The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Запуск Skype в изолированном окруже..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Запуск Skype в изолированном окруже..."  +2 +/
Сообщение от auto_tips (??) on 19-Авг-13, 14:14 
Для защиты от потенциального доступа закрытого приложения Skype к данным других программ можно организовать выполнение Skype в изолированном окружении.

Создаём профиль Apparmor на основе тестового запуска приложения:

   sudo genprof /usr/bin/skype

После этого будет создан профиль для  сбора информации о работе приложения. В другой консоли запускаем Skype, делаем тестовый вызов и выходим из Skype.

Повторно запускаем:

   sudo genprof /usr/bin/skype

и инициируем сканирование накопленных событий, выбрав "S". В процессе вывода результатов выбираем что можно процессу, а что нет. В завершении жмём "S" для сохранения профиля и "F" для выхода.

Профиль будет создан в файле /etc/apparmor.d/usr.bin.skype
Если нет желания разбираться с составлением правил вручную можно использовать готовый профиль:

   #include <tunables/global>
   /usr/bin/skype {
      #include <abstractions/audio>
      #include <abstractions/base>
      #include <abstractions/fonts>
      #include <abstractions/nameservice>
      #include <abstractions/nvidia>
      /etc/gai.conf r,
      /home/*/.ICEauthority r,
      /home/*/.Skype/** krw,
      /home/*/.Xauthority r,
      /home/*/.config/* kr,
      /home/*/.kde/share/config/kioslaverc r,
      /proc/*/cmdline r,
      /tmp/.ICE-unix/* w,
      /tmp/.X11-unix/* w,
      /usr/bin/skype mr,
      /usr/share/X11/* r,
      /usr/share/icons/** r,
      /usr/share/skype/** kr,
    }

Перезапускаем AppArmor:

   sudo /etc/init.d/apparmor restart

Активируем работу Skype в sandbox-окружении Apparmor:

   sudo aa-enforce skype

Проверяем результат:

sudo sudo apparmor_status

URL: http://terokarvinen.com/skype_in_a_sandbox.html
Обсуждается: http://www.opennet.dev/tips/info/2778.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от AS (??) on 19-Авг-13, 14:14 
#include <abstractions/nvidia>

- я так понел для инвидии ?

так что не совсем у меня заработает..
придется таки разбираться :((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Запуск Skype в изолированном окружении Apparmor"  +1 +/
Сообщение от Avari email on 19-Авг-13, 16:05 
      /home/*/.config/* kr,
      /proc/*/cmdline r,
Не слишком ли? Если уж пытаться запихать его в песочницу? В ~/.config/* сохранённых паролей наверняка много, насчёт cmdline шансов меньше, но иногда и оттуда можно что-нибудь интересное получить...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 19-Авг-13, 16:19 
Запускаю скайп из-под чрута и всегда так делаю!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 19-Авг-13, 19:30 
Дай рецепт, как создавать окружение и в какой среде.
Другим пригодится.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 19-Авг-13, 21:23 
Я уж не помню деталей, может быть, потому, что ничего особенного в этом не было: развернул обыкновенный чрут и установил туда пакет со скайпом.
Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте развернул какую-то версию убунты.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 19-Авг-13, 21:24 
> Я уж не помню деталей, может быть, потому, что ничего особенного в
> этом не было: развернул обыкновенный чрут и установил туда пакет со
> скайпом.
> Я использовал schroot (исключительно ради удобства), ОС - Debian, а в чруте
> развернул какую-то версию убунты.

А, ну да: сам чрут разворачивал debootstrap'ом.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Zenitur (ok) on 20-Авг-13, 15:00 
Решил включить этот совет, нажал на "Мастер добавления нового профиля". Только ввёл /usr/bin/skype, как система мне сказала, чот такой профиль есть! При этом выдала информацию:

# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624

Спасибо, Андрей!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 21-Авг-13, 11:54 
+1 к способу, как к наименее проблемному при обновлении Скайпа.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Zenitur (ok) on 21-Авг-13, 11:55 
Не работает. Skype 2.2.0.25, ошибка:

$ skype
process 29206: D-Bus library appears to be incorrectly set up; failed to read machine uuid: Failed to open "/var/lib/dbus/machine-id": Отказано в доступе
See the manual page for dbus-uuidgen to correct this issue.
  D-Bus not built with -rdynamic so unable to print a backtrace
Аварийный останов
$

Конфиг дистрибутивный:

# Last Modified: Mon Oct 26 13:29:13 2009
# REPOSITORY: http://apparmor.test.opensuse.org/backend/api draglor 53
# Additional profiling based on work by Андрей Калинин, LP: #226624
#include <tunables/global>
/usr/bin/skype flags=(complain) {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/nvidia>
  #include <abstractions/user-tmp>
  #include <abstractions/X>

  # are these needed?
  /proc/*/cmdline r,
  /dev/video* mrw,
  /var/cache/libx11/compose/* r,

  # should this be in a separate KDE abstraction?
  @{HOME}/.kde/share/config/kioslaverc r,

  /usr/bin/skype mr,
  /usr/share/skype/** kr,
  /usr/share/skype/sounds/*.wav kr,

  @{HOME}/.Skype/   rw,
  @{HOME}/.Skype/** krw,
  @{HOME}/.config/* kr,

  @{HOME}/.mozilla/ r,
  @{HOME}/.mozilla/*/ r,
  @{HOME}/.mozilla/*/*/ r,
  @{HOME}/.mozilla/*/*/bookmarkbackups/ r,
  @{HOME}/.mozilla/*/*/chrome/ r,
  @{HOME}/.mozilla/*/*/extensions/ r,
  @{HOME}/.mozilla/*/*/prefs.js r,
}

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 21-Авг-13, 11:55 
Да, есть 1% надежда что релизы ещё будут..
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от user_name on 21-Авг-13, 16:53 
> /home/*/.config/* kr,
> @{HOME}/.mozilla/*/ r,

:(
Альтернативы AppArmor есть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от bbz on 21-Авг-13, 20:01 
SElinux например
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от bbz on 21-Авг-13, 20:02 
> Для защиты от потенциального доступа закрытого приложения Skype к данным других
> А что, есть прецеденты? Параноей пахнет.

прецендентов полно, читайте новости ...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от pavlinux (ok) on 22-Авг-13, 04:22 
Не переживайте, скайп не пистит ваши фотке,
скайп слвает всю переписку спец. слубам.

Apparrmor/chroot/lxc/... - пердёж в лужу.

---
Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от crypt (??) on 22-Авг-13, 11:20 
Во времена ubuntu 9.10 я трейсил скайп, так вот он зачем-то читал файлы в ~/.mozilla Может, proxy искал, а может и нет...

В любом случае вся эта тема с apparmor хоть и не дает доступ к файлам, никак не защищает от перехвата видео (а возможно, и нажатий) прямо с экрана. В X-сервере нет изоляции между окнами.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Stax (ok) on 22-Авг-13, 19:35 
> Более того, "Для защиты от потенциального доступа" достаточно запустить от другого юзера.

+1
Нагородили, понимаешь, арморов. Запуск под другим пользователям - проверено годами.

...правда, в случае скайпа он может захотеть dbus к текущей пользовательской сессии зачем-нибудь..

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Запуск Skype в изолированном окружении Apparmor"  –1 +/
Сообщение от nur on 23-Авг-13, 14:17 
можно тупо с ливеСД его запускать )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Запуск Skype в изолированном окружении Apparmor"  +2 +/
Сообщение от Анонимчег on 23-Авг-13, 17:19 
Да можно вообще не запускать. Пусть АНБшники поволнуются.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от pavlinux (ok) on 25-Авг-13, 23:57 
хер ему, а не dbus. Без дбаса работает, проверенно. Тормозит только при старте.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от коекто on 29-Авг-13, 10:23 
>> /home/*/.config/* kr,
>> @{HOME}/.mozilla/*/ r,
> :(
> Альтернативы AppArmor есть?

На мой взгляд проще соскочить со скайпа вообще.
Я перешел на google hangouts. Лучше уж переходить на нормальный сервис чем париться с защитой от программы которую ты сам себе скачал и запустил. Это тоже самое что пытаться заигрывать с троянским конем запуская его в виртуальной машине.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Andrew Kolchoogin (ok) on 31-Авг-13, 10:54 
> В X-сервере нет изоляции между окнами.

Эта проблема полноценно решена только в Qubes, и Рутковска на эту тему писала.

Впрочем, как мини-костыль можно локировать устройства ввода X'ов в окно, в котором вводишь пароли, хотя от screen grabbing'а это не спасает.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от leon55 email(ok) on 10-Сен-13, 07:46 
Гугл, оправдываясь тем, что ему нужно знать все интересы пользователя, для того, чтобы впиндюрить правильную рекламу, безбожно читает всю Вашу переписку. Лично мне это не нравится. Я бы вот даже платил им денюжку, лишь бы знал, что никто мою конфиденциальную информацию читать не будет.
Но, увы.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от vsespb (ok) on 09-Окт-13, 16:48 
В ubuntu 12.04 не работает толком. Нужно ещё pulseaudio разрешать (что чревато тем, что в следующий раз когда в ubuntu что-нибудь навернётся будете виноваты вы, как ССЗБ)
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от lucentcode (ok) on 20-Окт-13, 11:16 
Только шифрование может вам помочь. Любая компания хочет работать с максимально большой аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных органов и спецслужб. Даже если вы развернёте свой почтовый сервис на базе VPS c Round Cube в качестве морды - всё равно спецслужбы в любой момент смогут читать ваши письма. Просто потому, что доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а по факту предоставит даже без ордера - сорится с силовиками себе дороже). Скрыть свой круг общения в таких условиях вообще не реально.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 20-Окт-13, 20:09 
> Только шифрование может вам помочь. Любая компания хочет работать с максимально большой
> аудиторией. И только поэтому всегда будет сотрудничать с представителями правоохранительных
> органов и спецслужб. Даже если вы развернёте свой почтовый сервис на
> базе VPS c Round Cube в качестве морды - всё равно
> спецслужбы в любой момент смогут читать ваши письма. Просто потому, что
> доступ к вашей VPS провайдер обязан предоставить в соотвествии с законодательством(а
> по факту предоставит даже без ордера - сорится с силовиками себе
> дороже). Скрыть свой круг общения в таких условиях вообще не реально.

Достаточно просто общаться в реальном мире, не вынося своих связей на всеобщее обозрение в инет. Принцип Стрейзанд.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от samsungnah on 28-Окт-13, 08:02 
Ламанули протокол скайпа, наконец-то. Есть теперь надежда, что появятся сторонние клиенты/плугины.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Аноним (??) on 05-Ноя-13, 09:04 
А если skype запускать от отдельного пользователя в Xvnc сервере или через FreeNX?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "Запуск Skype в изолированном окружении Apparmor"  +2 +/
Сообщение от Аноним (??) on 15-Ноя-14, 11:41 
Для Skype 4.3.0.37 рабочий профайл

# Last Modified: Sat Nov 15 10:52:21 2014
#include <tunables/global>

/usr/bin/skype {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/nameservice>

  deny /home/*/.mozilla/** r,

  /dev/ r,
  /etc/gai.conf r,
  /etc/xdg/Trolltech.conf rk,
  /etc/xdg/sni-qt.conf rk,
  /home/*/.ICEauthority r,
  /home/*/.Skype/ r,
  /home/*/.Skype/** rwk,
  /home/*/.Xauthority r,
  /home/*/.cache/** r,
  /home/*/.config/* rk,
  /home/*/.config/Skype/Skype.conf rwk,
  /home/*/.config/Trolltech.conf rwk,
  /home/*/.kde/share/config/kioslaverc r,
  /home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r,
  /proc/*/cmdline r,
  /proc/*/net/arp r,
  /proc/sys/kernel/osrelease r,
  /proc/sys/kernel/ostype r,
  /sys/class/power_supply/ r,
  /sys/devices/system/cpu/ r,
  /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq r,
  /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq r,
  /tmp/** rwk,
  /usr/bin/skype mr,
  /usr/share/X11/* r,
  /usr/share/icons/** rk,
  /usr/share/skype/** rk,
  /var/lib/dbus/machine-id r,
  /{run,dev}/shm/pulse-shm* rwk,

}

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Запуск Skype в изолированном окружении Apparmor"  +1 +/
Сообщение от Аноним (??) on 15-Ноя-14, 11:47 
 /home/*/.mozilla/firefox/8d7tb2n4.default/prefs.js r, 

А, черт! Забыл же удалить...

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от Boris (??) on 18-Янв-15, 00:40 
C этим профилем apparmor новый скайп уже так просто не заработает, я пытаплся. Хитрожопая штуковина. Вышел из положения, запустив skype от another user, и на этом успокоился. Оптимально. По моему, чужой бесправный профиль -  что может быть надежнее? Вот так делал, взгляните http://masterpro.ws/forum/28-bezopasnost/4713-skype-from-ano...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

34. "Запуск Skype в изолированном окружении Apparmor"  +/
Сообщение от aleksej email on 27-Июн-15, 03:49 
Пожалуйста, абсолютно рабочий профиль apparmor для последней версии скайпа под линукс. Заткнуто все: http://masterpro.ws/forum/28-bezopasnost/4763-skype-i-apparmor
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру