Где я могу получить профиль apparmor для последней версии skypeforlinux 5.3?

Question 1

Я обновил, но получил классную ошибку. Чтобы исправить это:

Потратив некоторое время на различные комбинации, я обнаружил, что это связано с тем, что у меня есть как M2_HOME, так и M3_HOME, установленные в моих переменных окружения. Когда я удалил M2_HOME из моих переменных окружения, я мог бы получить это работая снова. Может быть, это может сэкономить какое-то серьезное время для кого-то.

Question 2

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Question 3

Question 4

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Question 5

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ к ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Question 6

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

[d11 ] Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Question 7

Question 8

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Question 9

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Question 10

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Question 11

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Question 12

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Aleksey Kontsevich · Accepted Answer · 22 May 2018 в 19:35

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Aleksey Kontsevich · Accepted Answer · 18 July 2018 в 08:43

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Aleksey Kontsevich · Accepted Answer · 24 July 2018 в 19:09

Лучший и самый простой профиль, который я когда-либо видел, найденный здесь: полностью блокирует доступ к домашнему dir. Я удалил только следующую строку, чтобы предотвратить доступ к ~/.config/, как было предложено:

#include <abstractions/xdg-desktop> и

и предоставлен доступ к ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Профиль апартмара

#include <tunables/global>
/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/freedesktop.org>
  #include <abstractions/X>

  /dev/ r,
  /dev/dri/ r,
  /dev/snd/ r,
  /etc/ssl/* r,
  /etc/drirc r,
  /dev/video* rw,
  /dev/video[0-9]* m,
  /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it
  owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3`
  owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie)
  /sys{/,/**} r,
  /etc/machine-id r,
  /etc/udev/udev.conf r,
  /etc/alsa-pulse.conf r,
  /etc/asound-pulse.conf r,
  /var/lib/dbus/machine-id r,
  /etc/pulse/client.conf.d{/,/**} r,

  /dev/dri/* rm,
  /dev/snd/* rm,
  /usr/share/** rm,
  /run/nscd/group rm,
  /usr/lib64/dri/* rm,

  /bin/* rix,
  /usr/bin/* rix,

  /usr/share/skypeforlinux/** rmix,

  /dev/tty rw,
  /dev/dri/** rw,
  /dev/pts/** rw,
  /dev/snd/** rw,
  /tmp{/,/**} rw,

  /dev/shm/** rmw,

  owner @{HOME}/.config/skypeforlinux{/,/**} rkmw,
  owner @{HOME}/[dD]ownload{,s}/ r,     # allow to browse Download dir
  owner @{HOME}/[dD]ownload{,s}/Skype/ rw,
  owner @{HOME}/[dD]ownload{,s}/Skype/** rw,
}

Panther · Answer 4 · 22 May 2018 в 19:35

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

[d11 ] Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Эти профили слишком стары и не работают с новейшими skypeforlinux. — Aleksey Kontsevich, 16 November 2017 в 20:19
@AlekseyKontsevich - Это недостаток apparmor. Ни skypeforlinux, ни Ubuntu не поддерживают профиль apparmor. Вы должны написать свой собственный, я предлагаю начать с одного из профилей в этом ответе и начать писать. Если у вас есть определенный вопрос или проблема, спросите, но вряд ли кто-то собирается установить skype и написать профиль для вас в это время. — Panther, 16 November 2017 в 20:45
Лучше использовать Matrix Riot на данный момент;) Просто нужно убедить клиентов использовать его. — Aleksey Kontsevich, 17 November 2017 в 21:52

Addi Adam · Answer 5 · 22 May 2018 в 19:35

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Предоставляет ли вам профиль skypeforlinux доступ к домашней директории? Старый официальный профиль алерта для 4.3 запрещает это, новый позволяет. — Aleksey Kontsevich, 22 February 2018 в 23:59
Ваш профиль не работает для меня: > skypeforlinux /usr/bin/skypeforlinux: line 3: /usr/bin/readlink: Permission denied dirname: missing operand Try 'dirname --help' for more information. /usr/bin/skypeforlinux: line 4: /usr/bin/readlink: Permission denied /usr/bin/skypeforlinux: line 9: /usr/bin/mkdir: Permission denied — Aleksey Kontsevich, 28 February 2018 в 18:58

Addi Adam · Answer 6 · 18 July 2018 в 08:43

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Panther · Answer 7 · 18 July 2018 в 08:43

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Addi Adam · Answer 8 · 24 July 2018 в 19:09

Я только что создал рабочий профиль Apparmor с Ubuntu 16.04 и Skype 8.16.04. и хотите поделиться им с вами. Мне потребовалось два дня, потому что я попытался зафиксировать это как можно больше. Насколько мне известно, все это необходимо, потому что в противном случае некоторые функции могут не работать. Я собираюсь прокомментировать некоторые из них в коде. Обратите внимание, что этот профиль отражает использование графического адаптера nvidia с проприетарным драйвером в версии 340. Другие сценарии требуют адаптации. Все, что не прокомментировано, кажется необходимым для запуска Skype. Если профиль как есть не работает, попробуйте сначала удалить мои комментарии. На самом деле, я не знаю, разрешены ли комментарии после директивы #include.

С уважением,

christian

# Last Modified: Thu Feb 22 14:05:09 2018
#include <tunables/global>

/usr/bin/skypeforlinux {            #my installation path. 
                                    #profile:usr.bin.skypeforlinux

  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus>              #impossible to take 
                                            #restricted 
                                            #versions of dbus 
                                            #abstractions 
                                            #without being logged out 
                                            #after every use
  #include <abstractions/dbus-session>      #same here
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>   #nothing at all without 
                                            #these
  #include <abstractions/gnome>             #same here
  #include <abstractions/nameservice>       #and here
  #include <abstractions/ibus>              #no keyboard input witout 
                                            #this

  network inet dgram,
  network inet stream,
  network inet6 dgram,
  network inet6 stream,
  network netlink dgram,
  network netlink raw,

  deny /etc/issue r,                          #at least something not 
                                              #necessary
  deny /etc/passwd r,

  /bin/dash rix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /dev/ r,
  /dev/disk/by-id/ r,
  /dev/nvidia0 rw,                         #nvidia/propietary driver 
                                           #specific
  /dev/nvidiactl rw,                       #same here
  /dev/shm/* rwl,
  /dev/video0 rw,
  /etc/hostname r,
  /etc/udev/udev.conf r,
  @{HOME}/ w,                              #Skype won't start if 
                                           #"owner" 
                                           #is set in order to 
                                           #restrict 
                                           #profile access to its 
                                           #owner
  @{HOME}/.Skype/ r,
  @{HOME}/.Skype/** rw,
  @{HOME}/.Xauthority r,
  @{HOME}/.config/dconf/* r,
  @{HOME}/.config/skypeforlinux/ r,
  @{HOME}/.config/skypeforlinux/** rw,
  @{HOME}/.config/user-dirs.dirs r,
  @{HOME}/.nv/GLCache/ r,                  #nvidia/propietary driver 
                                           #specific
  @{HOME}/.nv/GLCache/** rw,               #same here
  @{HOME}/.pki/nssdb/* rw,
  @{HOME}/.rnd r,
  @{HOME}/skype-export/ w,                 #allows chat export from 
                                           #version 4.3
  @{HOME}/skype-export/** w,               #same here
  @{PROC}/ r,
  @{PROC}/*/fd/ r,
  @{PROC}/*/oom_score_adj w,
  @{PROC}/*/status r,
  @{PROC}/*/task/ r,
  @{PROC}/*/task/** r,
  @{PROC}/cpuinfo r,
  @{PROC}/driver/nvidia/params r,           #nvidia/propietary driver 
                                            #specific
  @{PROC}/filesystems r,
  @{PROC}/modules r,
  @{PROC}/stat r,
  @{PROC}/sys/kernel/osrelease r,
  @{PROC}/sys/kernel/ostype r,
  @{PROC}/sys/kernel/yama/ptrace_scope r,
  @{PROC}/version r,
  /run/user/** rw,
  /sys/bus/pci/devices/ r,
  /sys/class/net/ r,
  /sys/devices/** r,
  /tmp/ rw,                      #usage of temp dir abstractions 
                                 #impossible. Skype won't start with 
                                 #"owner" set to restrict access to 
                                 #other temp files
  /tmp/** rw,                    #same here
  /usr/bin/dirname rix,
  /usr/bin/locale rix,
  /usr/bin/nohup rix,
  /usr/bin/skypeforlinux r,
  /usr/bin/xdg-open rix,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/nvidia-340/* r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /var/tmp/ rw,                 #same temp dir issue described above
  /var/tmp/** rw,               #same here

  ^/usr/bin/nohup {
    /dev/shm/* mrw,
    /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all 
                                                #executables, any 
                                                #child 
                                                #with scrubbed 
                                                #environment 
                                                #won't do the job

  }
}

Предоставляет ли вам профиль skypeforlinux доступ к домашней директории? Старый официальный профиль алерта для 4.3 запрещает это, новый позволяет. — Aleksey Kontsevich, 22 February 2018 в 23:59
Ваш профиль не работает для меня: > skypeforlinux /usr/bin/skypeforlinux: line 3: /usr/bin/readlink: Permission denied dirname: missing operand Try 'dirname --help' for more information. /usr/bin/skypeforlinux: line 4: /usr/bin/readlink: Permission denied /usr/bin/skypeforlinux: line 9: /usr/bin/mkdir: Permission denied — Aleksey Kontsevich, 28 February 2018 в 18:58

Panther · Answer 9 · 24 July 2018 в 19:09

Вы ответили на свой вопрос, ubuntu не поддерживает профиль для skypeforlinux. Вы должны написать свой собственный или найти и адаптировать один из Интернета.

https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& ключевые слова = skypeforlinux

IMO, лучше всего написать собственный профиль, см. https://packages.ubuntu.com/search?suite=yakkety&arch=any&mode=filename&searchon=contents& Ключевые слова = skypeforlinux

Никто не может сказать вам, что принять и что блокировать, то есть для вас.

Google google дает несколько профилей на git хаб и в других местах. Вам необходимо просмотреть эти профили для точности, путей и ваших потребностей, но это может быть начало.

https://www.google.com/search?q=apparmor+profile+skypeforlinux& oq = apparmor + profile + skypeforlinux & amp; aqs = chrome..69i57j69i60l3.15031j0j9 & amp; sourceid = chrome & amp; ie = UTF-8

Сначала в списке: https://www.google.com /search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

#include <tunables/global>

/opt/skypeforlinux/skypeforlinux {

    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
    #include <abstractions/ssl_certs>
    #include <abstractions/fonts>
    #include <abstractions/X>
    #include <abstractions/freedesktop.org>
    #include <abstractions/user-download>
    #include <abstractions/user-tmp>
    #include <abstractions/pulse>
    #include <abstractions/node-webkit>
    #include <abstractions/site/base>
    #include <abstractions/site/de>

    /etc/os-release r,
    /sys/devices/virtual/tty/tty*/active r,
    deny /dev/video0 rw,

    /opt/skypeforlinux/** kmr,
    /opt/skypeforlinux/skypeforlinux ix,

    owner @{HOME}/.config/skypeforlinux/ rw,
    owner @{HOME}/.config/skypeforlinux/** krwm,
    owner @{HOME}/[dD]ownload{,s}/** k,

    deny /etc/passwd rm,
    deny /proc/sys/kernel/yama/ptrace_scope r, # no clue

    # Site-local thing
    /etc/core/app/sec/openssl.cnf r,

    network,

}

Есть и другие варианты, и вам, вероятно, потребуется изменить эти профили для ваших нужд и пути для Ubuntu (я не знаю, например, skypeforlinux устанавливается в / opt, как в этом профиле, или где-то еще.

Вот еще один: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017
#include <tunables/global>

/usr/bin/skypeforlinux {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>

  /usr/bin/skypeforlinux r,
  /bin/dash ix,
  /bin/mkdir rix,
  /bin/readlink rix,
  /usr/bin/dirname rix,
  /usr/bin/nohup rix,

  /dev/shm/* rw,
  /etc/udev/udev.conf r,
  owner @{HOME}/.Xauthority r,
  owner @{HOME}/.config/skypeforlinux/ rw,
  owner @{HOME}/.config/skypeforlinux/** rw,
  /sys/bus/pci/devices/ r,
  /sys/devices/** r,
  "/tmp/skypeforlinux Crashes/" w,
  /usr/share/glib-2.0/schemas/gschemas.compiled r,
  /usr/share/skypeforlinux/** r,
  /usr/share/skypeforlinux/skypeforlinux rix,
  /{run,dev}/shm/pulse-shm* rwk,

}

Эти профили слишком стары и не работают с новейшими skypeforlinux. — Aleksey Kontsevich, 16 November 2017 в 20:19
@AlekseyKontsevich - Это недостаток apparmor. Ни skypeforlinux, ни Ubuntu не поддерживают профиль apparmor. Вы должны написать свой собственный, я предлагаю начать с одного из профилей в этом ответе и начать писать. Если у вас есть определенный вопрос или проблема, спросите, но вряд ли кто-то собирается установить skype и написать профиль для вас в это время. — Panther, 16 November 2017 в 20:45
Лучше использовать Matrix Riot на данный момент;) Просто нужно убедить клиентов использовать его. — Aleksey Kontsevich, 17 November 2017 в 21:52

Где я могу получить профиль apparmor для последней версии skypeforlinux 5.3?

9 ответов

Профиль апартмара

Профиль апартмара

Профиль апартмара

Другие вопросы по тегам:

Похожие вопросы: