Apparmor und Skype

21/02/2010 - 03:57 von Andreas Kohlbach | Report spam
Ich versuche derzeit, Skype mittels Apparmor in Ubuntu zum Laufen zu
bringen. Als ich eine Beispiel-Datei aus der doc Hierarchie nahm, hatte
ich nicht darauf geachtet, es im enforcement Modus laufen zu lassen. So
dass es funktionierte - und wohl auch fleißig Daten schon sammelte. :-(

Wie auch immer, versuche ich es nun im enforcement Modus, und es crasht
trotz Anpassungen. Derzeit bekomme ich, wenn von Kommandozeile aufgerufen:

| D-Bus library appears to be incorrectly set up; failed to read machine
| uuid: Failed to open "/var/lib/dbus/machine-id": Permission denied

So weit ich das sehe, wurde diese Datei bei der Installation des
Betriebssystems angelegt und auch nicht geàndert. Warum will Skype die
lesen? Ich denke nicht, dass ich das erlauben will (okay, siehe oben, es
lief ja versehentlich schon ohne Sandkasten).

Mein letzter Eintrag in der /var/log/messages ist allerdings:

| [...] profile="/usr/bin/skype" requested_mask="::r" denied_mask="::r"
| fsuid00 ouid=0 name="/dev/"

obwohl ich /dev/ und alles darunter komplett zum Lesen frei gab. Ich denke
nicht, dass es deshalb abbricht/abstürzt, sondern wegen der UID.

Kurz: hat jemand für Ubuntu (Karmic) eine laufende usr.bin.skype für
Apparmor, die ich mal testen könnte?

X'post de.comp.security.misc und de.comp.os.unix.linux.misc mit F'up2
de.comp.os.unix.linux.misc.
Andreas (PGP Key available on public key servers)
3. ...and after I patched the microcode...
 

Lesen sie die antworten

#1 Hauke Laging
21/02/2010 - 05:39 | Warnen spam
Andreas Kohlbach schrieb am Sonntag 21 Februar 2010 03:57:

Ich versuche derzeit, Skype mittels Apparmor in Ubuntu zum Laufen
zu bringen.



Ich habe openSUSE. Gibt es für Ubuntu das Programm aa-logprof nicht?


Warum will Skype
die lesen? Ich denke nicht, dass ich das erlauben will (okay, siehe
oben, es lief ja versehentlich schon ohne Sandkasten).



Hast Du so viel Ahnung von dbus, dass Du das beurteilen kannst? :-/

Meine Grundhaltung zu AppArmor ist: Lesezugriffe auf meine Daten (ich
habe ein Upload-Download-Verzeichnis als Schnittstelle der
gesicherten Internetprogramme zum ungesicherten Rest), speziell die
SSH-Schlüssel, und Schreibzugriffe auf Dateien, die nicht zum
Programm gehören, verhindern. Der Rest interessiert mich erst mal
nicht.


Mein letzter Eintrag in der /var/log/messages ist allerdings:



Hmm, unübersichtlich. Unter openSUSE werden AppArmor-Meldungen
in /var/log/audit/audit.log geschrieben. Wenn man nicht aa-logprof
benutzen will, kann man einfach diese Datei löschen/leeren, das
Programm mit complain laufen lassen und dann die Eintràge
abarbeiten.


| [...] profile="/usr/bin/skype" requested_mask="::r"
| [denied_mask="::r"
| fsuid00 ouid=0 name="/dev/"

obwohl ich /dev/ und alles darunter komplett zum Lesen frei gab.



Sicher, dass Du

/dev/ r,

und nicht

/dev r,

im Profil stehen hast?


Ich denke nicht, dass es deshalb abbricht/abstürzt, sondern wegen
der UID.



Mit der UID hat das nichts zu tun. Aber man kann sich natürlich nicht
darauf verlassen, dass ein Programm sofort nach Eintreten der
Ursache abstürzt.


CU

Hauke
http://www.hauke-laging.de/ideen/

Ähnliche fragen