最新のskypeforlinux 5.3のapparmorプロファイルはどこで入手できますか？

Question

今日、一部の最新のモバイルバージョンを使用する古いskype 4.3で動作するようにコールが停止しました。 Linux用の最新のSkypeにアップグレードする必要がある場合、新しい/usr/bin/skypeforlinuxバージョン5.3？ありがとう！

Aleksey Kontsevich · Accepted Answer

私が今まで見た中で最も良くて簡単なプロファイルが見つかりました here ：ホームディレクトリへのアクセスを完全にブロックします。提案された~/.config/アクセスを防ぐために、次の行のみを削除しました。

#include <abstractions/xdg-desktop> и

~/Downloads/Skypeへのアクセスを許可しました

owner @{HOME}/[dD]ownload{,s}/Skype/ rw, owner @{HOME}/[dD]ownload{,s}/Skype/** rw,

装甲プロファイル

#include <tunables/global> /usr/bin/skypeforlinux { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/fonts> #include <abstractions/gnome> #include <abstractions/kde> #include <abstractions/nameservice> #include <abstractions/user-tmp> #include <abstractions/freedesktop.org> #include <abstractions/X> /dev/ r, /dev/dri/ r, /dev/snd/ r, /etc/ssl/* r, /etc/drirc r, /dev/video* rw, /dev/video[0-9]* m, /dev/shm/* m, # mmaps /dev/shm/eiSAHx, video does not work without it owner /dev/shm/* rw, # downgraded from `/dev/shm/{shm,cnd}-[0-9]*-[0-9]` and `/dev/shm/.org.chromium.Chromium.*` into `/dev/shm/XU9NZ3` owner /dev/shm/sem.* l -> /dev/shm/, # detected on Debian 8 (jessie) /sys{/,/**} r, /etc/machine-id r, /etc/udev/udev.conf r, /etc/alsa-Pulse.conf r, /etc/asound-Pulse.conf r, /var/lib/dbus/machine-id r, /etc/Pulse/client.conf.d{/,/**} r, /dev/dri/* rm, /dev/snd/* rm, /usr/share/** rm, /run/nscd/group rm, /usr/lib64/dri/* rm, /bin/* rix, /usr/bin/* rix, /usr/share/skypeforlinux/** rmix, /dev/tty rw, /dev/dri/** rw, /dev/pts/** rw, /dev/snd/** rw, /tmp{/,/**} rw, /dev/shm/** rmw, owner @{HOME}/.config/skypeforlinux{/,/**} rkmw, owner @{HOME}/[dD]ownload{,s}/ r, # allow to browse Download dir owner @{HOME}/[dD]ownload{,s}/Skype/ rw, owner @{HOME}/[dD]ownload{,s}/Skype/** rw, }

Panther · Answer

あなたは自分の質問に答えました。ubuntuはskypeforlinuxのプロファイルを保持していません。独自に作成するか、インターネットから検索して適応する必要があります。

https://packages.ubuntu.com/search?suite=yakkety&Arch=any&mode=filename&searchon=contents&keywords=skypeforlinux

IMO、独自のプロファイルを記述するのが最適です https://www.howtogeek.com/118328/how-to-create-apparmor-profiles-to-lock-down-programs-on-ubuntu/ を参照してください=

誰が何を受け入れるか、何をブロックするか、それはあなたが決めることです。

Google検索では、Gitハブやその他の場所でいくつかのプロファイルが生成されます。これらのプロファイルの正確性、パス、およびニーズを確認する必要がありますが、これらは開始する場所かもしれません。

https://www.google.com/search?q=apparmor+profile+skypeforlinux&oq=apparmor+profile+skypeforlinux&aqs=chrome..69i57j69i60l3.15031j0j9&sourceid=chrome&ie=UTF-8

リストの最初： https://github.com/mk-fg/apparmor-profiles/blob/master/profiles/opt.skypeforlinux

#include <tunables/global> /opt/skypeforlinux/skypeforlinux { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice> #include <abstractions/ssl_certs> #include <abstractions/fonts> #include <abstractions/X> #include <abstractions/freedesktop.org> #include <abstractions/user-download> #include <abstractions/user-tmp> #include <abstractions/Pulse> #include <abstractions/node-webkit> #include <abstractions/site/base> #include <abstractions/site/de> /etc/os-release r, /sys/devices/virtual/tty/tty*/active r, deny /dev/video0 rw, /opt/skypeforlinux/** kmr, /opt/skypeforlinux/skypeforlinux ix, owner @{HOME}/.config/skypeforlinux/ rw, owner @{HOME}/.config/skypeforlinux/** krwm, owner @{HOME}/[dD]ownload{,s}/** k, deny /etc/passwd rm, deny /proc/sys/kernel/yama/ptrace_scope r, # no clue # Site-local thing /etc/core/app/sec/openssl.cnf r, network, }

他のオプションもあり、Ubuntuのニーズとパスに合わせてこれらのプロファイルを変更する必要があります（たとえば、skypeforlinuxがこのプロファイルまたは他の場所のように/ optにインストールされていることは知りません）。

ここに別のものがあります： https://gogs.dsprenkels.com/dsprenkels/apparmor-profiles/src/bf7f56166f4084d07797195fc7739be19bd9ada1/usr.bin.skypeforlinux

# Last Modified: Tue Apr 11 23:47:05 2017 #include <tunables/global> /usr/bin/skypeforlinux { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/bash> #include <abstractions/dbus-session> #include <abstractions/fonts> #include <abstractions/freedesktop.org> #include <abstractions/gnome> #include <abstractions/nameservice> /usr/bin/skypeforlinux r, /bin/dash ix, /bin/mkdir rix, /bin/readlink rix, /usr/bin/dirname rix, /usr/bin/Nohup rix, /dev/shm/* rw, /etc/udev/udev.conf r, owner @{HOME}/.Xauthority r, owner @{HOME}/.config/skypeforlinux/ rw, owner @{HOME}/.config/skypeforlinux/** rw, /sys/bus/pci/devices/ r, /sys/devices/** r, "/tmp/skypeforlinux Crashes/" w, /usr/share/glib-2.0/schemas/gschemas.compiled r, /usr/share/skypeforlinux/** r, /usr/share/skypeforlinux/skypeforlinux rix, /{run,dev}/shm/Pulse-shm* rwk, }

Addi Adam · Answer

Ubuntu 16.04とSkype 8.16.04で動作するApparmorプロファイルを作成しました。それをあなたと共有したいです。可能な限りロックダウンしようとしたため、2日かかりました。そうしないと、いくつかの機能が動作しない可能性があるため、これらのすべてが必要です。コード内でこれらのいくつかについてコメントします。このプロファイルは、バージョン340の専用ドライバーでのnvidiaグラフィックアダプターの使用を反映していることに注意してください。他のシナリオには適応が必要です。 Skypeを起動するには、コメントされていないものが必要なようです。現状のプロファイルが機能しない場合は、最初にコメントを削除してみてください。実際、＃includeディレクティブの後にコメントが許可されるかどうかはわかりません。

敬具、

キリスト教徒

# Last Modified: Thu Feb 22 14:05:09 2018 #include <tunables/global> /usr/bin/skypeforlinux { #my installation path. #profile:usr.bin.skypeforlinux #include <abstractions/audio> #include <abstractions/base> #include <abstractions/bash> #include <abstractions/dbus> #impossible to take #restricted #versions of dbus #abstractions #without being logged out #after every use #include <abstractions/dbus-session> #same here #include <abstractions/fonts> #include <abstractions/freedesktop.org> #nothing at all without #these #include <abstractions/gnome> #same here #include <abstractions/nameservice> #and here #include <abstractions/ibus> #no keyboard input witout #this network inet dgram, network inet stream, network inet6 dgram, network inet6 stream, network netlink dgram, network netlink raw, deny /etc/issue r, #at least something not #necessary deny /etc/passwd r, /bin/dash rix, /bin/mkdir rix, /bin/readlink rix, /dev/ r, /dev/disk/by-id/ r, /dev/nvidia0 rw, #nvidia/propietary driver #specific /dev/nvidiactl rw, #same here /dev/shm/* rwl, /dev/video0 rw, /etc/hostname r, /etc/udev/udev.conf r, @{HOME}/ w, #Skype won't start if #"owner" #is set in order to #restrict #profile access to its #owner @{HOME}/.Skype/ r, @{HOME}/.Skype/** rw, @{HOME}/.Xauthority r, @{HOME}/.config/dconf/* r, @{HOME}/.config/skypeforlinux/ r, @{HOME}/.config/skypeforlinux/** rw, @{HOME}/.config/user-dirs.dirs r, @{HOME}/.nv/GLCache/ r, #nvidia/propietary driver #specific @{HOME}/.nv/GLCache/** rw, #same here @{HOME}/.pki/nssdb/* rw, @{HOME}/.rnd r, @{HOME}/skype-export/ w, #allows chat export from #version 4.3 @{HOME}/skype-export/** w, #same here @{PROC}/ r, @{PROC}/*/fd/ r, @{PROC}/*/oom_score_adj w, @{PROC}/*/status r, @{PROC}/*/task/ r, @{PROC}/*/task/** r, @{PROC}/cpuinfo r, @{PROC}/driver/nvidia/params r, #nvidia/propietary driver #specific @{PROC}/filesystems r, @{PROC}/modules r, @{PROC}/stat r, @{PROC}/sys/kernel/osrelease r, @{PROC}/sys/kernel/ostype r, @{PROC}/sys/kernel/yama/ptrace_scope r, @{PROC}/version r, /run/user/** rw, /sys/bus/pci/devices/ r, /sys/class/net/ r, /sys/devices/** r, /tmp/ rw, #usage of temp dir abstractions #impossible. Skype won't start with #"owner" set to restrict access to #other temp files /tmp/** rw, #same here /usr/bin/dirname rix, /usr/bin/locale rix, /usr/bin/Nohup rix, /usr/bin/skypeforlinux r, /usr/bin/xdg-open rix, /usr/share/glib-2.0/schemas/gschemas.compiled r, /usr/share/nvidia-340/* r, /usr/share/skypeforlinux/** r, /usr/share/skypeforlinux/skypeforlinux rix, /var/tmp/ rw, #same temp dir issue described above /var/tmp/** rw, #same here ^/usr/bin/Nohup { /dev/shm/* mrw, /usr/share/skypeforlinux/skypeforlinux rix, #always use ix on all #executables, any #child #with scrubbed #environment #won't do the job } }