- Сообщений: 227
- Спасибо получено: 33
Как создать и настроить свой веб-сервер на VDS (05 сен 2024)
Осенью самое время заняться установкой и тюнингом своего веб-сервера. Не правда ли?
Skype и Apparmor
- evgenij
- Автор темы
- Не в сети
- Завсегдатай
Less
Больше
9 года 5 мес. назад - 9 года 5 мес. назад #1
от evgenij
Have a lot of fun!
evgenij создал тему: Skype и Apparmor
Приведенный в статье
Skype и Apparmor
профиль apparmor неактуален на сегодняшний день. По крайней мере, для OpenSuse и Fedora. Предлагаю более новый, найденный
на гитхабе
. На момент даты написания этого поста, вполне пашет на OpenSuse 13.2 (skype v. 4.3.0.37).
Code:
# vim:syntax=apparmor
#
# Copyright (C) 2012 Lekensteyn <lekensteyn@gmail.com>
#include <tunables/global>
/opt/skype/skype {
#include <abstractions/kde>
#include <abstractions/nameservice>
#include <abstractions/video>
#include <abstractions/audio>
#include <abstractions/dbus-session>
/opt/skype/** krmw,
#/usr/lib32/skype/skype mrix,
#/usr/share/skype/** r,
#/usr/share/skype/lang/skype_*.qm rm,
/etc/ssl/openssl.cnf r,
# should get into abstractions/dbus-session, necessary if
# /var/lib/dbus/machine-id is absent
/etc/machine-id r,
# sound - assume pulseaudio
owner /dev/shm/pulse-shm-* m,
# if there is a search for the below, pulseaudio is not working
#/etc/asound.conf r,
#/dev/snd/* mr,
# video
/dev/video[0-9]* rwm,
# preloaded
/usr/lib32/libv4l/v4l2convert.so m,
# here be dragons
owner @{HOME}/.Skype/ rw,
owner @{HOME}/.Skype/** rwk,
owner @{HOME}/.config/Skype/ rw,
owner @{HOME}/.config/Skype/** rwk,
# fonts
/usr/share/fonts/** m,
@{HOME}/.config/fontconfig/** r,
@{HOME}/.cache/fontconfig/** rm,
deny /var/cache/fontconfig/ w,
deny @{HOME}/.cache/fontconfig/** w,
# system info
/dev/ r,
@{PROC}/sys/kernel/ostype r,
@{PROC}/sys/kernel/osrelease r,
/sys/devices/system/cpu/ r,
/sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur,max}_freq r,
/sys/devices/**/power_supply/*/online r,
deny /sys/devices/**/video4linux/video[0-9]*/dev r,
deny /sys/devices/**/usb[0-9]*/**/idVendor r,
# spam
#deny @{PROC}/[0-9]*/net/route r,
deny @{PROC}/[0-9]*/{fd,task}/ r,
deny /dev/pts/** rw,
deny /dev/tty rw,
deny @{HOME}/.kde4/share/config/kdeglobals k,
deny @{HOME}/.mozilla/ r,
# optional speedup trick
deny @{HOME}/.compose-cache/* w,
}
Have a lot of fun!
Последнее редактирование: 9 года 5 мес. назад пользователем evgenij.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- serge
- Не в сети
- Модератор
Less
Больше
- Сообщений: 986
- Спасибо получено: 146
9 года 5 мес. назад - 9 года 5 мес. назад #2
от serge
А я смогу! - А поглядим! - А я упрямый!
serge ответил в теме Skype и Apparmor
Думаю,
целесообразно исправить на
?
Code:
/opt/skype/skype
целесообразно исправить на
Code:
/usr/bin/skype
?
А я смогу! - А поглядим! - А я упрямый!
Последнее редактирование: 9 года 5 мес. назад пользователем serge.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- evgenij
- Автор темы
- Не в сети
- Завсегдатай
Less
Больше
- Сообщений: 227
- Спасибо получено: 33
9 года 5 мес. назад #3
от evgenij
Have a lot of fun!
evgenij ответил в теме Skype и Apparmor
Ну да. Это для dynamic skype изначально сделано. Но будет работать по-любому.
В итоге, уже в Apparmor, файл становится таким:
Можно использовать, скайп заперт надежно.
В итоге, уже в Apparmor, файл становится таким:
Code:
# Last Modified: Thu Jun 4 04:26:41 2015
#include <tunables/global>
/usr/bin/skype {
#include <abstractions/audio>
#include <abstractions/dbus-session>
#include <abstractions/kde>
#include <abstractions/nameservice>
#include <abstractions/video>
deny /dev/pts/** rw,
deny /dev/tty rw,
deny /sys/devices/**/usb[0-9]*/**/idVendor r,
deny /sys/devices/**/video4linux/video[0-9]*/dev r,
deny /var/cache/fontconfig/ w,
deny @{HOME}/.cache/fontconfig/** w,
deny @{HOME}/.compose-cache/* w,
deny @{HOME}/.kde4/share/config/kdeglobals k,
deny @{HOME}/.mozilla/ r,
deny @{PROC}/[0-9]*/{fd,task}/ r,
/dev/ r,
owner /dev/shm/pulse-shm-* m,
/dev/video[0-9]* mrw,
/etc/machine-id r,
/etc/ssl/openssl.cnf r,
/sys/devices/**/power_supply/*/online r,
/sys/devices/system/cpu/ r,
/sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur,max}_freq r,
/usr/bin/skype/** mrwk,
/usr/lib32/libv4l/v4l2convert.so m,
/usr/share/fonts/** m,
owner @{HOME}/.Skype/ rw,
owner @{HOME}/.Skype/** rwk,
@{HOME}/.cache/fontconfig/** mr,
owner @{HOME}/.config/Skype/ rw,
owner @{HOME}/.config/Skype/** rwk,
@{HOME}/.config/fontconfig/** r,
@{PROC}/sys/kernel/osrelease r,
@{PROC}/sys/kernel/ostype r,
}
Можно использовать, скайп заперт надежно.
Have a lot of fun!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Не в сети
- Модератор
7 года 11 мес. назад - 7 года 11 мес. назад #4
от Aleksej
Описание способа изоляции скайпа посредством docker-контейнера - в материале блога Docker-skype. Paranoia .
Aleksej ответил в теме Skype и Apparmor
Описание способа изоляции скайпа посредством docker-контейнера - в материале блога Docker-skype. Paranoia .
Последнее редактирование: 7 года 11 мес. назад пользователем Aleksej.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.