Для защиты от потенциального доступа закрытого приложения Skype к данным других программ можно организовать выполнение Skype в изолированном окружении.Создаём профиль Apparmor на основе тестового запуска приложения:
sudo genprof /usr/bin/skype
После этого будет создан профиль для сбора информации о работе приложения. В другой консоли запускаем Skype, делаем тестовый вызов и выходим из Skype.
Повторно запускаем:
sudo genprof /usr/bin/skype
и инициируем сканирование накопленных событий, выбрав "S". В процессе вывода результатов выбираем что можно процессу, а что нет. В завершении жмём "S" для сохранения профиля и "F" для выхода.
Профиль будет создан в файле /etc/apparmor.d/usr.bin.skype
Если нет желания разбираться с составлением правил вручную можно использовать готовый профиль:#include <tunables/global>
/usr/bin/skype {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/nameservice>
#include <abstractions/nvidia>
/etc/gai.conf r,
/home/*/.ICEauthority r,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/* kr,
/home/*/.kde/share/config/kioslaverc r,
/proc/*/cmdline r,
/tmp/.ICE-unix/* w,
/tmp/.X11-unix/* w,
/usr/bin/skype mr,
/usr/share/X11/* r,
/usr/share/icons/** r,
/usr/share/skype/** kr,
}Перезапускаем AppArmor:
sudo /etc/init.d/apparmor restart
Активируем работу Skype в sandbox-окружении Apparmor:
sudo aa-enforce skype
Проверяем результат:
sudo sudo apparmor_status
URL: http://terokarvinen.com/skype_in_a_sandbox.html
Обсуждается: http://www.opennet.me/tips/info/2778.shtml
#include <abstractions/nvidia>- я так понел для инвидии ?
так что не совсем у меня заработает..
придется таки разбираться :((
Для Skype 4.3.0.37 рабочий профайл
# Last Modified: Sat Nov 15 10:52:21 2014
#include <tunables/global>/usr/bin/skype {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/nameservice>deny /home/*/.mozilla/** r,
/dev/ r,
/etc/gai.conf r,
/etc/xdg/Trolltech.conf rk,
/etc/xdg/sni-qt.conf rk,
/home/*/.ICEauthority r,
/home/*/.Skype/ r,
/home/*/.Skype/** rwk,
/home/*/.Xauthority r,
/home/*/.cache/** r,
/home/*/.config/* rk,
/home/*/.config/Skype/Skype.conf rwk,
/home/*/.config/Trolltech.conf rwk,
/home/*/.kde/share/config/kioslaverc r,
/home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r,
/proc/*/cmdline r,
/proc/*/net/arp r,
/proc/sys/kernel/osrelease r,
/proc/sys/kernel/ostype r,
/sys/class/power_supply/ r,
/sys/devices/system/cpu/ r,
/sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq r,
/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq r,
/tmp/** rwk,
/usr/bin/skype mr,
/usr/share/X11/* r,
/usr/share/icons/** rk,
/usr/share/skype/** rk,
/var/lib/dbus/machine-id r,
/{run,dev}/shm/pulse-shm* rwk,}
/home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r,А, черт! Забыл же удалить...
/home/*/.config/* kr,
/proc/*/cmdline r,
Не слишком ли? Если уж пытаться запихать его в песочницу? В ~/.config/* сохранённых паролей наверняка много, насчёт cmdline шансов меньше, но иногда и оттуда можно что-нибудь интересное получить...
Запускаю скайп из-под чрута и всегда так делаю!
Дай рецепт, как создавать окружение и в какой среде.
Другим пригодится.
Я уж не помню деталей, может быть, потому, что ничего особенного в этом не было: развернул обыкновенный чрут и установил туда пакет со скайпом.
Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте развернул какую-то версию убунты.
> Я уж не помню деталей, может быть, потому, что ничего особенного в
> этом не было: развернул обыкновенный чрут и установил туда пакет со
> скайпом.
> Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте
> развернул какую-то версию убунты.А, ну да: сам чрут разворачивал debootstrap'ом.
+1 к способу, как к наименее проблемному при обновлении Скайпа.
Да, есть 1% надежда что релизы ещё будут..
Решил включить этот совет, нажал на "Мастер добавления нового профиля". Только ввёл /usr/bin/skype, как система мне сказала, чот такой профиль есть! При этом выдала информацию:# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624Спасибо, Андрей!
Не работает. Skype 2.2.0.25, ошибка:$ skype
process 29206: D-Bus library appears to be incorrectly set up; failed to read machine uuid: Failed to open "/var/lib/dbus/machine-id": Отказано в доступе
See the manual page for dbus-uuidgen to correct this issue.
D-Bus not built with -rdynamic so unable to print a backtrace
Аварийный останов
$Конфиг дистрибутивный:
# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624
#include <tunables/global>
/usr/bin/skype flags=(complain) {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/freedesktop.org>
#include <abstractions/kde>
#include <abstractions/nameservice>
#include <abstractions/nvidia>
#include <abstractions/user-tmp>
#include <abstractions/X># are these needed?
/proc/*/cmdline r,
/dev/video* mrw,
/var/cache/libx11/compose/* r,# should this be in a separate KDE abstraction?
@{HOME}/.kde/share/config/kioslaverc r,/usr/bin/skype mr,
/usr/share/skype/** kr,
/usr/share/skype/sounds/*.wav kr,@{HOME}/.Skype/ rw,
@{HOME}/.Skype/** krw,
@{HOME}/.config/* kr,@{HOME}/.mozilla/ r,
@{HOME}/.mozilla/*/ r,
@{HOME}/.mozilla/*/*/ r,
@{HOME}/.mozilla/*/*/bookmarkbackups/ r,
@{HOME}/.mozilla/*/*/chrome/ r,
@{HOME}/.mozilla/*/*/extensions/ r,
@{HOME}/.mozilla/*/*/prefs.js r,
}
> Для защиты от потенциального доступа закрытого приложения Skype к данным других
> А что, есть прецеденты? Параноей пахнет.прецендентов полно, читайте новости ...
Во времена ubuntu 9.10 я трейсил скайп, так вот он зачем-то читал файлы в ~/.mozilla Может, proxy искал, а может и нет...В любом случае вся эта тема с apparmor хоть и не дает доступ к файлам, никак не защищает от перехвата видео (а возможно, и нажатий) прямо с экрана. В X-сервере нет изоляции между окнами.
> В X-сервере нет изоляции между окнами.Эта проблема полноценно решена только в Qubes, и Рутковска на эту тему писала.
Впрочем, как мини-костыль можно локировать устройства ввода X'ов в окно, в котором вводишь пароли, хотя от screen grabbing'а это не спасает.
А если skype запускать от отдельного пользователя в Xvnc сервере или через FreeNX?
> /home/*/.config/* kr,
> @{HOME}/.mozilla/*/ r,:(
Альтернативы AppArmor есть?
SElinux например
>> /home/*/.config/* kr,
>> @{HOME}/.mozilla/*/ r,
> :(
> Альтернативы AppArmor есть?На мой взгляд проще соскочить со скайпа вообще.
Я перешел на google hangouts. Лучше уж переходить на нормальный сервис чем париться с защитой от программы которую ты сам себе скачал и запустил. Это тоже самое что пытаться заигрывать с троянским конем запуская его в виртуальной машине.
Гугл, оправдываясь тем, что ему нужно знать все интересы пользователя, для того, чтобы впиндюрить правильную рекламу, безбожно читает всю Вашу переписку. Лично мне это не нравится. Я бы вот даже платил им денюжку, лишь бы знал, что никто мою конфиденциальную информацию читать не будет.
Но, увы.
Только шифрование может вам помочь. Любая компания хочет работать с максимально большой аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных органов и спецслужб. Даже если вы развернёте свой почтовый сервис на базе VPS c Round Cube в качестве морды - всё равно спецслужбы в любой момент смогут читать ваши письма. Просто потому, что доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а по факту предоставит даже без ордера - сорится с силовиками себе дороже). Скрыть свой круг общения в таких условиях вообще не реально.
> Только шифрование может вам помочь. Любая компания хочет работать с максимально большой
> аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных
> органов и спецслужб. Даже если вы развернёте свой почтовый сервис на
> базе VPS c Round Cube в качестве морды - всё равно
> спецслужбы в любой момент смогут читать ваши письма. Просто потому, что
> доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а
> по факту предоставит даже без ордера - сорится с силовиками себе
> дороже). Скрыть свой круг общения в таких условиях вообще не реально.Достаточно просто общаться в реальном мире, не вынося своих связей на всеобщее обозрение в инет. Принцип Стрейзанд.
Не переживайте, скайп не пистит ваши фотке,
скайп слвает всю переписку спец. слубам.Apparrmor/chroot/lxc/... - пердёж в лужу.
---
Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.
> Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.+1
Нагородили, понимаешь, арморов. Запуск под другим пользователям - проверено годами....правда, в случае скайпа он может захотеть dbus к текущей пользовательской сессии зачем-нибудь..
хер ему, а не dbus. Без дбаса работает, проверенно. Тормозит только при старте.
В ubuntu 12.04 не работает толком. Нужно ещё pulseaudio разрешать (что чревато тем, что в следующий раз когда в ubuntu что-нибудь навернётся будете виноваты вы, как ССЗБ)
C этим профилем apparmor новый скайп уже так просто не заработает, я пытаплся. Хитрожопая штуковина. Вышел из положения, запустив skype от another user, и на этом успокоился. Оптимально. По моему, чужой бесправный профиль - что может быть надежнее? Вот так делал, взгляните http://masterpro.ws/forum/28-bezopasnost/4713-skype-from-ano...
можно тупо с ливеСД его запускать )
Да можно вообще не запускать. Пусть АНБшники поволнуются.
Ламанули протокол скайпа, наконец-то. Есть теперь надежда, что появятся сторонние клиенты/плугины.
Пожалуйста, абсолютно рабочий профиль apparmor для последней версии скайпа под линукс. Заткнуто все: http://masterpro.ws/forum/28-bezopasnost/4763-skype-i-apparmor