LINUX.ORG.RU

Skype в изолированном окружении

 


1

1

Пришлось все-таки установить Skype для общения с некоторыми несознательными юзерами :(
Поэтому хочется хотя бы минимизировать наносимый им шпиёнский
ущерб.

Вот нашел некую рецептуру от альтовцев: https://www.altlinux.org/Skype/isolation

Но блин, это якобы «хавту» писал явно какой-то филолог - сначала куча беллестристики, а потом единственная целенаправленная команда -

$ share_network=1 hsh-run -Y ~/skype -- padsp -d -s 127.0.0.1:4713 skype &
а вторая
load-module module-native-protocol-tcp listen=127.0.0.1 auth-anonymous=1
нужна "чтобы сервер PulseAudio принимал сетевые соединения"
А я хз, откуда мне знать, должен ли он их принимать или нет, я вообще-то интересуюсь совсем другим - изоляцией Скайпа.

Также непонятно, надо ли "предварительно произвести в этом окружении попытку запуска службы messagebus
А также непонятно, надо ли выполнять команду padsp, и если да, то как именно.

В-общем, ни фига я не понял из этого беллетристического «хавту», которое, по моему разумению, должно выглядеть как Устав караульной службы -
п.1 - выполнить то-то и то
п.2 - выполнить то-то и то
п.3 - выполнить то-то и то
и т.д.

Кто-то может пояснить в этом стиле, как четко выполнить это недо-хавту?

★★★

Просто пускаю его с-под отдельного юзера.

anonymous ()
Ответ на: комментарий от anonymous

Хм...Рраз вы уходите от темы, значит, вы тоже не знаете, как осилить это недо-хавту?

chukcha ★★★ ()

В-общем, ни фига я не понял из этого беллетристического «хавту», которое, по моему разумению, должно выглядеть как Устав караульной службы

Это называется функциональной неграмотностью. Начинай уже смотреть зомбоящик, там всё разжевывают как раз для таких.

anonymous ()

должен ли он их принимать или нет

Очевидно должен, раз уж ты указываешь padsp сетевой адрес.

no-such-file ★★★★★ ()

Сначала разберись с hasher.

greenman ★★★★★ ()
Ответ на: комментарий от anonymous

Исчерпывающее, по моему, руководство по изоляции линуксового скайпа актуальной версии: http://masterpro.ws/forum/28-bezopasnost/4713-skype-from-another-user

Это да, только где гарантия, что оно тоже, как многие подобные хавту, не устарело и перестало работать?


Сначала разберись с hasher

А можно без разборок с какими-то малопонятными вещами?

Мне всего-то навсего надо нормальное вменяемое хавту по изоляции Skype.
Нормальное - это пошаговая, т.е. по пунктам, инструкция (а не филологическая беллетристика и разборки).


Еще вроде была изоляция с помощью chroot, но вы почему-то о ней не вспоминаете.

chukcha ★★★ ()
Ответ на: комментарий от chukcha

Вижу, о chroot вы тоже не знаете, оказывается :(
Или ведущие лор-знатоки в отпусках нынче?

Поэтому подсказываю:

http://vitus-wagner.dreamwidth.org/1143079.html и
http://vitus-wagner.livejournal.com/1148748.html

Но только веры скриптам особой нет, они, как правило, недолгоживущие, потому что жестко привязаны к дистру и даже его версии.

Поэтому задам еще такой вопрос:

- чем мы рискуем, запуская Skype от имени другого пользователя?

Т.е.:
- создаем дополнительного пользователя (например, skype)
- заходим в него в своей сессии как su - skype
- ну и далее запускаем там Skype вручную

При такой схеме данные основного пользователя Скайпу вроде недоступны.

Тогда что при такой схеме «улетает» в тырнет - логи, /etc, еще что-то?

chukcha ★★★ ()

AppArmor настрой уже и мозг не парь
google://apparmor skype profile

system-root ★★★★ ()
Последнее исправление: system-root (всего исправлений: 1)
Ответ на: комментарий от system-root

Иди сначала сам прочти последние сведения о своем AppArmor.
Или ты тему только с конца читаешь?

chukcha ★★★ ()
Ответ на: комментарий от chukcha

дружище, я прочел тему второй раз и не понял что значит

Или ты тему только с конца читаешь?

где то выше писали про policy?

Иди сначала сам прочти последние сведения о своем AppArmor.

это я тоже сделал и знаешь что? оно работает как прежде
выходит оба твоих предложения просто ради энтропии?

system-root ★★★★ ()
Ответ на: комментарий от system-root

Ну тогда смотри это:
http://masterpro.ws/forum/28-bezopasnost/4763-skype-i-apparmor
где автор пишет:

Приведенный в статье Skype и Apparmor профиль apparmor неактуален на сегодняшний день.
По крайней мере, для OpenSuse и Fedora. Предлагаю более новый, найденный на гитхабе.

Т.е. - «неактуален на сегодняшний день», а эта публикация почти год назад.
И где тогда где гарантия, что его вариант к этому времени тоже не перестал быть актуальным?
Очень похоже, что с этим Apparmor будет бесконечная гонка за неуловимым.

И почему, в самом деле, никто не опубликовал самый надежный вариант - настройку под SELinux?
Понятное дело, это сложная штука и мне по зубам, но есть же знатоки!

chukcha ★★★ ()
Ответ на: комментарий от chukcha

это троллинг такой?
шапочки из фольги бесплатно без смс или руками

$sudo apt-get install apparmor-utils
$ whereis skype
skype: /usr/bin/skype /usr/share/skype
$sudo aa-autodep /usr/bin/skype
$sudo aa-complain /usr/bin/skype
потом запустить скайп, и в терминале sudo aa-logprof да-да-да-да-сохранить

system-root ★★★★ ()
Ответ на: комментарий от chukcha

никто не опубликовал самый надежный вариант - настройку под SELinux

Чем AppArmor хуже SELinux в данном случае?

lu4nik ★★★ ()
Ответ на: комментарий от chukcha

читаю и просто офигеваю. Гарантии какие-то ему требуются, ты о чем вообще? Найми себе системного администратора и требуй с него гарантий. Хотя в одной древней мудрой книжке было сказано, что гарантию у нас способен дать только Госстрах. ТОпик содержит ссылки на несколько манов, дело за малым: отбросить наконец ламерскую болтовню и начать хоть что-то делать.

anonymous ()
Ответ на: комментарий от system-root

Чет вы какие-то все злые сегодня, как мухи на Спаса :) Впрочем, это лоровская традиция.

И все-таки, кто-то может ответить на заданный выше вопрос:

При такой схеме данные основного пользователя Скайпу вроде недоступны.
Тогда что при такой схеме «улетает» в тырнет - логи, /etc, еще что-то?

chukcha ★★★ ()
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от chukcha

Тогда что при такой схеме «улетает» в тырнет - логи, /etc, еще что-то?

опять таки, или использовать MAC, например apparmor или аудит, например auditd
это всё сложные не сложные инструменты
например:

system-root@ubuntu32:~$ sudo autrace /usr/bin/skype
Waiting to execute: /usr/bin/skype
Cleaning up...
Trace complete. You can locate the records with 'ausearch -i -p 2612'
system-root@ubuntu32:~$ sudo ausearch  -p 2612 | aureport -f -i

File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 28.03.2016 21:00:30 /etc/localtime stat64 yes /usr/bin/skype unset 231311
2. 28.03.2016 21:00:30 /etc/localtime stat64 yes /usr/bin/skype unset 231312
....
323. 28.03.2016 21:00:48 /tmp/sni-qt_skype_2612-9XgygA/ statfs64 yes /usr/bin/skype unset 279152
324. 28.03.2016 21:00:48 /tmp/sni-qt_skype_2612-9XgygA/icons/ statfs64 yes /usr/bin/skype unset 279157
естественно всё это настраивается и всё такое.

system-root ★★★★ ()
Ответ на: комментарий от system-root

Вот это мне как раз и не нравится. Мне бы такое: нажал кнопку - и в дамки! :)

Потому что любая настройка подразумевает вероятность ошибок и чего-то неучтенного.
Я уже приводил ссылки, что ваш Apparmor недолгоживущий - сегодня его настройки работают, а завтра оказываются, что новый исследователь выяснил, что они уже не удовлетворяют требованиям, и начинает городить с ним новый огород.
При таких «новостях» веры этому Apparmor нет.

Поэтому второй раз задаю один и тот же вопрос:

И все-таки, кто-то может ответить на заданный выше вопрос:

При такой схеме данные основного пользователя Скайпу вроде недоступны.
Тогда что при такой схеме «улетает» в тырнет - логи, /etc, еще что-то?

chukcha ★★★ ()
Ответ на: комментарий от chukcha

прошло три дня, за которые можно было хотя бы на википедии посмотреть что это такое MAC и что такое AppArmor, как оно работает, после этого

ваш Apparmor недолгоживущий
новый исследователь выяснил
веры этому Apparmor нет

и прочее не имело смысла писать.
а теперь что? я по вашему должен отстаивать здравый смысл или опровергать чью-то компетентность?
или я должен вас в какую то веру обращать?
есть потребность - контролировать доступ к файлам у определенного ПО
потребность нишевая, удовлетворением такой потребности, обычно, занимаются специально обученные люди
ок, хочется сделать это дома на локалхосте - не вопрос, я подсказал каким инструментом это сделать проще всего.
но, есть желание вместо удовлетворение этой потребности спорить о качестве AppArmor - не вопрос, только для начало хотя бы установите, чтоб предмет спора перешел из разряда «некий новый исследователь выяснил» в «установил, настроил, нифига не работает, скай слил в цру всю дсп»

system-root ★★★★ ()

варианты,по убыванию от простого к сложному(сам делал все):

0.заведи телефон/планкешт со скайпом и по вайфаю общайся с неверными

1.установи виртуалку(с линуксом/виндой неважно)-проще всего

2.сделай отдельного пользователя и логинься им в отдельных иксах/сессии как удобно

2.5 chroot (такое себе)

3.настрой apparmore для текущего пользователя(это ад)

4.виртуалку на зашифрованном диске развещенном в tmpfs(в оперативке) создавая скриптом при загрузке системы,и там скайп

hif43872 ()
Ответ на: комментарий от hif43872

прошло три дня, за которые можно было

Эти три дня я усиленно думал :)


И понял, что, как это не противно (от собственного бессилия), но придется использовать это:

1.установи виртуалку(с линуксом/виндой неважно)-проще всего
2.сделай отдельного пользователя и логинься им в отдельных иксах/сессии как удобно
4.виртуалку на зашифрованном диске развещенном в tmpfs(в оперативке) создавая скриптом при загрузке системы,и там скайп

4) - это, конечно, перебор.
А вот о 2) сколько не спрашивал, никто не ответил о последствиях.
А значит, никто о них не знает.

Поэтому придется использовать 4).
Это будет самым железобетонным способом.
Только бы дистр подобрать бы поменьше.
SliTaz на 60 метров подошел бы на ура, но в нем до сих пор не приручили Skype, чтобы он кроме текста, еще голос и видео передавал.

И если не SliTaz, то что?

chukcha ★★★ ()
Ответ на: комментарий от chukcha

никто не ответил о последствиях.

каких еще бл*ть последствиях?

ты знаешь ЗАЧЕМ нужны пользователи?

у полбзователя каждого есть ПРАВА ДСТУПА-тоеть тебе достаточно запретить доступ другим пользователям к своему /home/xxxx пользователю(основному
и заускать скайп от /home/yyyyy и скайп ничего кроме yyyyy каталога читать не сможет

и что еще за поменьше дистр?
ты из прошлого века с дисководом на касетах или магнитных дисках?

купи ssd отдельный для разела со скайпом,или кусок жесткого пд /home/yyyyy отдай....поменьше дистр...ужас

hif43872 ()
Ответ на: комментарий от hif43872

каких еще бл*ть последствиях?

Ну раз бл**ть ты такой тупой, то и говорить с тобой нечего

chukcha ★★★ ()
Ответ на: комментарий от PI_RATE

Там, веб клиент скайпа с видео и аудио звонками.

Спасибо, получается, я пропустил ноу-хау.

Но к этому плагину возникает тот же вопрос, как и к Skype - видит ли он пользовательские данные и не сливает ли их?

chukcha ★★★ ()
Ответ на: комментарий от chukcha

Тут намного проще потому-что у фокса куча плугинов как раз для этих целей.

PI_RATE ()
Ответ на: комментарий от PI_RATE

Там, веб клиент скайпа с видео и аудио звонками.

Пока только чат. Под линукс плагины глоса/видео так и не сделали.

«The Skype web plugin is not supported on Windows RT, Linux and Chromebooks.»

viewizard ★★ ()
Ответ на: комментарий от viewizard

Надо, будет проверить, мне кажется они используют веб технологии и можно спокойно звонить отовсюду.

PI_RATE ()
Ответ на: комментарий от chukcha

с самого начала, «просто нажать на кнопку и все» в линуксе не получится. Нет здесь такого. Хочешь верь, хочешь - не верь. Если это не устраивает, то оптимально сразу отказаться от поисков в данной нише: садись на винду или мак и не морочь голову... честно сказать, думаю, так будет лучше: за все время обсуждения уже можно было бы несколько раз найти инфу и понять, что apparmor давно прекратил свое развитие. Selinux его, что называется, съел. И предъявлять здесь кому-либо претензи смешно и нелепо. Несмотря на то, что apparmor все последние годы ставился по умолчанию при установке в родном для него OpenSuse (вроде достаточно было галку поставить или снять, уже точно не помню) - это мертвый, к сожалению, проект, и пенять здесь не на кого. Поставляемый по-дефолту профиль скайпа - по факту нерабочий уже много лет: скайп под ним не работает. Поверь, все неголословно, проверял, и не единожды. Года-два или три назад еще можно было скачать модификацию данного профиля из базы знаний OpenSuse (он и сейчас там), затем стал нерабочим и он. Что неудивительно: скайп развивается, apparmor - нет. Тот профиль apparmor под скайп, что ты увидел на форуме моего сайта - на данный момент почти единственно рабочий, пользуйся моментом. Все ведь течет, все меняется. И это круто. Жаль, что не понимаешь. Оптимально для тебя - попробовать настроить скайп from another user, это самое простое (по ссылке выше полностью рабочий вариант, только, опять же, без кнопок, и прочти внимательно весь топик). Можно попробовать использовать и selinux-sandbox, я делал вот так, как здесь описано: http://masterpro.ws/forum/28-bezopasnost/4594-skype-v-kletke-selinux-sandbox , и все скрины тоже мои. Но, опять же, это было не вчера, вполне возможно, придется вкурить маны и поторчать, вкуренным, на форумах. «Талантливых офисных менегеров», непрошибаемо уверенных, что можно что-то получить не вкладываясь, одной лишь разбитной болтовней - на технических форумах не переносят, просекают и пресекают это сразу. Имхо, избранный тобой путь познания... к линуксу не ведет, если попробовать чуть перефразировать всем известный киноафоризм. Впрочем, дело твое.

rishard ()
Ответ на: комментарий от rishard

Точки и запятые освоил - маладец!
Еще научись употреблять абзацы, а то откровенно лень такое месиво читать.

chukcha ★★★ ()
Ответ на: комментарий от chukcha

Судя по неадекватной реакции, нечаянно удалось попасть в точку... очередной офисный планктон, в перерывах между вылизыванием задницы своего босса - решил провести survey, будучи убежденными, что профессиональное краснобайство 100% помогает во всех без исключения ситуациях. Не тратьте времени на болтуна, народ; если челу лень читать - он безнадежен. Пусть бакланит дальше.

rishard ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.