Где я мог получить профиль apparmor для последнего skypeforlinux 5.3?
Сегодня вызовы, остановленные для работы в старом скайпе 4.3 с некоторыми новейшими мобильными версиями. Если я должен обновить до новейшего Skype для Linux, где я могу получить apparmour для нового /usr/bin/skypeforlinux версия 5.3?Спасибо!
3 ответа
Лучший и самый простой профиль я когда-либо видел найденный здесь: полностью блокирует домашний доступ dir. Я только удалил следующую строку для предотвращения ~/.config/ доступ, как предложено:
#include <abstractions/xdg-desktop> и
и предоставленный доступ к ~/Downloads/Skype
owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
Профиль Apparmor
#include <tunables/global>
/usr/bin/skypeforlinux {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/gnome>
#include <abstractions/kde>
#include <abstractions/nameservice>
#include <abstractions/user-tmp>
#include <abstractions/freedesktop.org>
#include <abstractions/X>
/dev/ r,
/dev/dri/ r,
/dev/snd/ r,
/etc/ssl/* r,
/etc/drirc r,
/dev/video* rw,
/dev/video[0-9]* m,
/dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
/sys{/,/**} r,
/etc/machine-id r,
/etc/udev/udev.conf r,
/etc/alsa-pulse.conf r,
/etc/asound-pulse.conf r,
/var/lib/dbus/machine-id r,
/etc/pulse/client.conf.d{/,/**} r,
/dev/dri/* rm,
/dev/snd/* rm,
/usr/share/** rm,
/run/nscd/group rm,
/usr/lib64/dri/* rm,
/bin/* rix,
/usr/bin/* rix,
/usr/share/skypeforlinux/** rmix,
/dev/tty rw,
/dev/dri/** rw,
/dev/pts/** rw,
/dev/snd/** rw,
/tmp{/,/**} rw,
/dev/shm/** rmw,
owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
owner @{HOME}/[dD]ownload{,s}/ r, # allow to browse Download dir
owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}
Вы ответили на свой собственный вопрос, человечность не поддерживает профиль для skypeforlinux. Необходимо записать собственное или найти и адаптироваться один из Интернета.
IMO, лучше всего для записи собственного профиля, видят https://www.howtogeek.com/118328/how-to-create-apparmor-profiles-to-lock-down-programs-on-ubuntu/
Никто не может сказать Вам, что принять и что заблокироваться, который является, чтобы Вы решили.
Поиск Google приводит к нескольким профилям на концентраторе мерзавца и в другом месте. Необходимо рассмотреть эти профили для точности, путей и потребностей, но они могут быть местом для запуска.
Сначала в списке: https://github.com/mk-fg/apparmor-profiles/blob/master/profiles/opt.skypeforlinux
#include <tunables/global>
/opt/skypeforlinux/skypeforlinux {
#include <abstractions/base>
#include <abstractions/consoles>
#include <abstractions/nameservice>
#include <abstractions/ssl_certs>
#include <abstractions/fonts>
#include <abstractions/X>
#include <abstractions/freedesktop.org>
#include <abstractions/user-download>
#include <abstractions/user-tmp>
#include <abstractions/pulse>
#include <abstractions/node-webkit>
#include <abstractions/site/base>
#include <abstractions/site/de>
/etc/os-release r,
/sys/devices/virtual/tty/tty*/active r,
deny /dev/video0 rw,
/opt/skypeforlinux/** kmr,
/opt/skypeforlinux/skypeforlinux ix,
owner @{HOME}/.config/skypeforlinux/ rw,
owner @{HOME}/.config/skypeforlinux/** krwm,
owner @{HOME}/[dD]ownload{,s}/** k,
deny /etc/passwd rm,
deny /proc/sys/kernel/yama/ptrace_scope r, # no clue
# Site-local thing
/etc/core/app/sec/openssl.cnf r,
network,
}
Существуют другие опции также, и, вероятно, необходимо изменить эти профили для Вас, нуждается и соединяет каналом для Ubuntu (я не знаю, например, skypeforlinux, установлен на/, выбирают как в этом профиле или где-то в другом месте.
# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>
/usr/bin/skypeforlinux {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/bash>
#include <abstractions/dbus-session>
#include <abstractions/fonts>
#include <abstractions/freedesktop.org>
#include <abstractions/gnome>
#include <abstractions/nameservice>
/usr/bin/skypeforlinux r,
/bin/dash ix,
/bin/mkdir rix,
/bin/readlink rix,
/usr/bin/dirname rix,
/usr/bin/nohup rix,
/dev/shm/* rw,
/etc/udev/udev.conf r,
owner @{HOME}/.Xauthority r,
owner @{HOME}/.config/skypeforlinux/ rw,
owner @{HOME}/.config/skypeforlinux/** rw,
/sys/bus/pci/devices/ r,
/sys/devices/** r,
"/tmp/skypeforlinux Crashes/" w,
/usr/share/glib-2.0/schemas/gschemas.compiled r,
/usr/share/skypeforlinux/** r,
/usr/share/skypeforlinux/skypeforlinux rix,
/{run,dev}/shm/pulse-shm* rwk,
}
Я просто создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хочу совместно использовать его с Вами. Мне потребовались два дня, потому что я пытался заблокировать его вниз как можно больше. Насколько я нашел, все они необходимы, потому что иначе некоторые функции не могут работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание на то, что этот профиль отражает использование графического адаптера Nvidia с propietary драйвером в версии 340. Для других сценариев нужна адаптация. Что-либо не прокомментированное кажется необходимым для Skype для запуска. Если профиль, как, не удается, попытайтесь удалить мои комментарии сначала. На самом деле я не знаю, позволяются ли комментарии после #include директивы.
С уважением,
христианин
# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>
/usr/bin/skypeforlinux { #my installation path.
#profile:usr.bin.skypeforlinux
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/bash>
#include <abstractions/dbus> #impossible to take
#restricted
#versions of dbus
#abstractions
#without being logged out
#after every use
#include <abstractions/dbus-session> #same here
#include <abstractions/fonts>
#include <abstractions/freedesktop.org> #nothing at all without
#these
#include <abstractions/gnome> #same here
#include <abstractions/nameservice> #and here
#include <abstractions/ibus> #no keyboard input witout
#this
network inet dgram,
network inet stream,
network inet6 dgram,
network inet6 stream,
network netlink dgram,
network netlink raw,
deny /etc/issue r, #at least something not
#necessary
deny /etc/passwd r,
/bin/dash rix,
/bin/mkdir rix,
/bin/readlink rix,
/dev/ r,
/dev/disk/by-id/ r,
/dev/nvidia0 rw, #nvidia/propietary driver
#specific
/dev/nvidiactl rw, #same here
/dev/shm/* rwl,
/dev/video0 rw,
/etc/hostname r,
/etc/udev/udev.conf r,
@{HOME}/ w, #Skype won't start if
#"owner"
#is set in order to
#restrict
#profile access to its
#owner
@{HOME}/.Skype/ r,
@{HOME}/.Skype/** rw,
@{HOME}/.Xauthority r,
@{HOME}/.config/dconf/* r,
@{HOME}/.config/skypeforlinux/ r,
@{HOME}/.config/skypeforlinux/** rw,
@{HOME}/.config/user-dirs.dirs r,
@{HOME}/.nv/GLCache/ r, #nvidia/propietary driver
#specific
@{HOME}/.nv/GLCache/** rw, #same here
@{HOME}/.pki/nssdb/* rw,
@{HOME}/.rnd r,
@{HOME}/skype-export/ w, #allows chat export from
#version 4.3
@{HOME}/skype-export/** w, #same here
@{PROC}/ r,
@{PROC}/*/fd/ r,
@{PROC}/*/oom_score_adj w,
@{PROC}/*/status r,
@{PROC}/*/task/ r,
@{PROC}/*/task/** r,
@{PROC}/cpuinfo r,
@{PROC}/driver/nvidia/params r, #nvidia/propietary driver
#specific
@{PROC}/filesystems r,
@{PROC}/modules r,
@{PROC}/stat r,
@{PROC}/sys/kernel/osrelease r,
@{PROC}/sys/kernel/ostype r,
@{PROC}/sys/kernel/yama/ptrace_scope r,
@{PROC}/version r,
/run/user/** rw,
/sys/bus/pci/devices/ r,
/sys/class/net/ r,
/sys/devices/** r,
/tmp/ rw, #usage of temp dir abstractions
#impossible. Skype won't start with
#"owner" set to restrict access to
#other temp files
/tmp/** rw, #same here
/usr/bin/dirname rix,
/usr/bin/locale rix,
/usr/bin/nohup rix,
/usr/bin/skypeforlinux r,
/usr/bin/xdg-open rix,
/usr/share/glib-2.0/schemas/gschemas.compiled r,
/usr/share/nvidia-340/* r,
/usr/share/skypeforlinux/** r,
/usr/share/skypeforlinux/skypeforlinux rix,
/var/tmp/ rw, #same temp dir issue described above
/var/tmp/** rw, #same here
^/usr/bin/nohup {
/dev/shm/* mrw,
/usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all
#executables, any
#child
#with scrubbed
#environment
#won't do the job
}
}