Опять о защите от Skype

Аватар пользователя Mac3k

Skype — береженого Бог бережет

Скайп лого

Автор: meako

22 мая 2008 18:31

Здраствуйте. Думаю, многие слышали о нашумевшей истории с тем, что skype читает файлы /etc/passwd и ~/.mozilla. Конечно, ничего очень уж плохого в этом нет, и неоднократно обьяснялось, что пароли не лежат /etc/passwd, а размещены в захешенном виде в /etc/shadow, а конфиг фаерфокса он читает для того чтобы определить настройки прокси/расширений и т.п. и т.д. Но все же никаких реальных фактов нет, а посмотреть исходный код, чтобы удостовериться в честности намерий разработчиков, мы не можем. Так что, с этого положения есть несколько выходов:

  • Продолжить пользоваться Skype, считая остальных параноиками.
  • Отказаться от Skype, и пользоваться открытой альтернативой (OpenWengo например).
  • Ограничить доступ Skype к системным ресурсам, и обезопасить себя от неожиданностей.

ЗащитаСегодня я раскажу вам о третем пункте.
И поможет нам в этом AppArmor — относительно новая система безопастности, разработанная Novell, и доступная в большинстве современных популярных дистрибутивов.

Для начала, ее нужно установить (насколько мне известно, по умолчанию она ставится только в OpenSuse).
Установку проводим, ища в своем пакетоменеджере все, что связано с AppArmor.
Как минимум нам понадобятся:
apparmor-parser
apparmor-profiles
apparmor-utils
libapparmor1
perl-libapparmor
apparmor-dbus
Ну, и еще всякие зависимости:)

Устанавливаем, перезагружаемся. Пробуем, запустился ли AppArmor

# apparmor_status Если пишет:
apparmor module is loaded.
apparmor filesystem is not mounted.

Значит не все так хорошо, как хотелось бы.

Пробуем перезапустить
# /etc/init.d/apparmor restart
Если отвечает сбоем без каких либо внятных сообщений — открываем от рута в текстовом редакторе файл /boot/grub/menu.lst и дописываем к параметрам яра, которое мы используем:
apparmor=1

Перезагружаемся снова и повторяем процедуру. Дальше два варианта :
Если работает : apparmor_status должен выдать информацию о загруженных профилях и прогармах — радуемся и читаем дальше.
Если нет — гуглим:)

Итак, AppArmor запустили, теперь надо ему обьяснить, что делать со Skype.
Есть варианты:

• занести Skype в список програм для enforced-профиля:
# aa-enforce skype
У меня (Mandriva 2008.1) оно не сработало, и выдало кучу негуглябельных ошибок.

• Вручную сконфигурировать профиль для Skype.
Для этого создаем текстовый файл /etc/apparmor.d/usr.bin.skype
И вписываем в него следующее:
#include <tunables/global>
/usr/bin/skype {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  /etc/gai.conf r,
  /home/*/.ICEauthority r,
  /home/*/.asoundrc r,
  /home/*/.Skype/** krw,
  /home/*/.Xauthority r,
  /home/*/.config/* kr,
  /home/*/.config/Trolltech.conf krw,
  /home/*/.qt/* rw,
  /opt/kde3/share/fonts/ r,
  /home/*/.kde/share/config/kioslaverc r,
  /proc/*/cmdline r,
  /proc/interrupts r,
  /tmp/.ICE-unix/* w,
  /tmp/.X11-unix/* w,
  /usr/bin/skype mr,
  /usr/share/X11/* r,
  /usr/share/icons/** r,
  /usr/share/skype/** kr,
}
(Я не специалист по настройке AppArmor`а, и с радостью выслушаю примечания и дополнения. )

Все, теперь мы можем пользоваться Skype, не боясь за свои личные данные. Он будет иметь доступ, только к тем папкам, к которым мы разрешим в файле профиля.

Источник
Your rating: Нет Average: 9.3 (4 votes)
RSS-материал