The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Запуск Skype в изолированном окружении Apparmor
Для защиты от потенциального доступа закрытого приложения Skype к данным других
программ можно организовать выполнение Skype в изолированном окружении.

Создаём профиль Apparmor на основе тестового запуска приложения:

   sudo genprof /usr/bin/skype

После этого будет создан профиль для  сбора информации о работе приложения. В
другой консоли запускаем Skype, делаем тестовый вызов и выходим из Skype.

Повторно запускаем:

   sudo genprof /usr/bin/skype

и инициируем сканирование накопленных событий, выбрав "S". В процессе вывода
результатов выбираем что можно процессу, а что нет. В завершении жмём "S" для
сохранения профиля и "F" для выхода.

Профиль будет создан в файле /etc/apparmor.d/usr.bin.skype
Если нет желания разбираться с составлением правил вручную можно использовать готовый профиль:

   #include <tunables/global>
   /usr/bin/skype {
      #include <abstractions/audio>
      #include <abstractions/base>
      #include <abstractions/fonts>
      #include <abstractions/nameservice>
      #include <abstractions/nvidia>
      /etc/gai.conf r,
      /home/*/.ICEauthority r,
      /home/*/.Skype/** krw,
      /home/*/.Xauthority r,
      /home/*/.config/* kr,
      /home/*/.kde/share/config/kioslaverc r,
      /proc/*/cmdline r,
      /tmp/.ICE-unix/* w,
      /tmp/.X11-unix/* w,
      /usr/bin/skype mr,
      /usr/share/X11/* r,
      /usr/share/icons/** r,
      /usr/share/skype/** kr,
    }

Перезапускаем AppArmor:

   sudo /etc/init.d/apparmor restart

Активируем работу Skype в sandbox-окружении Apparmor:

   sudo aa-enforce skype

Проверяем результат:

 sudo sudo apparmor_status
 
18.08.2013 , Источник: http://terokarvinen.com/skype_in_a_...
Ключи: skype, sandbox, apparmor, ubuntu, limit, privacy / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Помещение программ в chroot

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, AS (??), 14:14, 19/08/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    #include <abstractions/nvidia>

    - я так понел для инвидии ?

    так что не совсем у меня заработает..
    придется таки разбираться :((

     
     
  • 2.31, Аноним (-), 11:41, 15/11/2014 [^] [ответить]     [к модератору]
  • +2 +/
    Для b Skype 4 3 0 37 b рабочий профайл code Last Modified Sat Nov 15 10 ... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (-), 11:47, 15/11/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    [code] /home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r, [/code]

    А, черт! Забыл же удалить...

     
  • 1.2, Avari (?), 16:05, 19/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
          /home/*/.config/* kr,
          /proc/*/cmdline r,
    Не слишком ли? Если уж пытаться запихать его в песочницу? В ~/.config/* сохранённых паролей наверняка много, насчёт cmdline шансов меньше, но иногда и оттуда можно что-нибудь интересное получить...
     
  • 1.3, Аноним (-), 16:19, 19/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Запускаю скайп из-под чрута и всегда так делаю!
     
     
  • 2.4, Аноним (-), 19:30, 19/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Дай рецепт, как создавать окружение и в какой среде.
    Другим пригодится.
     
     
  • 3.5, Аноним (-), 21:23, 19/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Я уж не помню деталей, может быть, потому, что ничего особенного в этом не было ... весь текст скрыт [показать]
     
     
  • 4.6, Аноним (-), 21:24, 19/08/2013 [^] [ответить]     [к модератору]  
  • +/
    А, ну да сам чрут разворачивал debootstrap ом ... весь текст скрыт [показать]
     
     
  • 5.8, Аноним (-), 11:54, 21/08/2013 [^] [ответить]    [к модератору]  
  • +/
    +1 к способу, как к наименее проблемному при обновлении Скайпа.
     
     
  • 6.10, Аноним (-), 11:55, 21/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Да, есть 1% надежда что релизы ещё будут..
     
  • 1.7, Zenitur (ok), 15:00, 20/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Решил включить этот совет, нажал на "Мастер добавления нового профиля". Только ввёл /usr/bin/skype, как система мне сказала, чот такой профиль есть! При этом выдала информацию:

    # Last Modified: Mon Oct 26 13:29:13 2009
    # REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
    # Additional profiling based on work by Андрей Калинин, LP: #226624

    Спасибо, Андрей!

     
     
  • 2.9, Zenitur (ok), 11:55, 21/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Не работает Skype 2 2 0 25, ошибка skype process 29206 D-Bus library appear... весь текст скрыт [показать]
     
  • 2.14, bbz (?), 20:02, 21/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Для защиты от потенциального доступа закрытого приложения Skype к данным других
    > А что, есть прецеденты? Параноей пахнет.

    прецендентов полно, читайте новости ...

     
  • 2.17, crypt (??), 11:20, 22/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Во времена ubuntu 9.10 я трейсил скайп, так вот он зачем-то читал файлы в ~/.mozilla Может, proxy искал, а может и нет...

    В любом случае вся эта тема с apparmor хоть и не дает доступ к файлам, никак не защищает от перехвата видео (а возможно, и нажатий) прямо с экрана. В X-сервере нет изоляции между окнами.


     
     
  • 3.23, Andrew Kolchoogin (ok), 10:54, 31/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > В X-сервере нет изоляции между окнами.

    Эта проблема полноценно решена только в Qubes, и Рутковска на эту тему писала.

    Впрочем, как мини-костыль можно локировать устройства ввода X'ов в окно, в котором вводишь пароли, хотя от screen grabbing'а это не спасает.

     
     
  • 4.29, Аноним (-), 09:04, 05/11/2013 [^] [ответить]    [к модератору]  
  • +/
    А если skype запускать от отдельного пользователя в Xvnc сервере или через FreeNX?
     
  • 1.12, user_name (?), 16:53, 21/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > /home/*/.config/* kr,
    > @{HOME}/.mozilla/*/ r,

    :(
    Альтернативы AppArmor есть?

     
     
  • 2.13, bbz (?), 20:01, 21/08/2013 [^] [ответить]    [к модератору]  
  • +/
    SElinux например
     
  • 2.22, коекто (?), 10:23, 29/08/2013 [^] [ответить]    [к модератору]  
  • +/
    >> /home/*/.config/* kr,
    >> @{HOME}/.mozilla/*/ r,
    > :(
    > Альтернативы AppArmor есть?

    На мой взгляд проще соскочить со скайпа вообще.
    Я перешел на google hangouts. Лучше уж переходить на нормальный сервис чем париться с защитой от программы которую ты сам себе скачал и запустил. Это тоже самое что пытаться заигрывать с троянским конем запуская его в виртуальной машине.

     
     
  • 3.24, leon55 (ok), 07:46, 10/09/2013 [^] [ответить]    [к модератору]  
  • +/
    Гугл, оправдываясь тем, что ему нужно знать все интересы пользователя, для того, чтобы впиндюрить правильную рекламу, безбожно читает всю Вашу переписку. Лично мне это не нравится. Я бы вот даже платил им денюжку, лишь бы знал, что никто мою конфиденциальную информацию читать не будет.
    Но, увы.
     
     
  • 4.26, lucentcode (ok), 11:16, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Только шифрование может вам помочь. Любая компания хочет работать с максимально большой аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных органов и спецслужб. Даже если вы развернёте свой почтовый сервис на базе VPS c Round Cube в качестве морды - всё равно спецслужбы в любой момент смогут читать ваши письма. Просто потому, что доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а по факту предоставит даже без ордера - сорится с силовиками себе дороже). Скрыть свой круг общения в таких условиях вообще не реально.
     
     
  • 5.27, Аноним (-), 20:09, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Достаточно просто общаться в реальном мире, не вынося своих связей на всеобщее о... весь текст скрыт [показать]
     
  • 1.15, pavlinux (ok), 04:22, 22/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не переживайте, скайп не пистит ваши фотке,
    скайп слвает всю переписку спец. слубам.

    Apparrmor/chroot/lxc/... - пердёж в лужу.

    ---
    Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.

     
     
  • 2.18, Stax (ok), 19:35, 22/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.

    +1
    Нагородили, понимаешь, арморов. Запуск под другим пользователям - проверено годами.

    ...правда, в случае скайпа он может захотеть dbus к текущей пользовательской сессии зачем-нибудь..

     
     
  • 3.21, pavlinux (ok), 23:57, 25/08/2013 [^] [ответить]    [к модератору]  
  • +/
    хер ему, а не dbus. Без дбаса работает, проверенно. Тормозит только при старте.
     
     
  • 4.25, vsespb (ok), 16:48, 09/10/2013 [^] [ответить]    [к модератору]  
  • +/
    В ubuntu 12.04 не работает толком. Нужно ещё pulseaudio разрешать (что чревато тем, что в следующий раз когда в ubuntu что-нибудь навернётся будете виноваты вы, как ССЗБ)
     
     
  • 5.33, Boris (??), 00:40, 18/01/2015 [^] [ответить]    [к модератору]  
  • +/
    C этим профилем apparmor новый скайп уже так просто не заработает, я пытаплся. Хитрожопая штуковина. Вышел из положения, запустив skype от another user, и на этом успокоился. Оптимально. По моему, чужой бесправный профиль -  что может быть надежнее? Вот так делал, взгляните http://masterpro.ws/forum/28-bezopasnost/4713-skype-from-another-user#7229
     
  • 1.19, nur (?), 14:17, 23/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    можно тупо с ливеСД его запускать )
     
     
  • 2.20, Анонимчег (?), 17:19, 23/08/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Да можно вообще не запускать. Пусть АНБшники поволнуются.
     
  • 1.28, samsungnah (?), 08:02, 28/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ламанули протокол скайпа, наконец-то. Есть теперь надежда, что появятся сторонние клиенты/плугины.
     
  • 1.34, aleksej (?), 03:49, 27/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пожалуйста, абсолютно рабочий профиль apparmor для последней версии скайпа под линукс. Заткнуто все: http://masterpro.ws/forum/28-bezopasnost/4763-skype-i-apparmor
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor