0:00:16dobrý je možné státě němec je to strašně moc nás to umístíte vítám zpět
0:00:25závěr a jo takže na pěti
0:00:32bez ta zpráva provede proto za tom není sporu zpráva
0:00:37takže je tady sraz na přednášky o prachy nebezpečnosti linuxový systém o můj kolega se
0:00:43nula
0:00:44dobrý dvojích moje minut rezervy za spolupracujeme
0:00:49jak je ctěná projekt je selinux
0:00:52tak tramvaje
0:00:53podstatě tato prd narážka agenta bude následovat na pojmy s něčeho bezpečnosti
0:01:00všeobecně potom si povíme rozdíl mezi baráky no a jak ty no bezpečnost tom jak
0:01:05je tam rozjel na server bude nějaký
0:01:09prý tak informace o čtvrt roku zaútočíme
0:01:12na náš na pět a to má dcera ne
0:01:14honzíku imidže ten selinux _e bude na hory to nějakých na jídlo hodně
0:01:20dík o
0:01:23a na konci si povíme něco nefungovalo toola je to jí vlastně položek a co
0:01:29vlastně selinux tam zase o krok dále
0:01:33takže další otázka kerý že bys alias tam bezpečno zápětí záznam a žena prostě
0:01:41deset a
0:01:42je něco
0:01:44je tato kecat a kecat tomto světě naklikat zprávách ale vona nějak tom
0:01:49ne jako možné běžnou port a praze to už
0:01:52zákon
0:01:52co kam známá věc
0:01:54takže člověk v noci kdo se možno pytel otázku že a ku prostě tyto chyby
0:01:59afektu konkrétně na
0:02:02bože zabijte prý demo svoje násobné táta anebo jestli myslíš ještě vašeho prípadě budu moje
0:02:09osobní let a ten jedinec dělané vedení na nějakou servery já udělám budu vidět prostě
0:02:15_m osobně fotky
0:02:16na dovolenky spjat celková a podobně ale odvozené podobné věci
0:02:22další a znalec můžeme bylo takový účet nebyla z účtu ukradnuté někdo bude moct platící
0:02:31na sebe na to malinký a honit životního účtu
0:02:34aha
0:02:36další teka trestat konkrétnější suše ti no já osobně jsem jedině naozaj
0:02:42nějak chráněj proti těmto útokům
0:02:45no naklonit su naozaj
0:02:49nové toho vypadne instituci naozaj nás jako very long
0:02:57_e
0:02:58o to dneska zlobí takže o ty aplikace pět to chybělo project for děti já
0:03:03ho prostě
0:03:08můžeme vidět betaverze tak ukazatel toto vývar a já základě suchý ví
0:03:16to znamená že tady podle nějaké zranitelnosti
0:03:20dobre ta žena teskáckom su a kusů jako jsou prováděny to bezpečnost nezranitelnosti
0:03:27aha kdo by chtěl sadě
0:03:30prasete
0:03:31a
0:03:33vůbec nebo pozdě
0:03:35reset
0:03:36a zejtra na hory data jo teda ty nebezpečnosti chtěli je tam nějaké okno ty
0:03:40zranitelnosti to znamená že
0:03:43vyřaditelností jiné kterej dělá se na z nsa to moc může být položena po použita
0:03:50divočině jak se to hory to znamená že děti na nějaký reálný server o
0:03:56a všecky naše server _e já ho prostě které obsahuje nějaký ten kotel i vy
0:04:01používáte sou zranitelný pro se stane potom pretty ty vývojáře já mě skoro to pixlu
0:04:08_e
0:04:09s plnou čáru konce release no nějaké nějaký bahnitý
0:04:13takže nějaký sposobom závazek ty server updatnu
0:04:18a
0:04:19a prostě ste chránit na ty na ty tady bude ta zajíc nás tam už
0:04:23není ale asi stále na to okno to nemůže být ale může být velmi dole
0:04:28no jasně pak systém na dva server potře stav do okna mění a ctěný tím
0:04:35tomu že to slova trestně stíhaný prostě stíhá kupuje ztrátový to jednoduchá
0:04:42použije to možný ti prý za vars chceme ta
0:04:47naší systém no
0:04:49naopak ta hra i na bezpečnost se stará o to aby to okno hloupý to
0:04:55znamená že našel snahou to svého
0:04:59martin nebezpečnosti je to aby už pět type zranitelnost ještě ženění o vás _e na
0:05:05aby ten váš systému nějak ochránil to jako je chráněný
0:05:09spalujeme
0:05:10za chvilku
0:05:12prosím vás jako já že máš na systém je chráněný voči vrchol toho sled com
0:05:16ho set com exportovat různých útok o
0:05:21ten selinux tady za prvé vzpomenu je to je jako vy nebude nějak výstupu co
0:05:27znamená to že ten tradiční linuxový
0:05:31bezpečnost myslíte o vezmi není to startující a tak granularita toho selinux jako baviči to
0:05:37snažím eště si nastavit owl v jazyce
0:05:40ať si tam dělo tady se tě ven
0:05:42věnovat
0:05:45to bere sype otázka která von je nějakej společnej i slajd takže
0:05:52nebyla divadle za řekla a provede něco je jistě
0:06:00a super
0:06:03já jsi to není dva další i tobě no to bylo vliv o to že
0:06:09vlastně světla a nadšení se dál zas tak vlastně pomoz to ví co mohl by
0:06:14jako že tě to s
0:06:15zase to sou u to
0:06:17druhý bez něco docker imidž estimation
0:06:20nebyla si pomoc osud a mohlo prostě
0:06:23co je přistupovat k moci ten assistent tak nesnášela věc
0:06:26no a v neposlední šel šlo to nemusel a budeme věnovat
0:06:31na obr eště tam jeden slajd takže ten nový slajd vlastně je někdo postaví já
0:06:38rád masný že v otázky na konci prezentaci dyba jak a tak a otázka že
0:06:43člověka se zakóduje
0:06:45tak aby se podíváte na to že to také zlé tam uložen různých používá
0:06:54takže na mi to nějakým je tím tam tak pojďme na to je to vidět
0:06:59dobré není to dobré
0:07:01to je náš
0:07:04taky
0:07:05takže porazit být našel šokoval je a jako fungoval vyhlazeno výkon a ještě prvním jako
0:07:17by se vypadá ten pravý to no comment tady jsme prý ta stojí jsme zadali
0:07:21bobeš a
0:07:23takže to jste použijeme mi
0:07:25modelová situace já na server a mohli by se vidělo se a servery je nebo
0:07:35fyzicky
0:07:41je asi nikdo to idiot a u je
0:07:47ložíme vývoj já nikoho mašin na ten na ten konkrétní port
0:07:55takže ten open
0:08:01takže vidíte to dobré
0:08:05takže _m tu frontu terminály jako zodpovědná začne určování na kurt je deset vypadá
0:08:14je lidi se ti lidi se divit
0:08:16očima
0:08:17na druhý straně terminál použijem
0:08:24ti
0:08:25to máme
0:08:28použijete i o že azimuth je ještě brzy protože je to i je asi
0:08:48pěti tříd
0:08:54já jsem narazil na dítě
0:08:56na něj a podobně
0:08:58a patentů of concept toch touto kohy
0:09:01takže na to spustí a co se stalo dostal jsou
0:09:05dostal stal terminál asi na
0:09:09na útočníkovi strany může si poznali ze ujednání
0:09:14a
0:09:15bejt je tam nějaký kontext i a hlasitě že užívá tě užívá těmi
0:09:22přitom
0:09:23proč komunista ne nepovedla líto že pozor vezme si že čína
0:09:29čína servery tom chtěl vidět tu
0:09:33tak a konstantami sem všeho ve celým zapnutý přijelo bezmocnost ne selinux zapnul takže já
0:09:39to spustím a je vidět že běžíme
0:09:42_e mysím no módě a trochu je těž město a podstatě je to ten selinux
0:09:48zanikne zapnutých to nejsou to vynucovat soustavě nepůjdou chybové do češtiny a slovenštiny takže straně
0:09:56transportní ste
0:09:58mým rozdělám zase ne selinux a tímto který to tady toto je toto vynucovat si
0:10:02ho dyž motorem prosím když
0:10:08no key
0:10:09po zemi sám je tam ten fax no
0:10:12takže
0:10:13znáte vy ste
0:10:18a
0:10:20urobím úplně to jistej nezlob je bri karty zabralo z historie ale si u mě
0:10:27by bojím se
0:10:29takže ty termíny a nebo že by jsem
0:10:33nič
0:10:34je to mrtvé
0:10:36takže tak asi věděli prakticky velmi pěkný lukášku
0:10:43teď chceme proč ne to rozšířil pozveme sem
0:10:47čísel inu smyčkové dal tom co se stalo takzvaný námi céčko
0:10:53jak je to stále dobré vědět
0:10:56vítěz post office trochu
0:11:03jak je vidět že je to je to je to je
0:11:12je jakýsi je jsi zjistit
0:11:19že a se audit auditem no a kdy něčí zápisem dobré nějaké otázky
0:11:27napadlo vás někam
0:11:36otec číslo
0:11:39letí za dismisses
0:11:45dobré no tak pojďme na to
0:11:53ten asi no dobře
0:12:01ale taková paka tam tohohle
0:12:06no
0:12:11to by mohla výchova ne
0:12:13takže hlasem děs jak u té dámy
0:12:20je to správně
0:12:23relates jasné
0:12:31okej
0:12:33dovedete požadavky správný umět je to
0:12:36co štyry tri
0:12:38ja čas ale chodit
0:12:44no nesuď že je to co
0:12:54takže to je sucho a svítí
0:12:57no mezi
0:12:59myslíte ta
0:13:02na konci bernolákovštin prostoje řezal penaltu a aha
0:13:08ale je to je to velmi jednoduché já po čase si to téma
0:13:13ukážem jednu nápovědu _e uváděla je to je to na povedla a uvidíme
0:13:20ono to zkusit
0:13:21tak a
0:13:25pokazil si rovni a navíc ani ne moc nezbyde
0:13:40no
0:13:41na konci toho
0:13:42takže náký
0:13:45a jak je známe to znamená že
0:13:49stačí se a ta si koleduje tě jo a o velmi zlé časy
0:13:58dobrá kroky
0:14:02pojďme se teraz pozreť co salát nedívá
0:14:05jo takže si
0:14:10že si jisti to ku
0:14:18o tobě ví co jako to je asi ne jako
0:14:31rozdělili o uživatelích je si když výklad a co se stalo
0:14:40chce kdy skript má povolení a více když s lidma povoleny vlastně případně i to
0:14:46webový jako ví co a jak to je
0:14:54že ti daň užila tělových uživatele by tam stěnu
0:14:58takže to jsou super stadion a bezpečnost na politika je ten se histignor to a
0:15:05pozoroval robiť něco jiné tom jsem se nazýváme bezpečnost na
0:15:11politika bezpečnost na politika spočívá v tom že si za děkujeme a ty si pravidla
0:15:17hry procesy a _e co toho můžeme tyto procesy na systém mezi sebou izolovat a
0:15:22_e i založených takže
0:15:25takže na ty tak procesy vlasy izolujeme to že a tím zdrojů plíst ubohé a
0:15:31je to zdroje jako zlomený můžou být
0:15:35proč bych adresáře soubory ja a různé jiné objekty a kromě takže uklidil limit je
0:15:41štítí
0:15:43a
0:15:45ten štít ano to je to stále hovorí vám já to teda život je pes
0:15:50jako
0:15:51nějaké žluté ale volal po zelené papírky telefon nalepí na volitelná flétničku až do kralup
0:15:58je taková včela tak upjaty sem zaboduje takže taky tak my se snažíme tyto štítky
0:16:02pilotovat na procesy a soubory vlastně systémem to sou to sou ty štítky
0:16:09takže poďme se teda na to podrž na podrobnější je na vině je to byli
0:16:15mladí druhou stranu že jo protože ta vrstva
0:16:23to znamená co budeme to sou vzpomněla vytvořit ten webové stránky a
0:16:30spolu zazněly žaneta listopadu o ty a se všemi von je defaultně zakázané to znamená
0:16:40že nadšení pravidlo
0:16:42nebo jestli tam ta interakci já selinux to selinux to zablokuje zaměřený s tím něco
0:16:49pí se ten nemožně zapisovaní uživatelem tam sám
0:16:52takže rychle nějaký technický kde krát
0:16:57neprohraje selinuxu _e a tradičně windsore bezpečností znamená pět a nějaké kryštofovi práva k nějakému
0:17:04souboru dvě máme uživatele skupinu a
0:17:07ostatní
0:17:09u to se ti sprška rozbil ospravedlnění se ale
0:17:13no tady je jedná o sobě no potěš chyba
0:17:25například a spouštět
0:17:28to není to se tu c a preto vlez linuxem máme čtyři tak je ta
0:17:32kategorie ti uživatelé rozděl to může linuxový že sem se něco odlišné to je teda
0:17:41pěkná
0:17:44je to z kategorie
0:17:49nás momentálně by zaujme díváte ten ty dojdi věku jo
0:17:59že
0:18:04a
0:18:06jak je jistý
0:18:15jasné pak by tam neznal do tý pitomý se používá vy ste jo ještě kategorie
0:18:23ano ale po používat role uživatel tak musí těsto
0:18:28data konfiguraci tam trošku vína a halasně mu fedora nikdo ani neví za to default
0:18:35nepoužíváme
0:18:37to vidíte vlastně ten rozdíl kriminality je asi tý linuxový křivkového dali ten se linuxový
0:18:44ten štít to
0:18:46znamená proces velmi na tom ne
0:18:50ono co bych a skupiny si píšeme procesy kde pojmy jsou menší typy by ani
0:18:54tělo jako uživatel a skupinu a pikantní na nás okomentuju
0:19:02selinux se to vyzerá tak to o zatím zase na to dělá a zase ten
0:19:09typ ktorý procházení tady zavolej slidy bydlí
0:19:11_e replaces http
0:19:15dělal vše důležitá věc
0:19:17asi
0:19:19každý na je probíhat ne
0:19:22tady si asi týmy je musel a takový potom aplikace do hry selinux
0:19:37takže to je etapy zhodnocení znamená že všetko vlasech to selinux ano tyhle plakáty bezpečnost
0:19:42nepolitické a to tu bezpečnostní politiku má tě na písemku
0:19:48tak u používat je rovna tom eště si tě můžu tě si to je ty
0:19:51bezpečnost nebyly politiky pí sepsaný teda vydaný šamanisto jestli to asi v já se další
0:19:57na ten na ten váš server ještě ty taky moc do takže poznáme nějaké jak
0:20:04vláda vám odvíjí skoro jako prý ten první den von si
0:20:07ve inflexním lodě je vlastně politika vynucována znamená že ať udělaný nějaký pravidlo selinux to
0:20:14zadkem na to zablokuje
0:20:16a hlaste
0:20:19stě ochráněn jako nic ho ani na druhou stranu je toupper myslím mimo edisona zapnutý
0:20:25na začátku na tom servery vlastně je to právě vás není vynucovat ne naopak služba
0:20:31zaznamenávána normované vydestilované můžeme viděj tě logo varoval audit andyho
0:20:38démone a vo co v jednoduchého prytanů zip je to vlastně
0:20:43a ty pravidla můžeme a věci pravidla záznamy možné
0:20:48zobrazit to svazek už open
0:20:51repre tím o tom jsem si vypnutý dále
0:20:54o tom o to nemusím sorry jako nakonec selinux zapnutý permanentně znamená že se o
0:21:02vy
0:21:03tady je enforcing módě
0:21:08takže to je za nebo jako
0:21:11zdravím takže ve zbytku přednášky si povíme něco o tom co vy sami můžete udělat
0:21:16pro zvýšení nejenom svojí bezpečnosti
0:21:19to bych vám představit nástroje pro analýzu bezpečnostních politik _m
0:21:24ten tom že máme fakt dost málo času tak ta první část která se zabývá
0:21:29tím že vlastně ten nástroj dokáže prohledá celou politiku a vyhledat kombinace pravidel které můžou
0:21:36povídat potenciálně nebezpečným akcím systému
0:21:41to je to je vlastně _e funkce metro můžete využít kdykoliv kdy bude to pro
0:21:47vás toto se levicovou politiku to znamená budete si přidávat nějaká pravidla nebo jenom nastavovat
0:21:53mlýny
0:21:54tak můžete kdykoliv pustit ten nástroj a podívat se jestli ta změna nemá nějaké negativní
0:22:00následky osmi to je všechno popsané na githubu takže to odpověď přeskočím
0:22:07každopádně další věc co ten nástroj umí je zobrazit část politiky která se týká
0:22:16tušíte služby
0:22:18a vlastně to může udělat kdokoliv z vás i když vůbec nerozumíte jen ceny předem
0:22:24podotýkám stačí vám to co to co vám do teďka doteď lukáš řekl
0:22:29na a
0:22:31a
0:22:33ještě budu potřebovat za jednu drobnost je asi linuxu těch politika používáme takzvaná ty boty
0:22:43to je takový mechanismus který nám dovolí seskupit několik typů dohromady a přidal potom práva
0:22:50všem těm typům zároveň
0:22:52takže tady máme příklad pcb služby která na tři démoni všichni tři potřebují přístup k
0:23:00tady těm datům co jsou popsané tebe dolem takže všem těm jsem nemám tři předělím
0:23:09atribut pece férovej
0:23:11a potom už budu psát jenom pravidla se petr doménu toho do těch do těch
0:23:16cílových typu
0:23:17ram hrozně zjednodušuje je zápis té politiky tak potom ty různý takže tam
0:23:25nemůžu
0:23:27hodně
0:23:29ukážu jak potom vypadá když část té politiky bych sportuju
0:23:38do nějakého nástroje
0:23:40_e
0:23:41tohlecto je tohlecto je to čas politiky která se týká keyboard deamona
0:23:51tam vlastně jde o ty dvě zelené tečky tady jaký botech ze chceš _e binárka
0:23:59do keyboard deamona a tady tomhle běží ten samotný proces
0:24:04vidíme že tomu grafu dominují docela tady ty atributy to vlastně ty oranžové tečky jsou
0:24:11atributy a
0:24:14oranžové hrany jsou přidělení atributu to znamená tady vidíme že ten keyboard démon má z
0:24:21většiny jenom přidělené nějaké atributy obecné které nebo to ta binárka které budou mít přidělena
0:24:28velká většina binárku jako třeba tady máme tady to budou mít všechny soubory na disku
0:24:33a třeba systémové služby díky tomu můžu pracovat se všemi najednou takže mě to teďka
0:24:40tuhle chvíli vůbec nebude zajímat takže tady je že
0:24:44že sou tady nějaká obecná pravidla která se týkají všech démonů mě bude zajímat moje
0:24:49služba třeba pokusem je správce nebo jenom i rozumím a
0:24:54chtěl bych vědět co je povoleno co zakázáno
0:24:58takže asi o to filtru všechny tyhle
0:25:01takhle velké atributy
0:25:03a
0:25:05těch si které takže spustitelný soubor
0:25:14a teďka už vám tu politiku výrazně zjednodušenou tady mám jenom typy které se týkají
0:25:20přímo toho keyboard deamona
0:25:23už si zobrazit
0:25:25přímo to je
0:25:27ty pravidla která způsob povolena
0:25:30se podíváme třeba
0:25:34a může tak za zpětně projít a podívat se
0:25:39budou mě zima vlastně dvě podstatné věci za prvé pokud jsou tam pravidla která ten
0:25:45démon některé ten démon nepotřebuje a ta se tam dostala takže třeba přijde potřeboval mě
0:25:52jaksi vyvinula prostě vše nepotřebuje
0:25:55takže ty tam rozhodně nechceme protože případě úspěšného spolu je tu by mělo by měl
0:26:02útočník víc práskneš nevíš nutně potřebuje
0:26:07když se bere chceme zbavit a potom pokud tam chybí nějaká práva která ten nemám
0:26:12potřebuje k úspěšnému běhu
0:26:16takže
0:26:20takže to by byl rád kdyby zvlášť pokud někdo z vás spravuje nějakou službu nebo
0:26:25vyložení jenom rozumíte pak se podívat na nej politiku plující a dát nám vědět pokud
0:26:32je něco špatně
0:26:36_e doufám že nemám s lukášem aspoň trochu _m vysvětlili proč není úplně nejlepší nápad
0:26:44vypínat selinux a vám že aspoň někteří z vás o zkusí spusťte nebo nechat běžet
0:26:51a vy ste měli jakékoli dotazy tak nás můžete kontaktovat na těch to mailem
0:26:57a teď samozřejmě můžete mít otázky
0:27:04no tak to jsi dvacet jste to vlastně
0:27:12světě
0:27:16dotazy
0:27:20pak se vyhnuli
0:27:22přesně
0:27:24tak body za nás