Здраствуйте. Думаю, многие слышали о нашумевшей истории с тем, что skype читает файлы /etc/passwd и ~/.mozilla. Конечно, ничего очень уж плохого в этом нет, и неоднократно обьяснялось, что пароли не лежат /etc/passwd, а размещены в захешенном виде в /etc/shadow, а конфиг фаерфокса он читает для того чтобы определить настройки прокси/расширений и т.п. и т.д. Но все же никаких реальных фактов нет, а посмотреть исходный код, чтобы удостовериться в честности намерий разработчиков, мы не можем. Так что, с этого положения есть несколько выходов:
- Продолжить пользоваться Skype, считая остальных параноиками.
- Отказаться от Skype, и пользоваться открытой альтернативой (OpenWengo например).
- Ограничить доступ Skype к системным ресурсам, и обезопасить себя от неожиданностей.
Сегодня я раскажу вам о третем пункте.
И поможет нам в этом AppArmor — относительно новая система безопастности, разработанная Novell, и доступная в большинстве современных популярных дистрибутивов.
Для начала, ее нужно установить (насколько мне известно, по умолчанию она ставится только в OpenSuse).
Установку проводим, ища в своем пакетоменеджере все, что связано с AppArmor.
Как минимум нам понадобятся:
apparmor-parser
apparmor-profiles
apparmor-utils
libapparmor1
perl-libapparmor
apparmor-dbus
Ну, и еще всякие зависимости:)
Устанавливаем, перезагружаемся. Пробуем, запустился ли AppArmor
# apparmor_status
Если пишет:
apparmor module is loaded.
apparmor filesystem is not mounted.
Значит не все так хорошо, как хотелось бы.
Пробуем перезапустить
# /etc/init.d/apparmor restart
Если отвечает сбоем без каких либо внятных сообщений — открываем от рута в текстовом редакторе файл /boot/grub/menu.lst и дописываем к параметрам яра, которое мы используем:
apparmor=1
Перезагружаемся снова и повторяем процедуру. Дальше два варианта:
Если работает: apparmor_status должен выдать информацию о загруженных профилях и прогармах — радуемся и читаем дальше.
Если нет — гуглим:)
Итак, AppArmor запустили, теперь надо ему обьяснить, что делать со Skype.
Есть варианты:
• занести Skype в список програм для enforced-профиля:
# aa-enforce skype
У меня (Mandriva 2008.1) оно не сработало, и выдало кучу негуглябельных ошибок.
• Вручную сконфигурировать профиль для Skype.
Для этого создаем текстовый файл
/etc/apparmor.d/usr.bin.skype
И вписываем в него следующее:
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/kde>
#include <abstractions/nameservice>
/etc/gai.conf r,
/home/*/.ICEauthority r,
/home/*/.asoundrc r,
/home/*/.Skype/** krw,
/home/*/.Xauthority r,
/home/*/.config/* kr,
/home/*/.config/Trolltech.conf krw,
/home/*/.qt/* rw,
/opt/kde3/share/fonts/ r,
/home/*/.kde/share/config/kioslaverc r,
/proc/*/cmdline r,
/proc/interrupts r,
/tmp/.ICE-unix/* w,
/tmp/.X11-unix/* w,
/usr/bin/skype mr,
/usr/share/X11/* r,
/usr/share/icons/** r,
/usr/share/skype/** kr,
}
(Я не специалист по настройке AppArmor`а, и с радостью выслушаю примечания и дополнения. )
Все, теперь мы можем пользоваться Skype, не боясь за свои личные данные. Он будет иметь доступ, только к тем папкам, к которым мы разрешим в файле профиля.
