| 1.1, AS (??), 14:14, 19/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
#include <abstractions/nvidia>
- я так понел для инвидии ?
так что не совсем у меня заработает..
придется таки разбираться :((
| | |
| |
| 2.31, Аноним (-), 11:41, 15/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Для Skype 4.3.0.37 рабочий профайл
# Last Modified: Sat Nov 15 10:52:21 2014
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/nameservice>
deny /home/*/.mozilla/** r,
/dev/ r,
/etc/gai.conf r,
/etc/xdg/Trolltech.conf rk,
/etc/xdg/sni-qt.conf rk,
/home/*/.ICEauthority r,
/home/*/.Skype/ r,
/home/*/.Skype/** rwk,
/home/*/.Xauthority r,
/home/*/.cache/** r,
/home/*/.config/* rk,
/home/*/.config/Skype/Skype.conf rwk,
/home/*/.config/Trolltech.conf rwk,
/home/*/.kde/share/config/kioslaverc r,
/home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r,
/proc/*/cmdline r,
/proc/*/net/arp r,
/proc/sys/kernel/osrelease r,
/proc/sys/kernel/ostype r,
/sys/class/power_supply/ r,
/sys/devices/system/cpu/ r,
/sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq r,
/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq r,
/tmp/** rwk,
/usr/bin/skype mr,
/usr/share/X11/* r,
/usr/share/icons/** rk,
/usr/share/skype/** rk,
/var/lib/dbus/machine-id r,
/{run,dev}/shm/pulse-shm* rwk,
}
| | |
| |
| 3.32, Аноним (-), 11:47, 15/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
/home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r,
А, черт! Забыл же удалить...
| | |
|
|
| 1.2, Avari (?), 16:05, 19/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 /home/*/.config/* kr,
/proc/*/cmdline r,
Не слишком ли? Если уж пытаться запихать его в песочницу? В ~/.config/* сохранённых паролей наверняка много, насчёт cmdline шансов меньше, но иногда и оттуда можно что-нибудь интересное получить...
| | |
| |
| 2.4, Аноним (-), 19:30, 19/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Дай рецепт, как создавать окружение и в какой среде.
Другим пригодится.
| | |
| |
| 3.5, Аноним (-), 21:23, 19/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Я уж не помню деталей, может быть, потому, что ничего особенного в этом не было: развернул обыкновенный чрут и установил туда пакет со скайпом.
Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте развернул какую-то версию убунты.
| | |
| |
| 4.6, Аноним (-), 21:24, 19/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Я уж не помню деталей, может быть, потому, что ничего особенного в
> этом не было: развернул обыкновенный чрут и установил туда пакет со
> скайпом.
> Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте
> развернул какую-то версию убунты.
А, ну да: сам чрут разворачивал debootstrap'ом.
| | |
| |
| 5.8, Аноним (-), 11:54, 21/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
+1 к способу, как к наименее проблемному при обновлении Скайпа.
| | |
|
|
|
|
| 1.7, Zenitur (ok), 15:00, 20/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Решил включить этот совет, нажал на "Мастер добавления нового профиля". Только ввёл /usr/bin/skype, как система мне сказала, чот такой профиль есть! При этом выдала информацию:
# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624
Спасибо, Андрей!
| | |
| |
| 2.9, Zenitur (ok), 11:55, 21/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Не работает. Skype 2.2.0.25, ошибка:
$ skype
process 29206: D-Bus library appears to be incorrectly set up; failed to read machine uuid: Failed to open "/var/lib/dbus/machine-id": Отказано в доступе
See the manual page for dbus-uuidgen to correct this issue.
D-Bus not built with -rdynamic so unable to print a backtrace
Аварийный останов
$
Конфиг дистрибутивный:
# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624
#include <tunables/global>
/usr/bin/skype flags=(complain) {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/freedesktop.org>
#include <abstractions/kde>
#include <abstractions/nameservice>
#include <abstractions/nvidia>
#include <abstractions/user-tmp>
#include <abstractions/X>
# are these needed?
/proc/*/cmdline r,
/dev/video* mrw,
/var/cache/libx11/compose/* r,
# should this be in a separate KDE abstraction?
@{HOME}/.kde/share/config/kioslaverc r,
/usr/bin/skype mr,
/usr/share/skype/** kr,
/usr/share/skype/sounds/*.wav kr,
@{HOME}/.Skype/ rw,
@{HOME}/.Skype/** krw,
@{HOME}/.config/* kr,
@{HOME}/.mozilla/ r,
@{HOME}/.mozilla/*/ r,
@{HOME}/.mozilla/*/*/ r,
@{HOME}/.mozilla/*/*/bookmarkbackups/ r,
@{HOME}/.mozilla/*/*/chrome/ r,
@{HOME}/.mozilla/*/*/extensions/ r,
@{HOME}/.mozilla/*/*/prefs.js r,
}
| | |
| 2.14, bbz (?), 20:02, 21/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Для защиты от потенциального доступа закрытого приложения Skype к данным других
> А что, есть прецеденты? Параноей пахнет.
прецендентов полно, читайте новости ...
| | |
| 2.17, crypt (??), 11:20, 22/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Во времена ubuntu 9.10 я трейсил скайп, так вот он зачем-то читал файлы в ~/.mozilla Может, proxy искал, а может и нет...
В любом случае вся эта тема с apparmor хоть и не дает доступ к файлам, никак не защищает от перехвата видео (а возможно, и нажатий) прямо с экрана. В X-сервере нет изоляции между окнами.
| | |
| |
| 3.23, Andrew Kolchoogin (ok), 10:54, 31/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > В X-сервере нет изоляции между окнами.
Эта проблема полноценно решена только в Qubes, и Рутковска на эту тему писала.
Впрочем, как мини-костыль можно локировать устройства ввода X'ов в окно, в котором вводишь пароли, хотя от screen grabbing'а это не спасает.
| | |
| |
| 4.29, Аноним (-), 09:04, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
А если skype запускать от отдельного пользователя в Xvnc сервере или через FreeNX?
| | |
|
|
|
| |
| 2.22, коекто (?), 10:23, 29/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> /home/*/.config/* kr,
>> @{HOME}/.mozilla/*/ r,
> :(
> Альтернативы AppArmor есть?
На мой взгляд проще соскочить со скайпа вообще.
Я перешел на google hangouts. Лучше уж переходить на нормальный сервис чем париться с защитой от программы которую ты сам себе скачал и запустил. Это тоже самое что пытаться заигрывать с троянским конем запуская его в виртуальной машине.
| | |
| |
| 3.24, leon55 (ok), 07:46, 10/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Гугл, оправдываясь тем, что ему нужно знать все интересы пользователя, для того, чтобы впиндюрить правильную рекламу, безбожно читает всю Вашу переписку. Лично мне это не нравится. Я бы вот даже платил им денюжку, лишь бы знал, что никто мою конфиденциальную информацию читать не будет.
Но, увы.
| | |
| |
| 4.26, lucentcode (ok), 11:16, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Только шифрование может вам помочь. Любая компания хочет работать с максимально большой аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных органов и спецслужб. Даже если вы развернёте свой почтовый сервис на базе VPS c Round Cube в качестве морды - всё равно спецслужбы в любой момент смогут читать ваши письма. Просто потому, что доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а по факту предоставит даже без ордера - сорится с силовиками себе дороже). Скрыть свой круг общения в таких условиях вообще не реально.
| | |
| |
| 5.27, Аноним (-), 20:09, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Только шифрование может вам помочь. Любая компания хочет работать с максимально большой
> аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных
> органов и спецслужб. Даже если вы развернёте свой почтовый сервис на
> базе VPS c Round Cube в качестве морды - всё равно
> спецслужбы в любой момент смогут читать ваши письма. Просто потому, что
> доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а
> по факту предоставит даже без ордера - сорится с силовиками себе
> дороже). Скрыть свой круг общения в таких условиях вообще не реально.
Достаточно просто общаться в реальном мире, не вынося своих связей на всеобщее обозрение в инет. Принцип Стрейзанд.
| | |
|
|
|
|
| 1.15, pavlinux (ok), 04:22, 22/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не переживайте, скайп не пистит ваши фотке,
скайп слвает всю переписку спец. слубам.
Apparrmor/chroot/lxc/... - пердёж в лужу.
---
Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.
| | |
| |
| 2.18, Stax (ok), 19:35, 22/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.
+1
Нагородили, понимаешь, арморов. Запуск под другим пользователям - проверено годами.
...правда, в случае скайпа он может захотеть dbus к текущей пользовательской сессии зачем-нибудь..
| | |
| |
| 3.21, pavlinux (ok), 23:57, 25/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
хер ему, а не dbus. Без дбаса работает, проверенно. Тормозит только при старте.
| | |
| |
| 4.25, vsespb (ok), 16:48, 09/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 В ubuntu 12.04 не работает толком. Нужно ещё pulseaudio разрешать (что чревато тем, что в следующий раз когда в ubuntu что-нибудь навернётся будете виноваты вы, как ССЗБ)
| | |
|
|
|
| 1.28, samsungnah (?), 08:02, 28/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ламанули протокол скайпа, наконец-то. Есть теперь надежда, что появятся сторонние клиенты/плугины.
| | |
|