Как без лишних переживаний запустить skype?

3

2

О причинах умолчу. Считайте, что паранойя. Нужно запустить skype в песочнице.

Гуглёж выдает всякие selinux'ы и apparmor'ы. Мне кажется это перебор, т.к. закрывать от скайпа что-то кроме фс не вижу смысла. Если есть, то прошу разъяснений.

Так вот, есть в генте такая тулза sandbox. Как сделать что-то вроде такого?

SANDBOX_DENY="${HOME}"
SANDBOX_WRITE="${HOME}/.skype"

чтобы скайп не смог в моем хомяке ничего прочитать, кроме своей папки?

Ссылка

←

Honeypot

Получить рута на банально огороженной системе

→

Никак. Страдай.

init_6 ★★★★★
(18.10.13 12:52:01 MSK)

Ссылка

закрывать от скайпа что-то кроме фс не вижу смысла

Вникай.

Спойлер для Ъ :)

Для тех, кто ничего не понял:
Любая программа, запущенная под иксами, имеет возможность ловить все инвенты во всех окнах под этими иксами (простейший кейлоггер можно реализовать на шелл-скрипте)

Считайте, что паранойя.

Только qemu, только hardcode.

Umberto ★☆
(18.10.13 12:53:36 MSK)
Последнее исправление: Umberto 18.10.13 12:54:57 MSK (всего исправлений: 1)

Создай нового пользователя и запускай скайп из-под него.

NeXTSTEP ★★
(18.10.13 12:55:25 MSK)

Ссылка

Как без лишних переживаний запустить skype?

Просто его не запускать.

Ваш адмирал.

~~fraxinum~~
(18.10.13 12:56:01 MSK)

Ссылка

Могу решение для apparmor или tomoyo (если чуть погуглить, на лоре кто-то sandbox Это просто оберточка для chroot
Неплохая такая вещь - sandfox

anonymous_sama ★★★★★
(18.10.13 12:57:15 MSK)

Ссылка

Ответ на: комментарий от Umberto 18.10.13 12:53:36 MSK

Спасибо. Про виртуалку я тоже думал =) Значит таки придется через нее.

kulti ★★
(18.10.13 12:58:31 MSK) автор топика

Ссылка

Не переживай.

J ★★★★
(18.10.13 12:59:01 MSK)

Ссылка

Изоляция Skype (комментарий)

shahid ★★★★★
(18.10.13 13:22:57 MSK)

Ссылка

man jail

anonymous
(18.10.13 13:36:25 MSK)

Ссылка

man mumble, man ekiga

Deleted
(18.10.13 13:55:50 MSK)

Ссылка

Ответ на: комментарий от Umberto 18.10.13 12:53:36 MSK

Плюсую виртуальную машину. С Gentoo в ней страдать не надо, ставь Debian netinstall.

anonymous
(18.10.13 14:24:23 MSK)

Ссылка

Плюсую просто отдельного юзера, не имеющего права читать ничего, кроме своей хоумдиры. Если уж совсем параноик, можно на время ввода паролей скайп убивать.

~~unt1tled~~ ★★★★
(18.10.13 16:26:39 MSK)

Ссылка

Если ты правда параноик, то только виртуальная машина, либо же отдельный юзер и отдельные иксы. В противном случае имея доступ к иксам скайп может делать что угодно.

Учитывая, что иксы у тебя 99% работают из под рута, то только виртуальная машина, без вариантов.

winddos ★★★
(19.10.13 04:34:51 MSK)
Последнее исправление: winddos 19.10.13 04:35:27 MSK (всего исправлений: 1)

Честному человеку скрывать нечего! ☺

~~Anon~~
(19.10.13 08:11:15 MSK)

Ссылка

Ответ на: комментарий от winddos 19.10.13 04:34:51 MSK

иксы у тебя 99% работают из под рута

??? Это где так?

~~Anon~~
(19.10.13 08:11:48 MSK)

Ответ на: комментарий от Anon 19.10.13 08:11:48 MSK

Это везде так.

blackst0ne ★★★★★
(19.10.13 08:20:34 MSK)

Ответ на: комментарий от blackst0ne 19.10.13 08:20:34 MSK

Shit! И правда!

eddy      2270  0.0  0.0  13880  1492 ?        Ss   08:04   0:00 -bash -c /bin/bash --login -c startx -- -nolisten tcp -br -deferglyphs 16 >/dev/null 2>/dev/nu
eddy      2271  0.0  0.0  14320  1832 ?        S    08:04   0:00 /bin/sh /usr/bin/startx
eddy      2311  0.0  0.0  15900   864 ?        S    08:04   0:00 xinit /home/eddy/.xinitrc -- /etc/X11/xinit/xserverrc :0 -auth /tmp/serverauth.JQ9JgOLfC0
root      2312  2.7  0.2 103088 18040 tty7     Ss+  08:04   0:38 /usr/bin/X -nolisten tcp :0 -auth /tmp/serverauth.JQ9JgOLfC0
eddy      2324  0.0  0.0  74648  2372 ?        S    08:04   0:00 icewm-session

Как страшно жЫть!

~~Anon~~
(19.10.13 08:25:24 MSK)

record ★★★★★
(19.10.13 08:25:48 MSK)

Ссылка

Запускай под вендой.

Lavos ★★★★★
(19.10.13 08:26:25 MSK)

Ссылка

Ответ на: комментарий от Anon 19.10.13 08:25:24 MSK

Anon
Shit! И правда!

Добро пожаловать в реальность.
Wayland, кстати, лишён этого недостатка.

blackst0ne ★★★★★
(19.10.13 10:24:49 MSK)

закатай его в lxc и xnest

thesame ★★★★
(19.10.13 10:54:38 MSK)

Ссылка

Sandboxie

~~Deathstalker~~ ★★★★★
(19.10.13 11:07:33 MSK)

Ссылка

Ответ на: комментарий от winddos 19.10.13 04:34:51 MSK

А если перейти на вяленого, то все равно ноль-эффекта, т.к. через X'овый бэканд все работать будет? Или там иксы не запускаются? И да, икса от рута - это для меня была мега-новость...

kulti ★★
(20.10.13 06:49:44 MSK) автор топика

Ответ на: комментарий от winddos 19.10.13 04:34:51 MSK

Главное скайпик от рута не пускать.

invokercd ★★★★
(20.10.13 09:02:13 MSK)

Параноики должны страдать.

neocrust ★★★★★
(20.10.13 09:12:14 MSK)

Ответ на: комментарий от kulti 20.10.13 06:49:44 MSK

А если перейти на вяленого, то все равно ноль-эффекта, т.к. через X'овый бэканд все работать будет? Или там иксы не запускаются?

Там ничего не должно запускаться из под рута, но я честно говоря не уверен, что там что либо сделано для защиты от злонамеренного клиента.

Ну т.е в винде когда юзер вводит пароль UAC ты софтом из обычного режима этот пароль не прочитаешь вообще никак, т.к для этого софта сабжевого окошка вообще не существует. В линуксе его любой скрипт работающий с твоими правами может прочесть.

winddos ★★★
(20.10.13 11:07:13 MSK)

Ответ на: комментарий от invokercd 20.10.13 09:02:13 MSK

Главное скайпик от рута не пускать.

Т.е ты как параноик убеждаешь себя в том, что скайпик за тобой может следить, но почему-то думаешь, что он не может это делать грамотно.

winddos ★★★
(20.10.13 11:11:10 MSK)

Ответ на: комментарий от kulti 20.10.13 06:49:44 MSK

В wayland на каждое x-приложение по rootless X-серверу

kravich ★★★★
(20.10.13 11:25:58 MSK)

Ссылка

Ответ на: комментарий от Umberto 18.10.13 12:53:36 MSK

Любая программа, запущенная под иксами, имеет возможность ловить все инвенты во всех окнах под этими иксами

а если программы запущенны под разными X-серверами?

mm3 ★★★
(20.10.13 11:36:48 MSK)

Ответ на: комментарий от mm3 20.10.13 11:36:48 MSK

а если программы запущенны под разными X-серверами?

Если на диске сохраняется magic cookie для доступа к X-сессии, то она его найдет и спокойненько подключится к нужной сессии.

anonymous
(20.10.13 11:56:57 MSK)

Ссылка

Ответ на: комментарий от winddos 20.10.13 11:11:10 MSK

Технически реализовать слежку за десятками миллионов юзеров в день которые отсылают немерянное количество сообщений, нужно очень этого хотеть.

invokercd ★★★★
(20.10.13 20:25:30 MSK)

Ответ на: комментарий от invokercd 20.10.13 20:25:30 MSK

Технически реализовать слежку за десятками миллионов юзеров в день которые отсылают немерянное количество сообщений, нужно очень этого хотеть.

Как это относится к тому факту, что обход песочниц при наличии доступа к иксам элементарен? Это задачка с которой справится любой школьник.

Хотя можешь дальше настраивать себе AppArmor/SELinux/etc и чувствовать себя дофига в безопасности. Прямо как виндузятник который ставит антивирус и продолжает сидеть под администратором и запускать левые экзешники скачанные с инета..

winddos ★★★
(20.10.13 20:37:56 MSK)
Последнее исправление: winddos 20.10.13 20:39:12 MSK (всего исправлений: 1)

Почему никто не прокомментировал ответ thesame?

Как без лишних переживаний запустить skype? (комментарий)

Chaser_Andrey ★★★★★
(20.10.13 20:43:39 MSK)

Ответ на: комментарий от winddos 20.10.13 20:37:56 MSK

У меня на машине со скайпом нет информации которая представляет такую ценность, хотя параноикам не понять.

invokercd ★★★★
(21.10.13 01:53:54 MSK)

Ссылка

Ответ на: комментарий от Chaser_Andrey 20.10.13 20:43:39 MSK

Потому что выглядит как полумеры. Вроде бы виртуалка, да ведро то же, вроде бы иксы другие, да под теми же.

anonymous
(21.10.13 03:18:46 MSK)

Ссылка

Ответ на: комментарий от winddos 20.10.13 11:07:13 MSK

В линуксе его любой скрипт работающий с твоими правами может прочесть.

А дай-ка ты скрипт, который, скажем, пароль вводимый в sudo прочитает. А то звездеть все горазды.

unanimous ★★★★★
(21.10.13 03:39:42 MSK)

Ответ на: комментарий от unanimous 21.10.13 03:39:42 MSK

А дай-ка ты скрипт, который, скажем, пароль вводимый в sudo прочитает. А то звездеть все горазды.

Да пожалуйста:
Изоляция Skype (комментарий)

winddos ★★★
(21.10.13 03:54:25 MSK)

Ссылка

Ответ на: комментарий от winddos 19.10.13 04:34:51 MSK

Если ты правда параноик, то только виртуальная машина

параноики знают, что из виртуальной машины можно сбежать в некоторых случаях :)

~~xtraeft~~ ★★☆☆
(21.10.13 06:42:34 MSK)

Ответ на: комментарий от neocrust 20.10.13 09:12:14 MSK

Как же ты меня раздажаешь. Ты ни разу не сказал тут что-либо полезного, несёшь один хомяковый тупняк. Пойди убейся.

anonymous
(21.10.13 07:11:58 MSK)

Ссылка

Ответ на: комментарий от xtraeft 21.10.13 06:42:34 MSK

параноики знают, что из виртуальной машины можно сбежать в некоторых случаях :)

Естественно, но любая виртуалка намного меньшее решето, чем десктопный линукс.

winddos ★★★
(21.10.13 07:27:47 MSK)

Ссылка

Запускай на чужой машине.

aedeph_ ★★
(21.10.13 08:10:13 MSK)
Последнее исправление: aedeph_ 21.10.13 08:10:34 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от mm3 20.10.13 11:36:48 MSK

а если программы запущенны под разными X-серверами?

ps aux выполни. Чрут, отдельные иксы, это как кабинки для курящих.

Umberto ★☆
(21.10.13 11:10:00 MSK)

Ссылка

[fat] А вы думали, что скайп обновляется чтобы добавить новые нескучные плитки? Это они новые приватный шифрованные бинарные локальные рут сплойты добавляют.

anonymous_sama ★★★★★
(21.10.13 11:37:55 MSK)
Последнее исправление: anonymous_sama 21.10.13 11:38:12 MSK (всего исправлений: 1)