se dá co dělat
máte možnost tam definovat je třeba že
uživatel může s nějakým vyšším oprávněním automaticky spouštět jenom určité by nároky nemůže se třeba
nemůže cokoli dělat ale má omezený prostor opět
omezte přístup do různých adresářů si kam uživatel nemusí tak tam
není důvod aby tam lezl
třeba ve výchozím stavů je svém přístup do dobu ho
to
root ovského moje uživatelům zakázán vše rozumné že tam velmi často má právě jako
rozdělané různé věci kopie konfigura jako a podobně není důvodu takže uživatel zveš věděli
další věc
omezte počet S ohnutých binárně k tady je sou dva příkazy které vám je umožní
velmi jednoduše najít sou systému
osud vy náký které mají nastavený setuid bit a nebo se typy
i když spustíte tak jako běžný uživatel tak se nespustí pod vašimi právy ale to
právě to vlastníka
většinou se často se to lidi pletou s a říkají že
submod aby nákazy spustí popravy to automaticky a tak to není to se nejčastěji takle
používá ale prostě po tobě vlastních byl franta a pepa bych pustil jeho binárku takto
se spustí po frontovým
from to je právě ale nejčastěji se to právě spouští pokud typicky celá ping
tomu aby si mohu otevřít
ten roso K ta a posílat si tam ty pak je díky tak potřebuje mít
ta a tak jo má v tom systému ale každá taková nevinná K
potenciálně na sobě nějakou díru
tak může být to budou cestou do systému
takže je dobré se dívat které ty benátky tuhle schopnost mají sestavu tam automaticky a
v případě že to není úplně nutné taky třeba vyhodit nebo neboj ten bit sebrat
a poslední
položka na tohle slajdů je zvažte zapnutí apparmor tady pánové se devět určitě řeknu že
sem linuxe lepší
nazdar měl minulýho přednáška padnout
kam apparmor
asi našlo se mínusu tady teď nějak nebyl pouštět
nebo něco takového prostě to je další způsob jak obezita ty aplikace specielně apparmor dost
nebere na té přednášce tak umožňuje ja konkrétní benátkám nadiktovat práva a věci které můžou
dělat s je to výrazně podrobnější nejš klasicky airbagy
stě práva
můžete říct prostě tenleten program může zapisovat do tohohle adresáře může číst tohle adresáře může
na internet a konec prostě třeba
nebo nemůžu bez na disk ta aplikace nebo nemůže vůbec na síť a je možné
velmi podrobně nastavovat co který software může je to třeba jedna se budou docela fajn
protože
zase můžete psát pač i nadiktovat a pač může číst
z pardon ale nesmí tam nic zapsat a obráceně nemůže do tempu třeba prostě zase
cena vymýšlíte samozřejmě ta aplikace pak musí fungovat takže se to
to musí trochu ladit sou ale napsaná pravidla pro to docela dost těch takových těch
běžných
aplikací senzorových takže to stačí vlastně jenom nainstalovat správný balík
a pan moc podívat se do těch pravidel zkontrolovat je prostě to na to většinou
funguje případně to můžete pole
zásadní položka je seznal
vím že lidi někde
plzně na univerzitě dělali analýzu toho co
kterou cestou se nejčastěji útočí na servery a jednoznačně vedlo jestli z áčko prostě to
je brána rovnic pro administrátor samozřejmě to legitimního ale i pro toho
vašeho nového správce se můžu kterém ještě nevíte že u vás pracuje a který si
když číně tak
tak i ten povědomí se z áčkem
takže
je velmi dobré se na ní zaměřit
je to velký terč vláda kárání hesel z vás má někde se z áčko čte
logicism byste měli dělat
tak určitě vidíte mám tam jenom ty pokusy prostě o to přihlášení
většinou se střílí oblouku protože narozdíl svatý mailů ty se za uživatele jsem tak někde
na internetu nevím little vašeho serveru
ale jak sem říkal je spousta
je spousta běžných uživatelů F systémů které kteří které kteří sou praktických každej instalaci
právě o těch různých démon
a poznámka že jí získání běžného uživatele je velké pro samozřejmě leoš máte ten já
ovšem můžete něco dělat můžete zkoušet
stahovat z internetových spojity kompilovat pouštět a prostě u střílíte země co užito výrazně jednodušší
takže ani
ani to že se nikdo přihlásí jako jirka
není úplně vpořádku někdo cizí když to není jo
tady mám ten seznam těch nejčastěji aspoň to je to je s mého serveru
nejčastější
pokusy o uživatelské auto kino uživatelské účty přece se značkou
vidíte že tam i nagios cast postgres
S tak je tam
S korejkou prostě takže to jsou takové ty jo pro nejběžnějším čtyři
o nikdo tam nezkouší
nějaké jako liška novotná ste to nemá smysl ale přesně na tyhlety nejlepší počet
samozřejmě obrany
existují
a zase tady mám několik budou se jmenovat podrobněji trošku změní port se zásadu omezit
některé uživatele které nechcete vy popřela šamani heslem povinné přihlašování pomoci klíčů
a sledování těch pokusu
první věc kterou vám hodně lidí doporučí je změna portu server ale ono to je
vlastně
se kritizujou curity čili to je jenom tím že po schováte tak vlastně to není
bezpečnost prostě jenom
nějaké omezení
řekněme počtu těch útoků takže vždycky to jenom jako nějaký doplní když to budete dělat
já sem našel moc pěknou statistiku
daniela
myslela
lena
který vyzkoušel najednou pustit se zákona pro tu dvacet dva dvacet čtyři a zjistil že
mu kleslo full tisíckrát
to pokusy o připojení na se sáčku zase by tisíc na při na tom ví
po
takže to jako ukazuje že to opravdu funguje minimálně jako nějaká obrana přece zero by
útoky kdy se objevila nějaká díra F se zač podrážděný z ale která tak tím
že jo máte mimo tak
snížíte do dva tisíce krát šanci na to že to někdo zkusí takže
asi to asi to má smysl já to nedělám
ale hodně lidí vy můžete má posunuté někam mimo zóna použil po dvacet čtyři prostě
nevím proč většinou se to dává někam vysoko nebo na čtyři trojku
aby to bylo dostupné přes firewall první dotaz
samozřejmě
samozřejmě že do
dotaz byl že je to zkreslené pravděpodobně tím že už na obou portech bylo to
je sedláčkovou takže do našeho dvacet musím nešel dál to je pravda asi a jestli
jste nějaký je se zadaný port existujou samozřejmě dokonce existují pokročilé se za nebo ty
dokonce tady někde cesnetu tak if plzni my sme nebo fosterovy
někdo má nějaké velké ti mají na to pracovní skupina víjejí vlastní anny poté sledující
ten přendat útočící dělají oni to mají napsané samozřejmý tak dovoz vám jako že děravé
aby tento čísla dostal a mě pak pěkně lobují kudy tam vleze a co tam
dělá co se zkouší a podobně takže to se dá se určitě nějaký anebo nainstalovat
a ale je pravda že i když kdyby tam vyskočila ten login tak už to
může být pro někoho jako zastávka
když bude trvat vyzkoušeni no hesla patnáct sekund potom útočníka docela pěkně zdržujete pravda
eště bylo opravdu zajímavé to vyzkoušet jenom tím že by se přehodil to je se
z áčko nahoru např a na tu čtyři trojku která je poměrně obvykla
můžu to zkusit a může někde potom publikova nějaký výsledek
ještě D poznámka sou to je
takový pěkný multiplexe když se ty používat toto pros na portu čtyři tři a zároveň
tam se mi deset áčko
tak se podívejte na projekt se stala mám plánování následně klíčová nechtěl jsem
který právě umí toho že
máte na jiných portech spuštěné ty o dvě služby
přijela šest připojujete spolu S L H na ten port čtyři tři a pozná jestli
ste té se z áčko nebo ho toto prosil a proto upřesňuje ten provoz na
jednu stěnu služeb takže můžete mít na tom jednu portu obuj
jako ty
čtyři trojka je výhodná právě proto že prochází
vlastně úplně všemi fajnovou
protože ten scan tu
a toto prostě sem skaným ten taktické podíváte rozhodně na fit
cože zamoření střepin tak
dotaz
že s
s automatickém vám to s automatické útoky velmi často to je pravda samozřejmě
protože
ještě posunutím se může výrazně která sníží ten počet útoku no pojem životě portu ještě
sme P tři
je šest emisi pět nebo šest systém pod nula
ale asi a tam potom hledal plošný tak triviální že vyzkoušet
dvacet obojků čtyři trojku a dva dbáte taky takový obvyklý port případně osumdesát tak to
je není problém malej milošem máte jako
pro nic těch portech a něco hledat už je to horší tam byl nějaký dotaz
bude horních nezajeď otelit se filtru ven
bude řeč element placky
abych vlastně zapomněl tak že
abych vám jo tak to sem neřekl ještě se prosím kolegovi dělení
eště támle prosím pošlete
kolegové zadu za filtru
a k tomu se nedostanu
další věc taková šikovná právě která jo tady ještě poznámky jak se jak se ten
port mění normálně F se zády konci je položka pod dvacetdva vy můžete buď přepsat
nebo jich tam můžete rád být samozřejmě takže si můžete to je srážkou pootvírám na
více portech
pak samozřejmě toho démona nestartujete pomocí netstat u se podíváte na kterých portech
to ten access hladem skutečně běží abyste si to ověřit
a ten filtr když ne tak řekne si užil
tak
další věc omezení privilegovaných uživatelů takže samozřejmě přes S áčko vydáni nemělo by možné aby
se
přihlásil root protože tím zase rušíte jeden účet který je na každém systému ale ten
kočího nemůže využít musí se přihlásit jako
eliška tečka nováková ta teprve na možnost
použít sudo nebo sůva dostat se stát sem ten
zase jsme se za rekonfiguruje se položka vloží na ně s
z asie snadnou a nemůžete mít ještě u vydal passwords to znamená že on se
musí přihlásit potom máte klíč tak projdete nám ta
pokud byste chtěli použít heslo tak tam při přihlášení heslem interaktivní
přihlášení heslem tak tam root nemám možnost projít
tak
omezení další uživatelé se z áčko jak sem říkal vyházet všechny automaticky účty ideálně
vědět všechno co není potřeba
pěkná varianta taky o které sem simply moc neviděl že můžete nadefinovat konkrétní uživatele nebo
skupiny kteří můžu používat se z áčko
k tomu soufrk config u
soubory jsou by L russelovým uzel s případně deny obojího takže si můžete říct že
ke začnu se můžou přihlásit jenom uživatele který jsou ve skupině seznámit se z áčka
řine nějak jakkoli případně štědří mode některé uživatele kteří ste skupině třeba do či sou
a tímto můžete zakázat můžete si tam s tím vyzerá dokonce můžete uvezli adresu za
zavináč takže můžete říct že uživatel
franta není sice ve skupině značka řek ale když sedí doma tak na prádlo se
přihlásit takže je možné takle hezky omezovat i přimluv config u toho
se značka je možné použít válka
jedničku otazník a další takže můžete
still používat skupiny
studenti a máte studenti na studenti dva studenti tři tak prostě dáte studenti hvězdička dotazník
a
tím povolíte těm skupinám aby prošli
seznam
další šikovná věc kterou používám pro uživatele kteří
tam lezou přes S áčko jenom proto aby nechali někde svoje soubory čili místo jestli
F týpka klasického tres uživatele zvyklí
tak se značkou od verze
jaké už hodně docela staneš tedy osum myslím ní možnost má možnost chomutova toho uživatele
automatického zavřít kam řekl tam
neučíte
je to úplně jednoduchá věc
řeknete kde jeho
adresář kam se má ten uživatel zavřít
prof procento Ú proměnné je uživatelské jméno takže ztráta krásně automatizovat případně procento hájenou
na fotce ve tam příkaz internals a toto pole to samé se nevolá žádné S
T P daný se T P
backend ale pustí se rovnou ten z nic
povypíná termů nějaké forvard dingy a
tím omezit uživatele takže jediné co může skutečně využité se sáčku místo F kytka dostane
se do
prostředí nemůžeme nemůže si prohlížet systém prostě je u sebe tam bude mít nějaké public
potom adresáře bůhvíco soubory obrázky a meta může prostě sypat a tím končí a možnosti
je tady taková poznámka se potom celá článek myslím že tady dole je odkaz na
ni
zkrácený přes ten v sobě o co
chtěli
a pro každou chvíli vychodí mely kde se nějak lidi tady já sem to zkoušel
mně to nefunguje házíme tatule chybu jako je to
řád dokola a je to v tom žáku napsáno
uživatel nesmí mít právo zápisu do toho adresáře uvedeného ste vodběh údaje vektory
on musí mít zakázán zápis do toho adresáře aby to fungovalo protože
řekli sme šťastní důvodů a byl se tam nevytvořil to co a nezačal atice passes
ovedl nezkoušel slovo chlupů T
tak prostě vtom adresáři do kterého spadne čili lomeno třeba lomeno se toto plemeno petr
tak tam nesmí mít právo zápisu váš tam mám mít adresář obrázky adresář public to
byl adresář soubory a do těch pak může zapisovat že takle uděláte to funguje
ale pokud chcete aby zapisovat toho svého kořene tak vám to fungovat nebude a to
ten co to pro server vám odmítne toho uživatele přihlásit a bude to vám to
zvládnou že prostě je ten adresa zapisovatelný první až po nepustí
takže po
za volatilita kdybyste roštěna se dívat se na to dejte pozor dotazů a
my si nemůžeme použít home jeho vlastní můžeme samozřejmě let omezení tam platíš elvisi nesměl
do toho kořene to zapisoval
soubory přesto se toto pro
musel by mít prostě nespraví právo zápisu do Ú
že je lepší vodivými sleč nějaký pod adresář do kterého poleze
jak i mean právě nebo to úplně oddělit dodávat vojna prostě nějakého se potopa nebo
vám to něco prostě aby nebo
dost je potřeba to dodrženo tou
takže to je pak problém pokud on má používá taky normálně terminál tak samozřejmě se
nebo potom měnit volby přát tomu
konfigurační soubory chtěl tečka něco takže to je samozřejmě o problém
to je nevýhoda téhle tohle řešení ale jinak je jako velmi elegantně
si mlýnky zní
to je dobrá otázka neměl bity pro shodu to také z
to chuděra jo to sem
to sem pravda asi nezkoušel
a tísňo placku že
nebo separaci nezkoušel předpokládám že to možné není to bylo strašně triviální kdyby
sundej tento
a tamhle kolega se pak příde poplatku
tady je
tak takže jako je se na to mlýny jak je to jednoduché na implementaci prostě
tohle zapleteš konfigurátor a je to je možné to zase omezit i na skupinu na
uživatele takže můžete prostě říct že uživatele soubor áraři mají přese se z áčko takle
omezený přístup uživatele z jiných skupin můžou sledování připojit na terminál
dělat něco většího dotaz
že nemá vytvořit se mi to já jsem si že přes co to vytvořit cimry
normálním
takže že pomož
jo nebo tam
dvou vytvoří nový třeba z venku teprve prostě jako dále dva to pravděpodobně využito zkusit
a nebo já to vyzkouším a
no bude to ano protože ten cíl nevidí
tak že vlastně nejsi malý bude ukazovat dostupného prostoru bude telefon že se mi
jako
tak přihlašování klíčem že koná věc kdo z vás může a přihlašování klíčem ke seznáš
a podobně tak se skoro všichni který varletem tak toto proletim takle
tak jo a kdo z vás používá přihlašování klíče na svoje
se z áčka a zároveň má zakázáno úplně přihlašování heslem
taky dost toušeň víte tak třetina s těch co se přihlásili přijetí ale je to
dost takhle takym
takže případně falšování klíčem terase nepředává vůbec žádné slovo
používá se asymetrická kryptografie podepisuje se nějaká výzva
tím se ověří že ste držitelem privátního klíče veřejnému klíči který je na tom serveru
tento ověří pustí vás
ještě si generují pomocí se zátky gen pokládají setra do domovského adresáře na serveru uživatele
který má právo se tím klíčem přihlásit do autorizací s
a zapíná se
jaký
autem ty ke všemu pobav se zákon figo a za sme to samo založí fungovat
jsou klienti dneska většina klient umí přilepšování klíčem
sám nadrovinu že několik konce niti klikací právě třeba files jela umí normálně přihlašování klíčem
než dobře v nějakém uživateli dát přístup k těm souborů tak prostě nahrajete na počítač
tech ty a klíčem vygenerujete odvez zadání hesla třeba nebo zadáváním piny k tomu klíči
a
přihlásí se na sem
opět odkaz na článek kde se o tom dozvíte dycky byste chtěli vytři kteří ste
nezvedli u že to používá
jak se vypíná přihlašování heslem
to je taky jednoduché ústavy proud pásmo autem ty K šum a že lyže responds
to je jiný způsob
kdy ste aby interaktivně dotazováním různé věci
co se používá třeba při nárazu jesle jsou jsem se zeptá a jako na nějaké
vypadněte formulář tomu byste se přihlásili v zásadě
když to takle vypnete startujete ten server tak tady je příkaz který můžete ověřit že
i když tam máte ten klíč
tak by když dáte access řádek se prostě přihlásit a tím je zjistit jestli je
možné se přihlásit přes klávesnici tak zadáte přidáte parametr mínus odpadky autem ty K šednou
a tím zakážete použití klíčů tomu svém klientovi dočasně a pokud to máte nastavené správně
tak vlastně sem seřve že je není možné se přihlásit heslem a tohle
je zase je tady kolega říkal o tom že většina těch útoku je robot izolovaných
tak je krásnej že
já takle na těch sem lehman a stejně ještě hloubku těch blocích jede že po
způsobem ten server na nebo ten útočník na nám to ne nejde se přihlásit S
je to zkusí naladěnost nejde se přihlásit jestli to zkusí na gesta neplacený nepřihlásili slevou
takle zkusi osum set krát a protože té robot špatně napsaný tak prostě nezjistí že
to že to nemá smysl zkoušet ale prostě pořád dokola to zkouší u pane zakážete
tak a teď tady ten slajd s tím filtrem
pokud chcete aby zabrání tom aby se to vůbec zkoušelo což vám třeba vytěžuje server
nebo prostě se vám to nemůžou bez nikdo zkouš jako je věci
tak můžete vyzkoušet nainstalovat
filtru band řeše moc pěkná věc je to démon který
někde sedí a hlídá logy a když tam přijíždějí právě ta hlášení od různých serverů
ono to není vůbec
spojené se zmáčk ona prostě skripty která parsuje touhy
a umí to pro strašně moc služeb a pro ty služby které to neumí stačí
přepsat dva řádky dopravy dalo mi to i pro ně
tak sleduje auto a když překročí se nastavenými třeba tři pokusy
tak dáván na nastavené na stromu třeba dvacet čtyři hodin a potom to se zruší
což je fajn protože usušen protože vám potom nezatěžuje ten nezatěžujte pokusy na jsem protože
u sebe s nedostanu tomto kostariky adresy
pak není obecné port otevření
co je zajímavé
je že to útočníci tohle zjistili
a
jana tyto plní
S H pokusu o přihlášené se značku takže já to mám tři pokusem pro vás
to na dva tři čtyři něco za řízné a nám tam každej pět jestli dva
pokusy nic
musím otázku C oracle neví pak s jeden P adresy zkusí nagios musí gesta neví
je dále nechá se zavanul pro
a třeba za
půl hodiny
to vyprší ty pokusy mu auts přístěnek i adresované jeviště takže to takové že oni
se přizpůsobili
a dokonce když
sem nastavil na je chybný pokus tam opravdu prostě nebo na dva tak on se
zase snížila na jeden a dál je takže oni se tomu tomuhle se umí přizpůsobit
velmi dobře
ale nevšimli se že se nedá přihlásit heslem takže ten jako
velmi pochybném ale pak se to děje tři šest jako zajímavé takže už asi na
seriózní na to a je to tak známá věc že
že chtěl útočníci se tomu jaksi přizpůsobí
kde je taková poznámka že pokud máte víc klíčů
to je to vy
a nemáte nastaveného v konfiguraci že se má K
je konkrétnímu server u použít konkrétní klíč
tak to funguje tak že se zkusí několik těch klíčů
nebo dyž
ano
musí se
postupně ty klíče všechny a jeden Y N mezi ta odpověď správná přihlásí vás to
ale pokud a máte keltové na těch klíčů tam máte osum
a filtru ve máte na tři pokusy tak se vám prostě stane že se top
zkusit classic říká pavla stonava třešti hodně požadované aby se strkáte celej nedošlo nefunguje todlento
spustíte znovu a rozčilujete se pořád nafocené můžete přihlásit to skutečně tím měl po se
mi kdysi nechystal
řešení jednoduché do konfigurátor můžete dát prostě použít tenhle klíč proti tomu v lese
a dokonce s tam je možné udělat si zkratku vhodné server takže
takže dáte se zádům úvodem prvé a V který klíčová spárovaný s k server kdo
jedu pro něj
přihlásí se
konfigurace toho filtru BNF F to C
nastavuje se
jedna
to branišovu se nastavuje co se má hlídáte jak a to budem se nastavují ty
limity najdu je ten pán a nebo se
jak dlouho se
nebo kolikrát jaké době se musí ten útočník súsy přihlásit a bylo to
zavanul
zajímavé že tak jak sem říkal filtru byl vůbec není limitovaný nese sáčku takže se
dá nasadit třeba i na ve by
třeba word press
na pro něj flagy
který ty chybové hlášky ukládat do sumu
takže se tam objevují potom vtom
auto
a pokud si připíše to pravidlo do které má si dva řádky do
ta konfigurace filtru bebe mantovy hlídá přihlášení třeba dovolit presso že při třikrát tak mu
to zavře
přístup takže
nepatří čtyři třeba
takže je to
je to jako hodně univerzální služba
a ono přesně potom napsaných jako několik takže pro spoustu věcí docela
tak a poslední slajd tadyma čtete logy
je to takové mimochodem četli ste tu o té historce
ten chlapík pracoval nebo nepracovala mého syna svoji práci programátora nějakou firmu s čili
že dle ste to a tam vlastně to začalo tím že
si ti administrátoři přečetli nějaký bezpečnostní dokument doporučeně zdržel bez nečtou by
na svých server firemních a dyž to udělali tak zjistili že sem tam hraje připojit
dotčeny takže
tečně takovém je dobré se není jo
hlavně nemusíte úplně či samozřejmě že tam je zajisté ti adrese síla stálost afrikou tečka
po nebyl to samozřejmě jde při větším provozu ale je dobré na to být nějaký
sledovací nástroj třeba který vám pomůže odhalit nějaké anomálie pokud prostě
váš
jak server běžně pošle se rovná zde údajně aby si všimnete že včera toho patnáct
tisíc tak je něco špatně moc něco zbylo anebo někdo dost ani dost se dostal
k vašim L jsem rovnice z něj třeba rozesílat spam
takže
cestně tyhlety věci
je potřeba sledovat nebo jestli nikdo netuší dosud o to taky může být znamení že
se nikdo dostal na uživatelský účet a zkouší prostě souborů ta a zkouší prostě zadávané
slajdu ta hádat
takže všechny tyhle věci
je dobré sledovat zase já jako do to koukám tak pak vidím třeba jak se
zase snaží roboti hledat na vepředu různé pro pomáhají ajpina minute a takovéhle věci a
ten sem se mu je posílá do háje zase s tím dá třeba pracovat že
třeba na tři takové nepokusil můžete pomocí frontu B
zablokovat nebo u
plně prostě znemožnit kdybys nějaký uživatel tam nahrál nějaký takovýhle podmínek pozor tak
tak
tomu vepředu vůbec zakázat přístup k tomu a podobně poctivé názvem aby cenné nedal ručně
automaticky dohledat apod
zase šikovní nástrojem je uhoď
ten umí F dělat automatické souhrny s těch ímejlů má nějaké skripty
které projdou
zase moře se můžete doplňovat ale neprojdou když spustíte většinou nějakým kodonem tak pojedou gitaje
tam máte a udělají zní discuss řeknou vám
z jakých jaký adrese přepo vepsanou jaké soubory házeli chybu právě tak tam vidíte ty
štyřista štyřky těm admin entá velmi na min těmhletěm věcem
a
dobře rekonfigurovatelný umí spoustu služeb hlídat
účtu informací napíše lan polymerů dneska prošlou kolik to bylo megabajtů ímejlů kolik zavřel spojení
předtím ještě M neprošli protože řekl že ta resp R a podobně
ale dole při této číst takže pak je problém že dívám pravidel jak nechodí souhrnně
tak většinou naše ten což nakoukli káva speciální listed jde na dovolené dakoty no máte
sedum tak odpykáte tak to taky není dobře takže já sem skutečně se rozhodl už
to budu číst a
fakt si najdu denně těch
dvacet sekund na to abych to protože ono to je celkem pěkně udělaný souhrn
takže nemusíte projíždět kilometru Ú ale mám to řekne co
sou se tam dělo u spousty tisk vypuzena nastavit ukecal moc takže pokud se vám
dnes nechcete číst
seznam Y T adres kterých se nikdo přeložila vepsanou tak si necháte radimu třeba číslo
nebo kolik bylo Y T ve čtyři adres kolikati ve šest adresář a podobně a
máte prostě přehled
tak s tím že to já teda že ste vybírám každý den ale můžete si
nastavit třeba nutně může chcete jak jsou
záleží ta
co byl nakonec prezentace
jsem s tím jsem dneska když čtrnáct minut tak takže docela dost času
takže si můžete vysloužit placku chytrou otázku
jestli umělo voči pracovat napříč více servery potom ale se zlomku měl okovat s na
jeden společný sem takže tím se to dá řešit ty se vymlouvat
na jednu mašínová to bude posílat je souhrnný takle samozřejmě úplně
to je cesta
další otázka
že se dá použít aplikovat s R ten bit a ne ten bit gryc který
umí instalovat
i zásadní bezpečnostní a aktualizace sám
to je to já se to taky dobré nechat si ty bezpečnostní věc instalovat
automaticky
A a to mám rapu kontrolou je pravda že tam se mi nese nepomatuju že
by se něco stalo jako bezpečnostní záplatou ale dá se to samozřejmě vyřeš tím že
se to fakt instaluje sám že to nemusíte o tom dostávat nebo respektive roven celou
moč umění mám poslat mail o tom nebo v tom souboru je X S K
balíčky sám manipuloval takže můžete to mít takže se
záplaty romanistovi sami a utvoř úplný démon vám stranu vše s
pošle mail se souhrnem a nahoře B napsáno aktualizovaly se tyto tři balíčky
co se dělo tam třeba dalo voči píše někteří uživatele se přihlásili
kdo se stal ten nepoužilo sudo tak takže tam vykrást
takže je takle to můžu dám jako proč ne bezpečnostní zaplo vysedej
další otázka
že lepenka byla válka luftu vás pro přístup to museli republice sem
jo
to je další varianta můžete použít letenku
a otevřít do světa fakt jenom třeba ve tam a dvacet pětku pro přístup pošty
a všechny ostatní služby můžete mi zavřeném penci které se zase musí ty uživatele přihlásit
pomocí nějakých certifikátů to že samozřejmě tím eliminujete útoky na všechny ty služby tam jenom
otevřu tu
to jako další varianta s
a to buď můžete mít lepenku na jednom serveru opravdu
a nebo ji můžete mít prostě nějaké vnitřní síti
do které vás ta lepenka propustí a
potom když vidíte ty služby na těch třeba lokální adresa pochopit právě probíhá
workshop koupíme tento informace o celkem asi k ničemu protože ste tady ale
ale je operace ledka k tomu má moc pěkné materiály a určitě mě můžete dostat
jestli chcete bude mít má určitě na webu k tomu slajdy a ty papíry které
událost konfigurací letenky a
s tímto zvládnete vyhradili byste chtěli
kdy na jeho se je
až ke alternativa chtěl dobe nemusím že starší dokonce ale deny host nepanuje na úrovni
ani týž den jako kdyby zakazuje stack služba chybu vtom lese zarážku zakazuje
konfiguraci zakazuje s tím chtěl flipped kde se nedá přihlásit jako je to
uživatelského hlediska je to
účes stejné ale filtru B na vůbec nepustí touto šikana ten port takže ti ani
nezatěžuje pak ten server a nemusí se jakou nemá vůbec přístup k tomu portů něco
citelně takže já proto profil úspěšné floutové prostě neotravuje i na tom vebu když oni
umí sme cejtí webový roboti jsou strašně agresi takže ani si najdou vedlo menoval pro
admin u nějakého toho word prsu a pak to tam prostě šijou podtlakem takže jako
ta mašina je zatížena sto procent a jenom řeší jako jestli se stáčela jsou nebo
ne takže sto hledisk pak lepší to za zaříznout
na úrovni toho portů aby ten k ten dělencem bez ne připojil a podle nevyřešen
oni prostě neotravuj potápko doma jestli databáze
takže radši mansfeld ven
nelze zeměkoule super lack sem dycky chtěl tak tam nahoře komprese pásem
nerozumím tomu začátku že má možnost nastavit
tak to je toto je při jednom neúspěšné
stačí jedničku nastavit aby při prvním neúspěšném pokusu se to zablokovalo
to je takové dost jako už drsné řešení nejprve že s těma klíčema by to
nemuselo být až takový problém protože tam se často nesla nepřepadne ale N nedává to
prostor jako moc na chyby ale na druhou stranu ještě řeknu jinou věc filtru velmi
Y T
takže můžete říct kterej ty adresy někde nezapaluj
takže můžete říct že z domova budete zkoušet různé věci a neza řízne last
co udělají bodě
no můžou moc nechtělo takže prostě opravdu budou střílet se je pokus každej ty adresy
a to uvidíte prostě stalo světa je zkouší tak jako je
a neumím říct ona mít říct něco napsaný do těch se stěsnaný když se to
vrátíte tomu
já myslím že dostupnosti zkoušet pořád mají tu kapacitu co k neomezenou tě windows u
je na světě docela dost takže
takže tam jako Y T adrese takže docházej ty adresy ten bod bude tam určitě
docházejí spíš naopak
tak tady dole byl nějaký dotaz ještě
co je s používá
ne to bych se takže netouží
ano tak
tak co jak celé dozadu dáme jsou
jaký má filtru ven vliv na výkon já jsem jako nepozoroval nějaký zásadní jako že
by to byl problém dneska
dělat průběžně a tam se to snaží jako by natrénovat co nejrychleji
stane se že když se to tam nasype rychle tak si za podaří těch pokusů
jako o jedna více jako nebo tak případně pak je problém někdy že
aby se ta se slavného mládi tak on
zapisuje ty zprávy hromadí že napíše došlo pěti pokusům o přihlášení a tak takže ta
naše do jedné zprávy a může se stát že když si jako rychlý ten proud
tak o to zkusím celá jako víckrát a ten mi mírně překročí a nepovede sem
to čtyrycet krát pokuste daly ty tři a nebude se pořád pětkrát ale už ne
toho potom zaříznete cizí drátem filtru B se snaží jako reagovat zamořené o to nemůže
jednou denně dělat
že to nefungovalo touto o na to kouká pořád a každý při přibývající řádek si
prostě parsuje dělá se na ní stavět
při
jo dělat pořád a ne nemám protože by to něco brzdilo takže jako vektory velký
ten vokna ve finále nehraje roli
jo vydržíme takže systém tam žádný nemá
ale
další varianta prostě pokročilejší nástroj pro sledování to co se tam děje do vás užší
jsou různé aplikační firewall i které sledují provoz
a snaží se zabránit v nějakém
nějakým
akcím které by na tom sedum být neměli typicky vypsání nějakých tabulek z databáze na
které se normálně ten ta webová aplikace nikdy neptá podrobně ti možnosti tam hodně tou
o tom
je pro když není to že detekční systém není aplikační věc ale nic konkrétního zase
za
tak jo jsem to všecko
ano
šifrování dat na server je a
na sem našich jula mám pocit že to je jako celkem
i tečná věc protože proti fyzickému útočníkovi to
může fungovat a nemusí termice známku a tak takt jako
takové dost problematické
a
teď je decentnější ty klíče a má je paměti a má to šifrované
takže
takže ta data tam jsou vidět tak že to je taková jako
chybné proti útočníkovi vzdáleném který se přihlásit o neuplyne obranné neuchrání protože ta data tam
jsou vidět jako může to neopatrné Ú fyzickém útočníkovi zabráníš takže dyž to výšku nezazdil
mezi snesete tak si nepřečte data
policajti třeba no i když s tím taky docela zajímavá zkušenost mám ještě čtyři minuty
se lze má historka která teda není moje ale je docela pěkná
že přiběhli policajti do jedné se někdy běželi nějaké service nějakým softwarem a filmy a
podobně
a
protože to byly poučení nešikovně policisté tak odpojili
po muset připojení k síti nebo těm sem to vy tam
jenomže
vlastní toho server ubil měl monitorovací souhře nějaký systém venku a sledovali si popisem nežijou
a já to nás a mořina esemesku a byl velmi rychlý protože moje sem umřel
co se děje způso se přihlásit po síti to nevyšlo
tak se připojil na kafe jako a připoj při a přímo před těma policajtama na
monitoru viděli sevřela se na korun ta tu firmu pojede K V
takže měli před sebou otevřelo konzoly které do přihlášený dvouřadé čemuž toho neměl přístup ale
zůstal přihlášený a sice disky byly zašifrované to je ta pointa
protože kdyby policajti nebyly poučení odpoj neodnesli tak bitovou cajku ale disky byly šifrované vliv
tu dobu samozřejmě připojené a vím navíc ještě otevřel to konzoly nám tady že se
mu to měli možnosti takže sítě
takže ani to není uvolňovaná policajtů oni push nejsou takový ty stě vtip jako někteří
ano
ale ti ty počítačový ušatou velmi často N
jo
je tak
rozšifrovat případně tam velké tlačítko rozšifrovat
oranžové vpravo zhruba překonat ochranu třeba to je to bylo zde mališe medově moc tento
bankomaty some řeší data bylo překonat ochranu asi jo no ano do takže
takže
co ze jedna dva tři čtyři takové slovy sehnání a sukův
dobře tak
ano ještě
využili no ten čaj sto měl jako nějaké velké problémy
lze naměkko za pozornost a můžete si budeme musel to díky