Où puis-je obtenir le profil apparmor pour la dernière version de skypeforlinux 5.3?

Question

Aujourd'hui, les appels ne fonctionnent plus dans l'ancienne version de Skype 4.3 avec les dernières versions mobiles. Si je dois effectuer la mise à niveau vers le dernier logiciel Skype pour Linux, où puis-je obtenir apparmour pour le nouveau /usr/bin/skypeforlinux version 5.3? Merci!

Aleksey Kontsevich · Accepted Answer

Meilleur et le plus simple profil que j'ai jamais vu trouvé ici : bloque totalement l'accès à la maison dir. J'ai seulement supprimé la ligne suivante pour empêcher ~/.config/ accès comme suggéré:

#include <abstractions/xdg-desktop> и

et accordé l'accès à ~/Downloads/Skype

owner @{HOME}/[dD]ownload{,s}/Skype/ rw, owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

Profil d'apparmeur

#include <tunables/global> /usr/bin/skypeforlinux { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/fonts> #include <abstractions/gnome> #include <abstractions/kde> #include <abstractions/nameservice> #include <abstractions/user-tmp> #include <abstractions/freedesktop.org> #include <abstractions/X> /dev/ r, /dev/dri/ r, /dev/snd/ r, /etc/ssl/* r, /etc/drirc r, /dev/video* rw, /dev/video[0-9]* m, /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3` owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie) /sys{/,/**} r, /etc/machine-id r, /etc/udev/udev.conf r, /etc/alsa-Pulse.conf r, /etc/asound-Pulse.conf r, /var/lib/dbus/machine-id r, /etc/Pulse/client.conf.d{/,/**} r, /dev/dri/* rm, /dev/snd/* rm, /usr/share/** rm, /run/nscd/group rm, /usr/lib64/dri/* rm, /bin/* rix, /usr/bin/* rix, /usr/share/skypeforlinux/** rmix, /dev/tty rw, /dev/dri/** rw, /dev/pts/** rw, /dev/snd/** rw, /tmp{/,/**} rw, /dev/shm/** rmw, owner @{HOME}/.config/skypeforlinux{/,/**} rkmw, owner @{HOME}/[dD]ownload{,s}/ r, # allow to browse Download dir owner @{HOME}/[dD]ownload{,s}/Skype/ rw, owner @{HOME}/[dD]ownload{,s}/Skype/** rw, }

Panther · Answer

Vous avez répondu à votre propre question, Ubuntu ne conserve pas de profil pour skypeforlinux. Vous devez écrire le vôtre ou en trouver et en adapter un à partir d'Internet.

https://packages.ubuntu.com/search?suite=yakkety&Arch=any&mode=filename&searchon=contents&keywords=skypeforlinux

OMI, mieux vaut écrire votre propre profil, voir https://www.howtogeek.com/118328/how-to-create-apparmor-profiles-to-lock-down-programs-on-ubuntu/ =

Personne ne peut vous dire quoi accepter et quoi bloquer, c'est à vous de décider.

Une recherche google donne plusieurs profils sur git hub et ailleurs. Vous devez examiner ces profils pour en déterminer la précision, les chemins et vos besoins, mais ils peuvent constituer un point de départ.

https://www.google.com/search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

Premier sur la liste: https://github.com/mk-fg/apparmor-profiles/blob/master/profiles/opt.skypeforlinux

#include <tunables/global> /opt/skypeforlinux/skypeforlinux { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice> #include <abstractions/ssl_certs> #include <abstractions/fonts> #include <abstractions/X> #include <abstractions/freedesktop.org> #include <abstractions/user-download> #include <abstractions/user-tmp> #include <abstractions/Pulse> #include <abstractions/node-webkit> #include <abstractions/site/base> #include <abstractions/site/de> /etc/os-release r, /sys/devices/virtual/tty/tty*/active r, deny /dev/video0 rw, /opt/skypeforlinux/** kmr, /opt/skypeforlinux/skypeforlinux ix, owner @{HOME}/.config/skypeforlinux/ rw, owner @{HOME}/.config/skypeforlinux/** krwm, owner @{HOME}/[dD]ownload{,s}/** k, deny /etc/passwd rm, deny /proc/sys/kernel/yama/ptrace_scope r, # no clue # Site-local thing /etc/core/app/sec/openssl.cnf r, network, }

Il existe également d’autres options et vous devrez probablement modifier ces profils pour répondre à vos besoins et aux chemins d’Ubuntu (par exemple, je ne sais pas si skypeforlinux est installé sur/opt comme dans ce profil ou ailleurs.

En voici un autre: https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017 #include <tunables/global> /usr/bin/skypeforlinux { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/bash> #include <abstractions/dbus-session> #include <abstractions/fonts> #include <abstractions/freedesktop.org> #include <abstractions/gnome> #include <abstractions/nameservice> /usr/bin/skypeforlinux r, /bin/dash ix, /bin/mkdir rix, /bin/readlink rix, /usr/bin/dirname rix, /usr/bin/Nohup rix, /dev/shm/* rw, /etc/udev/udev.conf r, owner @{HOME}/.Xauthority r, owner @{HOME}/.config/skypeforlinux/ rw, owner @{HOME}/.config/skypeforlinux/** rw, /sys/bus/pci/devices/ r, /sys/devices/** r, "/tmp/skypeforlinux Crashes/" w, /usr/share/glib-2.0/schemas/gschemas.compiled r, /usr/share/skypeforlinux/** r, /usr/share/skypeforlinux/skypeforlinux rix, /{run,dev}/shm/Pulse-shm* rwk, }

Addi Adam · Answer

Je viens de créer un profil Apparmor fonctionnel avec Ubuntu 16.04 et Skype 8.16.04. et je veux le partager avec vous. Cela m'a pris deux jours parce que j'ai essayé de le verrouiller autant que possible. Autant que je sache, tout cela est nécessaire car sinon certaines fonctions pourraient ne pas fonctionner. Je vais commenter certaines d'entre elles dans le code. Veuillez noter que ce profil reflète l'utilisation d'un adaptateur graphique nvidia avec pilote système en version 340. Les autres scénarios doivent être adaptés. Tout ce qui n'est pas commenté semble nécessaire pour que Skype puisse démarrer. Si le profil en tant que tel ne fonctionne pas, essayez d'abord de supprimer mes commentaires. En fait, je ne sais pas si les commentaires sont autorisés après une directive #include.

Sincères amitiés,

christian

# Last Modified: Thu Feb 22 14:05:09 2018 #include <tunables/global> /usr/bin/skypeforlinux { #my installation path. #profile:usr.bin.skypeforlinux #include <abstractions/audio> #include <abstractions/base> #include <abstractions/bash> #include <abstractions/dbus> #impossible to take #restricted #versions of dbus #abstractions #without being logged out #after every use #include <abstractions/dbus-session> #same here #include <abstractions/fonts> #include <abstractions/freedesktop.org> #nothing at all without #these #include <abstractions/gnome> #same here #include <abstractions/nameservice> #and here #include <abstractions/ibus> #no keyboard input witout #this network inet dgram, network inet stream, network inet6 dgram, network inet6 stream, network netlink dgram, network netlink raw, deny /etc/issue r, #at least something not #necessary deny /etc/passwd r, /bin/dash rix, /bin/mkdir rix, /bin/readlink rix, /dev/ r, /dev/disk/by-id/ r, /dev/nvidia0 rw, #nvidia/propietary driver #specific /dev/nvidiactl rw, #same here /dev/shm/* rwl, /dev/video0 rw, /etc/hostname r, /etc/udev/udev.conf r, @{HOME}/ w, #Skype won't start if #"owner" #is set in order to #restrict #profile access to its #owner @{HOME}/.Skype/ r, @{HOME}/.Skype/** rw, @{HOME}/.Xauthority r, @{HOME}/.config/dconf/* r, @{HOME}/.config/skypeforlinux/ r, @{HOME}/.config/skypeforlinux/** rw, @{HOME}/.config/user-dirs.dirs r, @{HOME}/.nv/GLCache/ r, #nvidia/propietary driver #specific @{HOME}/.nv/GLCache/** rw, #same here @{HOME}/.pki/nssdb/* rw, @{HOME}/.rnd r, @{HOME}/skype-export/ w, #allows chat export from #version 4.3 @{HOME}/skype-export/** w, #same here @{PROC}/ r, @{PROC}/*/fd/ r, @{PROC}/*/oom_score_adj w, @{PROC}/*/status r, @{PROC}/*/task/ r, @{PROC}/*/task/** r, @{PROC}/cpuinfo r, @{PROC}/driver/nvidia/params r, #nvidia/propietary driver #specific @{PROC}/filesystems r, @{PROC}/modules r, @{PROC}/stat r, @{PROC}/sys/kernel/osrelease r, @{PROC}/sys/kernel/ostype r, @{PROC}/sys/kernel/yama/ptrace_scope r, @{PROC}/version r, /run/user/** rw, /sys/bus/pci/devices/ r, /sys/class/net/ r, /sys/devices/** r, /tmp/ rw, #usage of temp dir abstractions #impossible. Skype won't start with #"owner" set to restrict access to #other temp files /tmp/** rw, #same here /usr/bin/dirname rix, /usr/bin/locale rix, /usr/bin/Nohup rix, /usr/bin/skypeforlinux r, /usr/bin/xdg-open rix, /usr/share/glib-2.0/schemas/gschemas.compiled r, /usr/share/nvidia-340/* r, /usr/share/skypeforlinux/** r, /usr/share/skypeforlinux/skypeforlinux rix, /var/tmp/ rw, #same temp dir issue described above /var/tmp/** rw, #same here ^/usr/bin/Nohup { /dev/shm/* mrw, /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all #executables, any #child #with scrubbed #environment #won't do the job } }