Ограничиваем доступ Skype к вашим данным в Ubuntu Linux

Вступление

Вы доверяете Skype? Даже после того, как Сноуден открыл миру правду о сотрудничестве Microsoft со спецслужбами? Я, лично, нет. И вам не советую. Как работает Skype — знают только его создатели. Ни один авторитетный специалист по безопасности не имел возможность провести ревью кода данного продукта.

Для вашей же безопасности, хранящиеся на вашем ПК файлы лучше оградить от Skype. В Ubuntu имеется встроенный механизм безопасности. Он базируется на профилях безопасности для приложений, в которых правила описывают разрешение на совершение того, или иного, действия. В режиме complain данный механизм только наблюдает за приложениями, а в режиме enforce ограничивает их поведение рамками правил, описанных в профилях для каждого, взятого под наблюдение, приложения. Этот чудесный механизм называется AppArmor.

Настройка AppArmor

Что-бы настроить AppArmor для ограничения доступа Skype к вашим файлам следует сделать следующее:

Установка apparmor-profiles

Установите пакет apparmor-profiles(командой sudo apt-get install apparmor-profiles), или через Software Center.

Проверка статуса AppArmor

Проверьте, работает ли у вас AppArmor командой


sudo apparmor_status

Создание профиля с правилами для Skype

Скопируйте файл /usr/share/doc/apparmor-profiles/extras/usr.bin.skype в /etc/apparmor.d/usr.bin.skype командой:


sudo cp /usr/share/doc/apparmor-profiles/extras/usr.bin.skype /etc/apparmor.d/usr.bin.skype

Откройте /etc/apparmor.d/usr.bin.skype в текстовом редакторе:


sudo gedit /etc/apparmor.d/usr.bin.skype

И в конец добавьте несколько строк:


  #Write and read in Downloads
  owner @{HOME}/Downloads krw,
  owner @{HOME}/Downloads/* krw,
  owner @{HOME}/Downloads/**/* krw,

Эти строки позволяют Skype сохранять присылаемые вам файлы в каталог Downloads, и его подкаталоги. И загружать файлы кому-то из данного каталога. Доступ ко всем другим каталогам в вашей домашней директории будет запрещён(если профиль будет работать в режиме enforce).

Так же вы можете открыть доступ на чтение(r), запись(w), или блокировку файла(k) к любой директории, просто добавив строки вида:


< владелец> < путь к директории> < права>,

в ваш /etc/apparmor.d/usr.bin.skype. К примеру, разрешаем Skype доступ ко всем файлам в директории Documents вашего домашнего каталога:


owner @{HOME}/Documents/** krw,

После того, как вы настроите права доступа к каталогам и файлам для Skype, используйте команду sudo aa-complain для активации наблюдения за Skype(все нарушения правил будут зафиксированы, так что вы сможете принять решение, стоит ли перевести профиль Skype в режим enforce):


sudo aa-complain /etc/apparmor.d/usr.bin.skype

Если вы узнаете, что приложение нарушает правила, просто включите режим enforce, и оно лишится такой возможности:


sudo aa-enforce /etc/apparmor.d/usr.bin.skype

На всякий случай перезапустите все правила командой:


sudo invoke-rc.d apparmor reload

Узнаём о нарушениях правил приложением, за которым ведётся наблюдение силами AppArmor

На случай, если вы запустили наблюдение на каким-то из приложений(режим complain), вы всегда можете узнать нарушениях правил при помощи программы aa-logprof. Вызовите её командой:


sudo aa-logprof

Программа покажет все случаи доступа к файлам, не разрешённые правилами профиля приложения в AppArmor. И спросит, разрешать или запрещать в дальнейшем этой программе доступ к данным файлам? Получив ваши ответы, программа добавит их в профили для программ-нарушителей. Что удобно, постепенно вы можете добавляя нужные разрешения, существенно улучшить профиль AppArmor для любого приложения. Именно по этому я советую вначале погонять приложение с профилем complain, выявить какие файлы ему нужны для работы, к каким директориям и файлам вы хотите дать ему доступ, и только потом переводить профиль данного приложения в режим enforce.

Заключение

Примите мои поздравления:) Теперь вы можете быть спокойны за свои данные, ведь теперь Skype у вас под наблюдением. А если вы приняли верное решение — то и с ограниченным доступом ко всем директориям(кроме тех, к которым вы открыли ему доступ). Думаю, подобный подход стоит распространить и на другие уязвимые программные решения.

P.S.: В данной статье я не в коем случае не намекаю на то, что Skype или любая другая проприетарная программа, следит за вами. Я так-же не призываю вас безоговорочно доверять открытому ПО. Я всего-лишь хочу напомнить, что безопасность лишней не бывает. И призвать вас использовать замечательный механизм обеспечения безопасности, встроенный в ваш дистрибутив Linux. В следующий раз я вам поведаю, как использовать подобный механизм в Fedora Linux. Безопасность лишней не бывает.

Опубликовано Андрей Гуцу

Системный администратор. Интересуюсь Linux, web-технологиями и Open Source. Люблю фантастику, игры жанров RTS и FPS.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

%d такие блоггеры, как: