Kadu

forum użytkowników Kadu
Teraz jest 20 maja 2019 05:21

Strefa czasowa: UTC + 1




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 1 ] 
Autor Wiadomość
PostNapisane: 13 mar 2016 10:49 
Offline

Dołączył(a): 10 mar 2016 02:00
Posty: 8
System: Linux
Cześć, to znowu Ja. ;)

Nikogo nie oskarżam o jakieś celowe niespodzianki, ale po takich wtopach, jak dziury w bibliotece OpenSSL, czy choćby bibliotekach Gtk czy QT (np ostatnio QtQui), czy też bliiotekach obsługujących media i pliki graficzne (podobne wtopy zaliczyły w ostatnich latach np libjpeg, libpng, libtiff, ffmpeg i poppler),
wszystko, co się łączy z netem albo otwiera pliki ściągnięte z netu, dostało na wszelki wypadek profile bezpieczeństwa Apparmor.

Profil dla Kadu powstał jako przeróbka profilu, jaki dwa latka temu zrobiłem do Kopete. W każdym razie Kadu na nim działa, jakichś koszmarnych błędów nie widać w logach.
Całość wygląda tak:

Kod:
#include <tunables/global>

/usr/bin/kadu {
  #include <abstractions/base>
  #include <abstractions/private-files>
  #include <abstractions/nvidia>
  #include <abstractions/fonts>
  #include <abstractions/kde>
  #include <abstractions/X>
  #include <abstractions/audio>
  #include <abstractions/gnome>
  #include <abstractions/freedesktop.org> 
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
  #include <abstractions/consoles>

  /usr/bin/kadu   mr,

deny /sys/  mrwxlk,

  /sys/devices/system/cpu/present r,
  /sys/devices/system/cpu/online r,


/bin/bash  ix,
/usr/bin/xdg-open PUx,
/usr/bin/libjingle-call  rix,
/usr/bin/kdeinit4  rix,
/usr/bin/kbuildsycoca4  rix,
/usr/bin/knotify4   rix,
/etc/asound.conf  r,
/etc/dconf/profile/user  r,
/etc/gai.conf  r,
/etc/gtk-2.0/gtkrc  r,
/etc/gtk-2.0/x86_64-pc-linux-gnu/gtk.immodules  r,
/etc/host.conf  r,
/etc/hosts  r,
/etc/ld.so.cache  r,
/etc/localtime  r,
/etc/nsswitch.conf  r,
/etc/nvidia/nvidia-application-profiles-rc  r,
/etc/nvidia/nvidia-application-profiles-rc.d/  r,
/etc/orbitrc  r,
/etc/pango/pangorc  r,
/etc/pango/x86_64-pc-linux-gnu/pango.modules  r,
/etc/passwd  r,
/etc/pulse/client.conf  r,
/etc/qt4/Trolltech.conf  r,
/etc/resolv.conf  r,
/etc/timezone     r,
/etc/ssl/openssl.cnf  r,

/etc/udev/udev.conf   r, 
/etc/fstab     r,
/etc/mtab      r,
 
owner @{PROC}/[0-9]*/stat    r,
owner @{PROC}/[0-9]*/status  r,
owner @{PROC}/[0-9]*/fd/  r,
owner @{PROC}/[0-9]*/fd/**  r,
owner @{PROC}/[0-9]*/cmdline  r,
owner @{PROC}/self/cmdline  r,
owner @{PROC}/self/fd/    r,
owner @{PROC}/self/fd/**   r,
owner @{PROC}/self/maps  r,

@{PROC}/[0-9]*/net/if_inet6  r,
@{PROC}/[0-9]*/net/ipv6_route  r,
@{PROC}/sys/vm/overcommit_memory   r,
@{PROC}/cpuinfo  r,
@{PROC}/filesystems   r,
@{PROC}/interrupts     r,
@{PROC}/meminfo        r,



owner @{HOME}/.orbitrc  r,
owner @{HOME}/.local/share/ r,
owner @{HOME}/.local/share/**  r,
owner @{HOME}/.thumbnails/  r,
owner @{HOME}/.thumbnails/**  rw,
owner @{HOME}/.kde4/share/ r,
owner @{HOME}/.kde4/share/**  rw,
owner @{HOME}/.kadu/ r,
owner @{HOME}/.kadu/** rwk,
owner @{HOME}/.config/Trolltech.conf   r,
owner @{HOME}/.compose-cache/  rwk,
owner @{HOME}/.compose-cache/** rwk,
owner @{HOME}/.config/pango/pangorc  r,
owner @{HOME}/.config/dconf/user   rw,
owner @{HOME}/.cache/fontconfig/*   r,
owner @{HOME}/.kde4/cache-localhost/**   rw,
owner @{HOME}/.config/enchant/**   rm,
owner @{HOME}/{Desktop,Downloads}/ r,
owner @{HOME}/{Desktop,Downloads}/** rw,
owner @{HOME}/ r,
owner @{HOME}/.config/enchant/ rw,
owner @{HOME}/.config/enchant/* rwk,

  /usr/lib{,32,64}/ mr,
  /usr/lib{,32,64}/** mr,
  /usr/**/lib{,32,64}/ mr,
  /usr/**/lib{,32,64}/** mr,
  /usr/**/share/ r,
  /usr/**/share/** r,
  /usr/share/ r,
  /usr/share/**/ r,
  /usr/share/**/* r,
}


Lamerstwo widać w tym profilu straszliwe, ale może komuś się przyda. ;)
Samodzielne wprowadzanie zmian jest bardzo proste, a sam Apparmor
jest bardzo skutecznym systemem ACL. :)

Pozdro
8)


Góra
 Zobacz profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 1 ] 

Strefa czasowa: UTC + 1


Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 2 gości


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
POWERED_BY
Przyjazne użytkownikom polskie wsparcie phpBB3 - phpBB3.PL