Ключевые слова:skype, limit, security, apparmor, linux, (найти похожие документы)
From: Александр Клименко <olexandr.klymenko@gmail.com.>
Newsgroups: email
Date: Mon, 12 Oct 2008 17:02:14 +0000 (UTC)
Subject: Запираем Skype в клетку AppArmor
Материал написан на основе заметки http://6uestsblog.blogspot.com/2008/04/skype-apparmor.html
которая в свою очередь основана на руководствах http://myy.helia.fi/%7Ekarte/skype_in_a_sandbox.html
и http://help.ubuntu.com/community/AppArmor
Из-за того что skype с файлом конфигурации с указанной выше статьи отказывался
работать пришлось допиливать его самому.
Последовав совету автора статьи выполняем в терминале комманду:
sudo aa-genprof /usr/bin/skype
После этого запускаем скайп, логинимся и совершаем тестовый звонок и выходим.
В терминале нажимаем S, далее разрешаем или запрещаем доступ skype к файлам.
В конце сохраняемся и выходим.
В итоге, после некоторых доработок получился такой конфиг(/etc/apparmor.d/usr.bin.skype):
# Last Modified: Mon Oct 6 14:50:54 2008
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/base>
#include <abstractions/nameservice>
/proc/net/route r,
/dev/snd/controlC0 rw,
/dev/snd/pcmC0D0c mrw,
/dev/snd/pcmC0D0p mrw,
/dev/snd/pcmC0D1p mrw,
/dev/snd/pcmC0D2c mrw,
/dev/snd/timer r,
/etc/fonts/** r,
/home/*/.ICEauthority r,
/home/*/.Skype/ krw,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/Trolltech.conf kr,
/home/*/.kde/share/config/kioslaverc r,
/tmp/.ICE-unix/5862 w,
/tmp/.X11-unix/X0 w,
/usr/bin/skype mr,
/usr/share/X11/XKeysymDB r,
/usr/share/fonts/** mr,
/usr/share/icons/** r,
/usr/share/skype/lang/* mr,
/usr/share/skype/sounds/* kr,
/usr/share/skype/avatars/* kr,
/var/cache/fontconfig/* mr,
/var/lib/defoma/fontconfig.d/fonts.conf r,
/usr/share/alsa/** kr,
/usr/share/X11/XKeysymDB r,
}
Далее перезапускаем apparmor:
sudo /etc/init.d/apparmor restart
Активируем профиль для скайпа:
sudo aa-enforce skype
Все: skype должен работать и при попытке дотянуться шаловливыми
рученками к конфиденциальным данным пользователя получает по оным.
Проверялось на Ubuntu 8.04.1 и Skype 2.0.0.72
Спасибо! Давно уже думал про то как ограничить Skype, правда сам за профили не брался. На Kubuntu 8.10 все работает нормально, правда насколько эффективно это не знаю. Говорят Skype хитер и если дают по рукам в одном месте, то он ищет другой способ.
Хотя, не будем впадать в паранойю... :)
При таком конфиге у меня (на Kubuntu 8.10) Skype перестает видеть видеоустройства (не беда, ибо если в complain режиме и видит то изображения нет...) и не хочет принимать файлы (это хуже), но звонит хорошо! :)
Началась подписка на журнал Linux Format на 2010 год.
Спешите оформить подписку на единственный в России ежемесячный журнал о Linux!
Все, оформившие подписку на печатную версию журнала, получают диск с архивом журнала Linux Format за
2005-2009г. в подарок. Также в подарок вы получаете именную электронную версию в формате PDF.
Теперь вы можете приступить к чтению журнала сразу в момент выхода свежего номера, не дожидаясь,
пока вам доставят бумажную версию.
Кроме того, все, оформившие подписку на первую половину или весь 2010 год в
интернет-магазине ГНУ/Линуксцентра, автоматически становятся участниками розыгрыша ценных призов:
