Sign in

Зарегистрируйтесь, чтобы стать полноправным участником сообщества Masterpro.ws.

Skype и AppArmor

Многие пользователи, набрав полную грудь воздуха свободного ПО, испытывают сильное недоверие к скайпу; и покупка оного ребятами из MS в этом плане ситуацию никоим образом не спасает.

Вызывали?

Скорее наоборот; участники самых разнообразных форумов и конференций, набрав уже теперь полную грудь мата, изощряются в изъявлениях "благодарности"... для которых, надо признать, есть все основания; на редкость неважно работает последняя на момент написания статьи бетка от MS в целом ряде дистров. Подробности по ссылке - проблемы со skype... правда, это уже совсем иная история.

А нас в данный момент интересует следующий вопрос: установив скайп в свой излюбленный линукс - fedora, ubuntu, mandriva или иной - не вводим ли мы своими руками трояна в систему? да, именно так в большинстве случаев сформулированы опасения линуксоидов. А если все же - да, то - как с этим бороться? Ведь бесплатный телефон-то всяко нужен!

Опасения не беспочвенны. Много раз детище знаменитых в хакерской среде людей было поймано, так сказать, с поличным... доподлинно известно и многократно обсуждено, что пытается оно, скажем, прочесть профили Mozilla... ну и еще говорят про него много чего нехорошего. Подробный анализ грехов Skype не входит сейчас в нашу задачу; примем как данность, что присутствие проприетарного ПО в среде прозрачного и свободного программного обеспечения априори требует принятия некоторых разумных мер предосторожности... ну, в самом деле: если вы работаете в MS Windows - что уж вам там пить боржоми, как говорится; единственное средство здесь обрести душевное спокойствие в плане сохранности своих драгоценных приватных данных, это - не подключать машину к интернету... но если вы линуксоид - тут совсем другое дело. Есть за что побороться, ну и инструменты найдутся.



Давайте рассмотрим здесь интересный инструмент, который носит название AppArmor.

AppArmor — программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили (англ. profiles)), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. В AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей.

Изначально программа была разработана компанией Immunix. После её приобретения компанией Novell инструмент был открыт под лицензией GNU GPL и включён в openSUSE. Позже адаптирован для Ubuntu.

В конце лета 2008 года Рассел Кокер, один из авторов SELinux, высказал мнение, что AppArmor бесперспективен, объяснив это тем, что даже в openSUSE появляется поддержка аналогичного и более популярного решения — SELinux. Однако вскоре разработку AppArmor продолжил сотрудник Canonical, а в июле 2010 года было объявлено о том, что AppArmor войдет в состав Linux-ядра версии 2.6.36.


Поверьте, это именно то, что нам нужно! Правда, мой установленный с Live CD OpenSUSE 12.1 KDE линукс, вопреки общепринятому мнению, не имел по-умолчанию в Yast графического фронтенда AppArmor... что же, установить его несложно. Сказано - сделано, устанавливаем:
  • parmor-parser
  • apparmor-profiles
  • apparmor-utils
  • libapparmor1
  • perl-libapparmor
  • apparmor-dbus


ну и yast2-apparmor не помешает, коли уж вы в OpenSUSE.

Теперь - забираем вот этот профиль и  помещаем в /etc/apparmor.d/  , после чего совсем нелишне попросту перезагрузиться.

Примечание: информация устарела. Новый профиль skype-apparmor для OpenSuse 13.2 и skype 4.3 доступен на страничке форума.


Проверяем, все ли у нас получилось:

linux-i6jm:/home/aleksej # apparmor_status
apparmor module is loaded.
26 profiles are loaded.
26 profiles are in enforce mode.
   /bin/ping
   /sbin/klogd
   /sbin/syslog-ng
   /sbin/syslogd
   /usr/bin/skype
   /usr/lib/apache2/mpm-prefork/apache2
   /usr/lib/apache2/mpm-prefork/apache2//DEFAULT_URI
   /usr/lib/apache2/mpm-prefork/apache2//HANDLING_UNTRUSTED_INPUT
   /usr/lib/apache2/mpm-prefork/apache2//phpsysinfo
   /usr/lib/dovecot/deliver
   /usr/lib/dovecot/dovecot-auth
   /usr/lib/dovecot/imap
   /usr/lib/dovecot/imap-login
   /usr/lib/dovecot/managesieve-login
   /usr/lib/dovecot/pop3
   /usr/lib/dovecot/pop3-login
   /usr/sbin/avahi-daemon
   /usr/sbin/dnsmasq
   /usr/sbin/dovecot
   /usr/sbin/identd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/ntpd
   /usr/sbin/smbd
   /usr/{sbin/traceroute,bin/traceroute.db}
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/avahi-daemon (1054)
   /usr/sbin/nscd (1129)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Он всегда со мной
Да, все прекрасно; работают, как видите, загруженные нами дефолтные профили плюс еще один вручную созданный, для нашего родного и мелкомягкого теперь скайпа. Поверьте, так гораздо лучше!

Вы можете, не прибегая к помощи указанного профиля - попытаться занести Skype в список программ enforced-профиля:

# aa-enforce skype

Не факт, что везде это получится, но можно и так.

Сразу вопрос; почему именно AppArmor? Почему не SeLinux ?
Ответ - да нипочему. Разумеется, ничего такого уж уникального в AppArmor нет, и - не единственно нам с вами свету в окошко, кроме AppArmor... но вот - признайтесь честно, у вас в самом деле есть опыт настройки SeLinux в контексте Skype? Думаю, абсолютное большинство читающих сейчас эти строки - ответят отрицательно... ну, хотя бы - самому себе. Вот вам и ответ; AppArmor проще; и настройка его займет у вас, соответственно, гораздо меньше времени. Которого, разумеется, всегда не хватает. Опять же - заготовленные заранее и вполне корректно работающие профили... пользуйтесь, одним словом. Помните, нам с вами выпало жить в то самое сумасшедшее время, которое знаменуется, в частности, самыми разнообразными способами хищения информации... как ко всему этому относиться - уже зависит от вашего темперамента; но в любом случае - придется приспосабливаться. :)

 

Продолжение на форуме

2 комментарии

  • Aleksej

    написал Aleksej

    Пятница, 23 декабря 2011 21:51

    Да практически никак не сильно. Не парьтесь с этим.

  • Max

    написал Max

    Пятница, 23 декабря 2011 20:00

    Спасибо, просто и ясно, а самое главное - полезно! Теперь гораздо спокойнее пользоваться мелкоскайпом.
    Вопрос: как сильно работа AppArmor сказывается на потребление системных ресурсов?

Оставить комментарий

Добавьте ваш комментарий