Как я могу защитить Spotify с помощью AppArmor?
Я установил Spotify из репозитория, следуя этим инструкциям .
Но я обеспокоен последствиями безопасности для запуска проприетарного кода на моей машине - так как он не доступен для независимой проверки, и Spotify полностью ответственен за исправление любых недостатков безопасности.
Я бы хотел защитить его с помощью AppArmor, чтобы уменьшить влияние, которое он может оказать. Я нашел несколько профилей AppArmor в Интернете, но ни один из них не работал должным образом для меня. ( Больше информации об AppArmor )
2 ответа
Я отправил свой профиль Spotify для AppArmor на GitHub: https://github.com/ruudkoot/spotify-apparmor.
-
1Сопровождаемый некоторый полный заряд и циклы выброса и теперь таймер показывает aprox 2 часа. – Jatin Katyal 15 November 2016 в 06:04
Так как я не мог найти профиль, который работал на меня, я представил Spotify и создал мое собственное. Это не остановит двоичный файл Spotify от способности получить доступ ко всему, к чему Вы не могли бы хотеть это, но это лучше чем ничего. Я не даю гарантий, использую это на Ваш собственный риск.
Это работает на меня и на Ubuntu 14.04 и 15.04 и на версии 0.9.17.1 Spotify. Я использую стандартный GNOME и рабочий стол LightDM, я не протестировал это с KDE или XFCE и т.д.
<час>0. Предпосылки
При работе с AppArmor, я нахожу невероятно полезным иметь apparmor-utils установленный пакет. В выполненном терминале:
sudo apt-get install apparmor-utils
1. Создайте Профиль
, Давайте начнем с копирования профиля к соответствующему местоположению. Во-первых, откройте gedit с корневыми полномочиями:
sudo gedit /etc/apparmor.d/opt.spotify.spotify-client.spotify
Затем копия это в новое окно:
# Created by Sean Lanigan. Released to the Public Domain.
# Retrieved from https://askubuntu.com/a/664812/237387
# Last Modified: Sun 30 Aug 2015
#include <tunables/global>
/opt/spotify/spotify-client/spotify {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/dbus-strict>
#include <abstractions/ibus>
#include <abstractions/lightdm>
#include <abstractions/gnome>
#include <abstractions/dconf>
#include <abstractions/nameservice>
# Give some access to some user things
/home/*/.config/Trolltech.conf rwk,
/home/*/.pki/nssdb/* rw,
/home/*/.pki/nssdb/cert9.db rwk,
/home/*/.pki/nssdb/key4.db rwk,
# Give some access to some system things
@{PROC}/*/auxv r,
@{PROC}/*/oom_score_adj rw,
@{PROC}/sys/kernel/shmmax r,
# Allow read, write and lock access to Spotify config and cache files
owner @{HOME}/.cache/spotify/ rw,
owner @{HOME}/.cache/spotify/** rwk,
owner @{HOME}/.config/spotify/ rw,
owner @{HOME}/.config/spotify/** rwk,
owner @{HOME}/.local/share/spotify/ rw,
owner @{HOME}/.local/share/spotify/** rwk,
# Read local music, no write permission given
owner @{HOME}/Music/ r,
owner @{HOME}/Music/** r,
}
Затем сохраняют и выходят.
<час>2. Включите Профиль
Теперь все, что мы должны сделать, включают новый профиль:
sudo aa-enforce /opt/spotify/spotify-client/spotify
И вот и все! Spotify имеет доступ ко всем вещам, включая которые он должен работать правильно, к Вашему ~ / каталог Music - и надо надеяться ни одна из вещей, к которым он не должен получать доступ.
, Если у Вас есть какие-либо улучшения этого профиля, упомяните это в комментариях!
<час>Отключают профиль AppArmor
, Если Вы хотите отключить AppArmor от ограничения Spotify, можно работать
sudo aa-disable /opt/spotify/spotify-client/spotify
, Это могло бы быть необходимо, если новая версия приложения Spotify изменяется и начинает отказывать с этим профилем. Если это так, необходимо будет обновить профиль AppArmor для разрешения независимо от того, что те изменения могли бы быть.
-
116.04 лучше? Если это так я могу выполнить упомянутый выше шаг? – Abraham John 15 November 2016 в 01:20