Изолируем Skype в окружении Apparmor

Проверим статус Apparmor:

User@Computer:/home/user$ apparmor_status

apparmor module is loaded.
You do not have enough privilege to read the profile set.

"Вам не хватает полномочий для чтения набора профилей."

User@Computer:/home/user$ sudo apparmor_status

[sudo] password for user:
apparmor module is loaded.
18 profiles are loaded.
18 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//launchpad_integration
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince-thumbnailer//sanitized_helper
/usr/bin/evince//launchpad_integration
/usr/bin/evince//sanitized_helper
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/lightdm/lightdm/lightdm-guest-session-wrapper
/usr/lib/lightdm/lightdm/lightdm-guest-session-wrapper//chromium_browser
/usr/lib/telepathy/mission-control-5
/usr/lib/telepathy/telepathy-*
/usr/sbin/cupsd
/usr/sbin/tcpdump
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
/sbin/dhclient (1915)
/usr/lib/telepathy/mission-control-5 (2733)
/usr/sbin/cupsd (1476)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Создаём профиль Apparmor на основе тестового запуска Skype:
sudo genprof /usr/bin/skype

Конфигурируем профиль для Skype:

Редактируем файл /etc/apparmor.d/usr.bin.skype :

#include <tunables/global>
/usr/bin/skype {
  #include <abstractions/audio>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/fonts>
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/video>
  /etc/pulse/client.conf r,
  /etc/xdg/Trolltech.conf rk,
  /home/*/.Skype/ rwk,
  /home/*/.Skype/** rwk,
  /home/*/.Xauthority r,
  /home/*/.config/Skype/Skype.conf rwk,
  /home/*/.config/Trolltech.conf rk,
  /home/*/.config/pulse/cookie rk,
  /proc/sys/kernel/osrelease r,
  /proc/sys/kernel/ostype r,
  /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq r,
  /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq r,
  /usr/bin/skype mr,
  /usr/share/icons/hicolor/index.theme rk,
  /usr/share/javascript/mathjax/fonts/** r,
  /usr/share/skype/** r,
  /var/cache/fontconfig/** rwk,
}

Содержимое файла конфигурации может существенно отличаться от приведенного в зависимости от системы, среды рабочего стола и установленного программного обеспечения.
Skype разрешен доступ только к тем каталогам, которые указаны в файле конфигурации.

Перезапускаем Apparmor:
sudo /etc/init.d/apparmor restart

Активируем работу в sandbox-окружении Apparmor:
sudo aa-enforce skype

Проверяем задействованы ли профили:
sudo sudo apparmor_status

Ключевые слова: