Как правильно запереть skype в chroot jail?
Собственно сабж.
Сделал:
emerge -va jail
useradd -g users -d /var/chroot/ -s /usr/bin/jail prisoner
mkjailenv /var/chroot
addjailuser /var/chroot /home/prisoner /bin/bash prisoner
addjailsw /var/chroot -D
addjailsw /var/chroot -P bash "--version"
addjailsw /var/chroot -P whoami
addjailsw /var/chroot -P skype
mkdir /var/chroot/proc
mkdir /var/chroot/tmp/.ICE-unix
mkdir /var/chroot/etc/bash
mkdir -p /var/chroot/lib64
mount -o bind /dev /var/chroot/dev
mount -t devpts none /var/chroot/dev/pts
mount -t proc proc /var/chroot/proc
mount /tmp/.ICE-unix /var/chroot/tmp/.ICE-unix -o bind
mount /tmp/.X11-unix /var/chroot/tmp/.X11-unix -o bind
cp /lib64/ld-linux-x86-64.so.2 /var/chroot/lib64/
cp /etc/bash/bashrc /var/chroot/etc/bash/
cp /etc/profile /var/chroot/etc/
cp /etc/DIR_COLORS /var/chroot/etc/
cp /etc/bash/bashrc /var/chroot/etc/bash/
cp /etc/profile /var/chroot/etc/
cp /etc/DIR_COLORS /var/chroot/etc/
cp /opt/skype /var/chroot/opt/skype -R
xhost +local:
chroot /var/chroot
Получил:
arago-desktop / # whoami
root
arago-desktop / # export DISPLAY=:0.0
arago-desktop / # skype
/usr/bin/skype: line 10: /opt/skype/skype: No such file or directory
/usr/bin/skype: line 10: /opt/skype/skype: Success
arago-desktop / # /opt/skype/skype
bash: /opt/skype/skype: No such file or directory
arago-desktop / # ls /opt/skype/ -l
итого 19902
drwxr-xr-x 2 root root 2144 2010-01-30 17:58 avatars
drwxr-xr-x 2 root root 688 2010-01-30 17:58 lang
-rwxr-xr-x 1 root root 20356964 2010-01-30 17:58 skype
drwxr-xr-x 2 root root 848 2010-01-30 17:58 sounds
- Для комментирования войдите или зарегистрируйтесь
up
up
а разве скайп совсем ни в
а какой смысл делать чрут для скайпа? да еще и если запускать его там от рута? :)
doun : eselect profile
down : eselect profile selinux/v2refpolicy/amd64/hardened, emerge -e world;
П.С опять начитались касперского про чтение скайпом /etc/passwd ?
так там паролей нету уже лет 10-15.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
down fail 1. как уже отмечали
down
fail
1. как уже отмечали выше root из chroot выходит на раз-два-три
2. "по науке" для подобных целей традиционно используют schroot
3. http://www.xkcd.ru/xkcd_img/xkcd538___.png
хочется "параноидальной секьюрности"? :)
последняя строчка в посте
последняя строчка в посте неправильна :-D ; так только харденед будет, для маньяков надо заполировать это дело Selinux, запереть ноут в сейф, залить бетоном и никогда, слышите, никогда его не включать :)
П.С топикстартер врядли сам рационально ответит на вопрос "зачем?"
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
1. Я просто думал что chroot
1. Я просто думал что chroot переносит программу в паралельный мир, а там что не делай основной системе не повредит. Теперь буду знать.
2. Так я и спрашиваю как правильно его запереть?
3. Тот комп - десктоп. Про гаечный ключ конечно понятно, но думаю до таких крайностей пока дело не дойдет. Параноидальной секюрности не хочется. Хочется разумной секюрности. Касперского читал. Там кстати речь идет не только про passwd (что паролей там нет это ясно) а ещё про профиль фарефокса который скайп перекапывает полностью и так далее. А hardened профиль мне кажется от скайпа с правами обычного пользователя не спасет (ведь тот не взламывает ничего а лезет куда дают).
С так называемым чтением
С так называемым чтением скайпом профиля файерфокса тоже давно разобрались -
вы бы доки скайпа для админов почитали бы для начала.
По теме - правильная настройка прав доступа будет в самый раз.
П.С Для параноиков есть MLS политики Selinux. ( в Гентоо не работает/не тестилось)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): П.С
ЕМНИП больше.
Не читайте провокатора-касперского.
:wq
--
Live free or die
они следят за нами...
они следят за нами...