Запираем Skype в клетку AppArmor
- 06.11.09, 14:28
Материал написан на основе заметки http://6uestsblog.blogspot.com/2008/04/skype-apparmor.html
которая в свою очередь основана на руководствах http://myy.helia.fi/%7Ekarte/skype_in_a_sandbox.html
и http://help.ubuntu.com/community/AppArmor
Из-за того что skype с файлом конфигурации с указанной выше статьи отказывался
работать пришлось допиливать его самому.
Последовав совету автора статьи выполняем в терминале комманду:
sudo aa-genprof /usr/bin/skype
После этого запускаем скайп, логинимся и совершаем тестовый звонок и выходим.
В терминале нажимаем S, далее разрешаем или запрещаем доступ skype к файлам.
В конце сохраняемся и выходим.
В итоге, после некоторых доработок получился такой конфиг(/etc/apparmor.d/usr.bin.skype):
# Last Modified: Mon Oct 6 14:50:54 2008
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/base>
#include <abstractions/nameservice>
/proc/net/route r,
/dev/snd/controlC0 rw,
/dev/snd/pcmC0D0c mrw,
/dev/snd/pcmC0D0p mrw,
/dev/snd/pcmC0D1p mrw,
/dev/snd/pcmC0D2c mrw,
/dev/snd/timer r,
/etc/fonts/** r,
/home/*/.ICEauthority r,
/home/*/.Skype/ krw,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/Trolltech.conf kr,
/home/*/.kde/share/config/kioslaverc r,
/tmp/.ICE-unix/5862 w,
/tmp/.X11-unix/X0 w,
/usr/bin/skype mr,
/usr/share/X11/XKeysymDB r,
/usr/share/fonts/** mr,
/usr/share/icons/** r,
/usr/share/skype/lang/* mr,
/usr/share/skype/sounds/* kr,
/usr/share/skype/avatars/* kr,
/var/cache/fontconfig/* mr,
/var/lib/defoma/fontconfig.d/fonts.conf r,
/usr/share/alsa/** kr,
/usr/share/X11/XKeysymDB r,
}
Далее перезапускаем apparmor:
sudo /etc/init.d/apparmor restart
Активируем профиль для скайпа:
sudo aa-enforce skype
Все: skype должен работать и при попытке дотянуться шаловливыми
рученками к конфиденциальным данным пользователя получает по оным.
Проверялось на Ubuntu 8.04.1 и Skype 2.0.0.72
которая в свою очередь основана на руководствах http://myy.helia.fi/%7Ekarte/skype_in_a_sandbox.html
и http://help.ubuntu.com/community/AppArmor
Из-за того что skype с файлом конфигурации с указанной выше статьи отказывался
работать пришлось допиливать его самому.
Последовав совету автора статьи выполняем в терминале комманду:
sudo aa-genprof /usr/bin/skype
После этого запускаем скайп, логинимся и совершаем тестовый звонок и выходим.
В терминале нажимаем S, далее разрешаем или запрещаем доступ skype к файлам.
В конце сохраняемся и выходим.
В итоге, после некоторых доработок получился такой конфиг(/etc/apparmor.d/usr.bin.skype):
# Last Modified: Mon Oct 6 14:50:54 2008
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/base>
#include <abstractions/nameservice>
/proc/net/route r,
/dev/snd/controlC0 rw,
/dev/snd/pcmC0D0c mrw,
/dev/snd/pcmC0D0p mrw,
/dev/snd/pcmC0D1p mrw,
/dev/snd/pcmC0D2c mrw,
/dev/snd/timer r,
/etc/fonts/** r,
/home/*/.ICEauthority r,
/home/*/.Skype/ krw,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/Trolltech.conf kr,
/home/*/.kde/share/config/kioslaverc r,
/tmp/.ICE-unix/5862 w,
/tmp/.X11-unix/X0 w,
/usr/bin/skype mr,
/usr/share/X11/XKeysymDB r,
/usr/share/fonts/** mr,
/usr/share/icons/** r,
/usr/share/skype/lang/* mr,
/usr/share/skype/sounds/* kr,
/usr/share/skype/avatars/* kr,
/var/cache/fontconfig/* mr,
/var/lib/defoma/fontconfig.d/fonts.conf r,
/usr/share/alsa/** kr,
/usr/share/X11/XKeysymDB r,
}
Далее перезапускаем apparmor:
sudo /etc/init.d/apparmor restart
Активируем профиль для скайпа:
sudo aa-enforce skype
Все: skype должен работать и при попытке дотянуться шаловливыми
рученками к конфиденциальным данным пользователя получает по оным.
Проверялось на Ubuntu 8.04.1 и Skype 2.0.0.72
0
Коментарі