воскресенье, 6 апреля 2008 г.

Запираем Skype в клетку AppArmor

Заметка написана по мотивам вот этой статьи и вот этого руководства.
Как мне стало известно, скайп проявляет любопытство (не по чину) к личным данным пользователя, который имел неосторожность запустить его на своём компьютере. Причем собирает любую мало-мальски ценную информацию: технические характеристики системы, историю посещения страниц и сохранённые пароли в Firefox и Opera, пользователей системы, установленные программы и много всего прочего...
Информация о таком непотребном поведении программы появилась в сети достаточно давно.
Естественным шагом был бы полный отказ от использования Skype. Но как бы-то не было, всё равно, время от времени приходится прибегать к услугам зловредной софтины. Естественно, хочется как то оградить себя от посягательств владельцев скайпа на пароли и прочую мою информацию. И выход конечно же есть. Как раз для таких случаев, умельцами из Novell написана хитрая программа под названием AppArmor. Суть её в том, чтобы ограничить список устройств и файлов к которым имеет доступ тот же Skype, будучи запущенным под ней.
Теперь подробнее.
Устанавливаем skype (с сайта или из репозитория).
AppArmor уже установлен в Ubuntu начиная с верси 7.10.
Открываем терминал и создаём новый профиль для skype:
sudo aa-genprof /usr/bin/skype
Теперь запускаем skype, делаем звонок, закрываем, выходим.
Переходим в терминал и нажимаем S. AppArmor собирает информацию об активности подопытной софтины (в данном случае скайпа), а затем по шагам показывает, где именно данная программа была, что читала, с каким железом взаимодействовала. Нажимаем 123, G, A или D, в зависимости от того, хотим ли мы видеть её там в дальнейшем.
В конце S чтобы сохранить и F чтобы закончить.
В итоге, мы получаем новый профиль для скайпа. Теперь его нужно немного подредактировать.
sudo nano /etc/apparmor.d/usr.bin.skype
Заменяем всё содержимое на следующий текст:
# Last Modified: Wed Nov 28 19:26:07 2007
#include
/usr/bin/skype {
#include
#include
#include
#include
#include
/dev/video0 mrw,
/etc/gai.conf r,
/home/*/.ICEauthority r,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/* kr,
/home/*/.kde/share/config/kioslaverc r,
/proc/*/cmdline r,
/tmp/.ICE-unix/* w,
/tmp/.X11-unix/* w,
/usr/bin/skype mr,
/usr/share/X11/* r,
/usr/share/icons/** r,
/usr/share/skype/** kr,
}

Сохраняем. Закрываем.
Перезагружаем AppArmor:

sudo /etc/init.d/apparmor restart

Активируем профиль для скайпа:

sudo aa-enforce skype

Готово!
Проверить можно так:

sudo apparmor_status

Теперь, каждый раз, когда вы запустите skype, вам в dmesg будут сыпаться сообщения где и за что скайпу надавали по сусалам.

1 комментарий:

Анонимный комментирует...

skype хочет залезть в /usr/lib
вроде это тоже нужно разрешить.