Ключевые слова:skype, limit, security, apparmor, linux, (найти похожие документы)
From: Александр Клименко <olexandr.klymenko@gmail.com.>
Newsgroups: email
Date: Mon, 12 Oct 2008 17:02:14 +0000 (UTC)
Subject: Запираем Skype в клетку AppArmor
Материал написан на основе заметки http://6uestsblog.blogspot.com/2008/04/skype-apparmor.html
которая в свою очередь основана на руководствах http://myy.helia.fi/%7Ekarte/skype_in_a_sandbox.html
и http://help.ubuntu.com/community/AppArmor
Из-за того что skype с файлом конфигурации с указанной выше статьи отказывался
работать пришлось допиливать его самому.
Последовав совету автора статьи выполняем в терминале комманду:
sudo aa-genprof /usr/bin/skype
После этого запускаем скайп, логинимся и совершаем тестовый звонок и выходим.
В терминале нажимаем S, далее разрешаем или запрещаем доступ skype к файлам.
В конце сохраняемся и выходим.
В итоге, после некоторых доработок получился такой конфиг(/etc/apparmor.d/usr.bin.skype):
# Last Modified: Mon Oct 6 14:50:54 2008
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/base>
#include <abstractions/nameservice>
/proc/net/route r,
/dev/snd/controlC0 rw,
/dev/snd/pcmC0D0c mrw,
/dev/snd/pcmC0D0p mrw,
/dev/snd/pcmC0D1p mrw,
/dev/snd/pcmC0D2c mrw,
/dev/snd/timer r,
/etc/fonts/** r,
/home/*/.ICEauthority r,
/home/*/.Skype/ krw,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/Trolltech.conf kr,
/home/*/.kde/share/config/kioslaverc r,
/tmp/.ICE-unix/5862 w,
/tmp/.X11-unix/X0 w,
/usr/bin/skype mr,
/usr/share/X11/XKeysymDB r,
/usr/share/fonts/** mr,
/usr/share/icons/** r,
/usr/share/skype/lang/* mr,
/usr/share/skype/sounds/* kr,
/usr/share/skype/avatars/* kr,
/var/cache/fontconfig/* mr,
/var/lib/defoma/fontconfig.d/fonts.conf r,
/usr/share/alsa/** kr,
/usr/share/X11/XKeysymDB r,
}
Далее перезапускаем apparmor:
sudo /etc/init.d/apparmor restart
Активируем профиль для скайпа:
sudo aa-enforce skype
Все: skype должен работать и при попытке дотянуться шаловливыми
рученками к конфиденциальным данным пользователя получает по оным.
Проверялось на Ubuntu 8.04.1 и Skype 2.0.0.72
Спасибо! Давно уже думал про то как ограничить Skype, правда сам за профили не брался. На Kubuntu 8.10 все работает нормально, правда насколько эффективно это не знаю. Говорят Skype хитер и если дают по рукам в одном месте, то он ищет другой способ.
Хотя, не будем впадать в паранойю... :)
При таком конфиге у меня (на Kubuntu 8.10) Skype перестает видеть видеоустройства (не беда, ибо если в complain режиме и видит то изображения нет...) и не хочет принимать файлы (это хуже), но звонит хорошо! :)
