Скорее наоборот; участники самых разнообразных форумов и конференций, набрав уже теперь полную грудь мата, изощряются в изъявлениях "благодарности"... для которых, надо признать, есть все основания; на редкость неважно работает последняя на момент написания статьи бетка от MS в целом ряде дистров. Подробности по ссылке - проблемы со skype... правда, это уже совсем иная история.
А нас в данный момент интересует следующий вопрос: установив скайп в свой излюбленный линукс - fedora, ubuntu, mandriva или иной - не вводим ли мы своими руками трояна в систему? да, именно так в большинстве случаев сформулированы опасения линуксоидов. А если все же - да, то - как с этим бороться? Ведь бесплатный телефон-то всяко нужен!
Опасения не беспочвенны. Много раз детище знаменитых в хакерской среде людей было поймано, так сказать, с поличным... доподлинно известно и многократно обсуждено, что пытается оно, скажем, прочесть профили Mozilla... ну и еще говорят про него много чего нехорошего. Подробный анализ грехов Skype не входит сейчас в нашу задачу; примем как данность, что присутствие проприетарного ПО в среде прозрачного и свободного программного обеспечения априори требует принятия некоторых разумных мер предосторожности... ну, в самом деле: если вы работаете в MS Windows - что уж вам там пить боржоми, как говорится; единственное средство здесь обрести душевное спокойствие в плане сохранности своих драгоценных приватных данных, это - не подключать машину к интернету... но если вы линуксоид - тут совсем другое дело. Есть за что побороться, ну и инструменты найдутся.
Давайте рассмотрим здесь интересный инструмент, который носит название AppArmor.
AppArmor — программный инструмент упреждающей защиты, основанный на политиках безопасности (известных также как профили (англ. profiles)), которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. В AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей.
Изначально программа была разработана компанией Immunix. После её приобретения компанией Novell инструмент был открыт под лицензией GNU GPL и включён в openSUSE. Позже адаптирован для Ubuntu.
В конце лета 2008 года Рассел Кокер, один из авторов SELinux, высказал мнение, что AppArmor бесперспективен, объяснив это тем, что даже в openSUSE появляется поддержка аналогичного и более популярного решения — SELinux. Однако вскоре разработку AppArmor продолжил сотрудник Canonical, а в июле 2010 года было объявлено о том, что AppArmor войдет в состав Linux-ядра версии 2.6.36.
Поверьте, это именно то, что нам нужно! Правда, мой установленный с Live CD OpenSUSE 12.1 KDE линукс, вопреки общепринятому мнению, не имел по-умолчанию в Yast графического фронтенда AppArmor... что же, установить его несложно. Сказано - сделано, устанавливаем:
- parmor-parser
- apparmor-profiles
- apparmor-utils
- libapparmor1
- perl-libapparmor
- apparmor-dbus
ну и yast2-apparmor не помешает, коли уж вы в OpenSUSE.
Теперь - забираем вот этот профиль и помещаем в /etc/apparmor.d/ , после чего совсем нелишне попросту перезагрузиться.
Примечание: информация устарела. Новый профиль skype-apparmor для OpenSuse 13.2 и skype 4.3 доступен на страничке форума.
Проверяем, все ли у нас получилось:
linux-i6jm:/home/aleksej # apparmor_status
apparmor module is loaded.
26 profiles are loaded.
26 profiles are in enforce mode.
/bin/ping
/sbin/klogd
/sbin/syslog-ng
/sbin/syslogd
/usr/bin/skype
/usr/lib/apache2/mpm-prefork/apache2
/usr/lib/apache2/mpm-prefork/apache2//DEFAULT_URI
/usr/lib/apache2/mpm-prefork/apache2//HANDLING_UNTRUSTED_INPUT
/usr/lib/apache2/mpm-prefork/apache2//phpsysinfo
/usr/lib/dovecot/deliver
/usr/lib/dovecot/dovecot-auth
/usr/lib/dovecot/imap
/usr/lib/dovecot/imap-login
/usr/lib/dovecot/managesieve-login
/usr/lib/dovecot/pop3
/usr/lib/dovecot/pop3-login
/usr/sbin/avahi-daemon
/usr/sbin/dnsmasq
/usr/sbin/dovecot
/usr/sbin/identd
/usr/sbin/mdnsd
/usr/sbin/nmbd
/usr/sbin/nscd
/usr/sbin/ntpd
/usr/sbin/smbd
/usr/{sbin/traceroute,bin/traceroute.db}
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
/usr/sbin/avahi-daemon (1054)
/usr/sbin/nscd (1129)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
Да, все прекрасно; работают, как видите, загруженные нами дефолтные профили плюс еще один вручную созданный, для нашего родного и мелкомягкого теперь скайпа. Поверьте, так гораздо лучше!
Вы можете, не прибегая к помощи указанного профиля - попытаться занести Skype в список программ enforced-профиля:
# aa-enforce skype
Не факт, что везде это получится, но можно и так.
Сразу вопрос; почему именно AppArmor? Почему не SeLinux ?
Ответ - да нипочему. Разумеется, ничего такого уж уникального в AppArmor нет, и - не единственно нам с вами свету в окошко, кроме AppArmor... но вот - признайтесь честно, у вас в самом деле есть опыт настройки SeLinux в контексте Skype? Думаю, абсолютное большинство читающих сейчас эти строки - ответят отрицательно... ну, хотя бы - самому себе. Вот вам и ответ; AppArmor проще; и настройка его займет у вас, соответственно, гораздо меньше времени. Которого, разумеется, всегда не хватает. Опять же - заготовленные заранее и вполне корректно работающие профили... пользуйтесь, одним словом. Помните, нам с вами выпало жить в то самое сумасшедшее время, которое знаменуется, в частности, самыми разнообразными способами хищения информации... как ко всему этому относиться - уже зависит от вашего темперамента; но в любом случае - придется приспосабливаться. :)
