The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Запираем Skype в клетку AppArmor (skype limit security apparmor linux)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: skype, limit, security, apparmor, linux,  (найти похожие документы)
From: Александр Клименко <olexandr.klymenko@gmail.com.> Newsgroups: email Date: Mon, 12 Oct 2008 17:02:14 +0000 (UTC) Subject: Запираем Skype в клетку AppArmor Материал написан на основе заметки http://6uestsblog.blogspot.com/2008/04/skype-apparmor.html которая в свою очередь основана на руководствах http://myy.helia.fi/%7Ekarte/skype_in_a_sandbox.html и http://help.ubuntu.com/community/AppArmor Из-за того что skype с файлом конфигурации с указанной выше статьи отказывался работать пришлось допиливать его самому. Последовав совету автора статьи выполняем в терминале комманду: sudo aa-genprof /usr/bin/skype После этого запускаем скайп, логинимся и совершаем тестовый звонок и выходим. В терминале нажимаем S, далее разрешаем или запрещаем доступ skype к файлам. В конце сохраняемся и выходим. В итоге, после некоторых доработок получился такой конфиг(/etc/apparmor.d/usr.bin.skype): # Last Modified: Mon Oct 6 14:50:54 2008 #include <tunables/global> /usr/bin/skype { #include <abstractions/base> #include <abstractions/nameservice> /proc/net/route r, /dev/snd/controlC0 rw, /dev/snd/pcmC0D0c mrw, /dev/snd/pcmC0D0p mrw, /dev/snd/pcmC0D1p mrw, /dev/snd/pcmC0D2c mrw, /dev/snd/timer r, /etc/fonts/** r, /home/*/.ICEauthority r, /home/*/.Skype/ krw, /home/*/.Skype/** krw, /home/*/.Xauthority r, /home/*/.config/Trolltech.conf kr, /home/*/.kde/share/config/kioslaverc r, /tmp/.ICE-unix/5862 w, /tmp/.X11-unix/X0 w, /usr/bin/skype mr, /usr/share/X11/XKeysymDB r, /usr/share/fonts/** mr, /usr/share/icons/** r, /usr/share/skype/lang/* mr, /usr/share/skype/sounds/* kr, /usr/share/skype/avatars/* kr, /var/cache/fontconfig/* mr, /var/lib/defoma/fontconfig.d/fonts.conf r, /usr/share/alsa/** kr, /usr/share/X11/XKeysymDB r, } Далее перезапускаем apparmor: sudo /etc/init.d/apparmor restart Активируем профиль для скайпа: sudo aa-enforce skype Все: skype должен работать и при попытке дотянуться шаловливыми рученками к конфиденциальным данным пользователя получает по оным. Проверялось на Ubuntu 8.04.1 и Skype 2.0.0.72

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
 
  • 1.1, Buy (?), 04:28, 09/11/2008 [ответить]    [к модератору]
  • +/
    Спасибо! Давно уже думал про то как ограничить Skype, правда сам за профили не брался. На Kubuntu 8.10 все работает нормально, правда насколько эффективно это не знаю. Говорят Skype хитер и если дают по рукам в одном месте, то он ищет другой способ.
    Хотя, не будем впадать в паранойю... :)
     
  • 1.2, User294 (ok), 06:55, 09/11/2008 [ответить]    [к модератору]
  • +/
    Ага, сначала надо создать себе проблемы (использованием скайпа) а потом с помпой их решить :)
     
  • 1.3, Buy (?), 01:55, 28/11/2008 [ответить]    [к модератору]
  • +/
    При таком конфиге у меня (на Kubuntu 8.10) Skype перестает видеть видеоустройства (не беда, ибо если в complain режиме и видит то изображения нет...) и не хочет принимать файлы (это хуже), но звонит хорошо! :)
     
  • 1.5, x0r (??), 20:37, 21/11/2010 [ответить]    [к модератору]
  • +/
    #include <abstractions/video>
    #include <abstractions/fonts>
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:




      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor