Forum debian-fr.org

Rechercher:

* Connexion   * M’enregistrer

* FAQ    * Rechercher





Poster un nouveau sujet Répondre au sujet  [ 49 messages ]  Aller à la page 1, 2  Suivante
Auteur Message
 Sujet du message: sécuriser skype
MessagePosté: 12 Nov 2012 19:26 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
Bonjour,

Comme beaucoup le savent, le fonctionnement de Skype reste très flou concernant la sécurité et de surcroît le chiffrement empêchant de contrôler ce qu' il fait exactement. On sait qu' il est capable de pomper des infos sur le compte utilisateur (fichiers bittorrent téléchargés entre autre...)

http://bugbrother.blog.lemonde.fr/2011/ ... a-lhadopi/
http://www.zdnet.fr/actualites/inria-de ... 765208.htm

Mais pour ceux qui sont obligés d' utiliser ce logiciel propriétaire (professionnels, amis, famille.) ?

Skype affirme avoir corrigé ces failles, mais rien ne le prouve, voici une astuce concrète pour l' empêcher de collecter des infos sur le compte utilisateur


Code:
#adduser skype
#adduser skype audio
#adduser skype video

interdire le compte utilisateur en lecture écriture pour les autres:

Code:
#chmod -R o-rw /home/utilisateur  (modifier bien évidemment)


interdire au user du compte/session d' utiliser Skype

Code:
#chown root:skype /usr/bin/skype
#chmod 750 /usr/bin/skype


éditer un fichier qui s' appellera skype.sh dans /usr/local/bin


Code:
#!/bin/sh
xhost +local: && sudo -H -u skype skype



le rendre exécutable avec les droits :

Code:
#chmod 755 /usr/local/bin/skype.sh


modifier le fichier /etc/sudoers en ajoutant cette ligne :

Code:
utilisateur ALL = NOPASSWD:  /usr/local/bin/skype.sh   (modifier utilisateur bien évidement)


explications :
xhost +local : l' utilisateur skype doit pouvoir se servir de l ' environnement graphique (serveur d' affichage)
sudo -H -u skype skype : root se logue en simple utilisateur skype (donc il n' est plus root) au droits restreints sinon que de se servir du logiciel

ne reste plus qu ' à créer un lanceur sur le tableau de bord:
Code:
Code:
sudo /usr/local/bin/skype.sh


ou
editer /usr/share/applications/skype.desktop et remplacer par cette ligne:

Code:
Exec=sudo /usr/local/bin/skype.sh %U



changer le umask par défaut pour éviter de refaire un chmod à chaque création d' un nouveau dossier:
Editez le fichier /etc/login.defs , remplacez la ligne

UMASK 022

par

UMASK 027

Editez le fichier /etc/pam.d/login et ajoutez la ligne suivante :

Code:
session optional pam_umask.so

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Dernière édition par nykoos le 30 Jan 2014 20:56, édité 9 fois.

Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 09:36 
Hors ligne
Vraiment, particulièrement bavard(e)!

Inscription: 13 Avr 2008 18:11
Messages: 1163
bonjour,
j'ai eu beaucoup de mal à installer Skype sur une wheezy amélioré,
il tourne, dernier package skype!

donc:
Code:
sudo /usr/local/bin/skype.sh

c'est normal qu'il soit exécuté sous root?
A+
JB1
8)


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 12:48 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
salut,
En fait root ne fait que lancer la commande mais c' est le user skype qu' on a crée qui lance le logiciel skype, (tu peux vérifier avec un netstat -taupe une fois lancé, il te donne l'utilisateur et le pid du process donc tu peut être rassuré, root n'intervient plus)

sinon tu peux aussi faire en 2 temps dans le terminal sans passer par root:
su skype
skype

mais impossible de mettre ça dans un script pour automatiser car il demande mot de passe et ensuite il faut ressaisir skype car le script s' est arrêté du fait du changement de login.

c' est vrai que sur un système 64 bits, il n' est pas simple à installer:
j' ai procédé ainsi:
Code:
# wget -O skype-install.deb http://www.skype.com/go/getskype-linux-deb-64
   # dpkg -i skype-install.deb
   installation incomplète donc ensuite:
   # apt-get -f install

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 13:27 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 15:49
Messages: 4764
nykoos a écrit:
sinon tu peux aussi faire en 2 temps dans le terminal sans passer par root:
su skype
skype

mais impossible de mettre ça dans un script pour automatiser car il demande mot de passe et ensuite il faut ressaisir skype car le script s' est arrêté du fait du changement de login.

su -c 'skype' skype ? ;)

nykoos a écrit:
xhost +local:

Attention, faire un xhost comme ça entraîne d'autres problèmes de sécurité : tous les utilisateurs de ta machine ont maintenant le droit d'accéder à ton serveur X.
Perso je me dirigerais plutôt vers sux qui transfère les cookies d'authentification X proprement et uniquement à l'utilisateur concerné (skype).

Sinon le principe est pas bête. Je pousserais même la chose un peu plus loin en m'assurant d'un umask 0?7 sur tous les comptes (et des droits correspondants chmod -R o-rwxs /home/*) histoire que Skype aille pas fouiller sur les autres comptes. :mrgreen:

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
That's the thing about people who think they hate computers. What they really hate is lousy programmers. -- Larry Niven


Dernière édition par syam le 13 Nov 2012 17:41, édité 1 fois.

Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 13:35 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 27 Mar 2009 16:47
Messages: 2668
Localisation: Bretagne (Rennes)
syam a écrit:
su -c 'skype' skype ? ;)

Si je ne me plante pas, un 'sudo skype skype.sh' a l'avantage de pouvoir être lancé sans mot de passe (via la modification déjà proposée de sudoers).

@ nykoos : On l'oublie souvent (trop facilement), mais la syntaxe complète pour une commande sudo est 'sudo [utilisateur] commande'.
Il n'y a que si la variable 'utilisateur' n'est pas renseignée que root est choisi par défaut.

_________________
À chacun selon ses besoins,
de chacun selon ses capacités.


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 13:59 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 15:49
Messages: 4764
vv222 a écrit:
syam a écrit:
su -c 'skype' skype ? ;)

Si je ne me plante pas, un 'sudo skype skype.sh' a l'avantage de pouvoir être lancé sans mot de passe (via la modification déjà proposée de sudoers).

Exact.
Du coup on se retrouve avec n'importe quel utilisateur pouvant accéder à ton profil Skype. Selon l'utilisation qui est faite de la machine (mono ou multi utilisateurs) ça peut être plus ou moins gênant, mais je crois que sudo peut restreindre aussi les utilisateurs ayant le droit d'exécuter une commande donnée.

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
That's the thing about people who think they hate computers. What they really hate is lousy programmers. -- Larry Niven


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 14:32 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 27 Mar 2009 16:47
Messages: 2668
Localisation: Bretagne (Rennes)
syam a écrit:
Du coup on se retrouve avec n'importe quel utilisateur pouvant accéder à ton profil Skype. Selon l'utilisation qui est faite de la machine (mono ou multi utilisateurs) ça peut être plus ou moins gênant, mais je crois que sudo peut restreindre aussi les utilisateurs ayant le droit d'exécuter une commande donnée.

Exactement ! :023
C'est le cas de la ligne proposée par nykoos dans son premier message.

_________________
À chacun selon ses besoins,
de chacun selon ses capacités.


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 13 Nov 2012 15:26 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
xhost me va très bien mais paufiner avec une authentification pour le xserver pourquoi pas, mais bon avec un chmod -o rwx sur tout le répertoire, les autres utilisateurs ne feront pas grand chose non plus. Oui c' est une bonne idée avec un umask qui évitera de refaire le chmod à chaque création d' un nouveau dossier

je laisse la commande tel que:
Code:
xhost +local: && sudo -H -u skype skype
parcequ'il il faut de toute façon modifier le sudoers.

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 25 Nov 2012 11:21 
Hors ligne
Très bavard(e)!

Inscription: 03 Sep 2011 22:36
Messages: 297
Question newbie :
en modifiant le lanceur /usr/share/applications/skype.desktop, je change
Code:
Exec=skype %U
en
Exec=/usr/local/bin/skype.sh %U
Je laisse le %U pour charger l'utilisateur par défaut, c'est bien ça ?

_________________
eeepc 1000HE (modèle Taïwan) - Archlinux
Raspberry serveur - Wheezy
LVM | LUKS | SSD | LXDE | ZSH | tmux | screen | vim
日本語を使う العربيه : internationalisation uim
Pas de prog, un peu LaTeX...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 25 Nov 2012 12:43 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
jarlax a écrit:
Question newbie :
en modifiant le lanceur /usr/share/applications/skype.desktop, je change
Code:
Exec=skype %U
en
Exec=/usr/local/bin/skype.sh %U
Je laisse le %U pour charger l'utilisateur par défaut, c'est bien ça ?


oui c' est bien cela, sauf qu'il faut mettre le sudo puisque la commande est dans le sudoers

Code:
Exec=sudo /usr/local/bin/skype.sh %U

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 25 Nov 2012 13:11 
Hors ligne
Très bavard(e)!

Inscription: 03 Sep 2011 22:36
Messages: 297
Citation:
oui c' est bien cela, sauf qu'il faut mettre le sudo puisque la commande est dans le sudoers

Code:
Exec=sudo /usr/local/bin/skype.sh %U

Effectivement : il m'a râlé dessus sur ce point au lancement, j'ai eu à corriger, ça marche.

_________________
eeepc 1000HE (modèle Taïwan) - Archlinux
Raspberry serveur - Wheezy
LVM | LUKS | SSD | LXDE | ZSH | tmux | screen | vim
日本語を使う العربيه : internationalisation uim
Pas de prog, un peu LaTeX...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 26 Nov 2012 11:14 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
jarlax a écrit:
Citation:
oui c' est bien cela, sauf qu'il faut mettre le sudo puisque la commande est dans le sudoers

Code:
Exec=sudo /usr/local/bin/skype.sh %U

Effectivement : il m'a râlé dessus sur ce point au lancement, j'ai eu à corriger, ça marche.


certains programmes ne prennent pas en compte l' umask par défaut, j'ai donc rajouté cette ligne dans cron:

#crontab -e
Code:
*/30 * * * *  /bin/chmod -R o-rwx /home/utilisateur

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 26 Nov 2012 12:51 
Hors ligne
Très bavard(e)!

Inscription: 03 Sep 2011 22:36
Messages: 297
Citation:
certains programmes ne prennent pas en compte l' umask par défaut, j'ai donc rajouté cette ligne dans cron:

Code:
#crontab -e

*/30 * * * *  /bin/chmod -R o-rwx /home/utilisateur
Ne maîtrisant pas les cron et crontab, je vais garder ce réglage sous le coude avant de l'appliquer... Néanmoins, après test, skype se log sans problème.

_________________
eeepc 1000HE (modèle Taïwan) - Archlinux
Raspberry serveur - Wheezy
LVM | LUKS | SSD | LXDE | ZSH | tmux | screen | vim
日本語を使う العربيه : internationalisation uim
Pas de prog, un peu LaTeX...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 30 Mar 2013 11:33 
Hors ligne
Très bavard(e)!

Inscription: 03 Sep 2011 22:36
Messages: 297
J'ai appliqué cette méthode sur une autre machine (même pc, même configuration que la mienne), ça marchait très bien, mais depuis un moment, pour une raison inconnue, le lanceur ne lance plus skype. Je ne peux le lancer que si je fais un /usr/local/bin/skype.sh explicite sur un terminal.

Le lanceur lance (les deux sont sous lxde) :
Code:
sudo /usr/local/bin/skype.sh %U

Le /usr/share/applications/skype.desktop :
Code:
Exec=sudo /usr/local/bin/skype.sh %U

#que j'ai modifié en
Exec=skype %U
#ou en
Exec=skype.sh %U
#avec ou sans sudo

Un ls -l /usr/local/bin/skype.sh me donne un owner différent que sur ma machine :
Code:
ls -l /usr/local/bin/skype.sh
#machine concernée
652638 -rwxr-x-r-x 1 [b]root root[/b] 51 févr. 24 14:18 /usr/local/bin/skype.sh*

#ma machine (qui marche)
-rwxr-xr-x 1 [b]root staff[/b] 50 Nov 25 11:12 /usr/local/bin/skype.sh*
Mais, toutes mes applications dans ce repertoire sont en root staff là où toutes celles de la machine concernée sont en root root.

Bref, je ne vois pas où ça coince...

_________________
eeepc 1000HE (modèle Taïwan) - Archlinux
Raspberry serveur - Wheezy
LVM | LUKS | SSD | LXDE | ZSH | tmux | screen | vim
日本語を使う العربيه : internationalisation uim
Pas de prog, un peu LaTeX...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 31 Mar 2013 09:58 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
slt


dans le lanceur de mon tableau de bord, la commande se résume à
Code:
sudo /usr/local/bin/skype.sh


je n' ai pas essayé avec /usr/share/applications/skype.desktop

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 26 Mai 2013 11:35 
Hors ligne
Très bavard(e)!

Inscription: 03 Sep 2011 22:36
Messages: 297
Retour d'expérience après quelques mois d'utilisation de ce mode.

J'ai utilisé ce tuto sur deux machines différentes, mêmes modèle, même système, même configuration, dans un cas avec succès, dans l'autre non.

Sur le mien, tout fonctionne à un point près : si je souhaite contacter un correspondant, seul celui-ci peut initier une conversation, sans quoi mes messages restent non-lus.

Sur le second système, la connexion au réseau est difficile : je dois relancer le programme 4 ou 5 fois avant qu'il arrive à se connecter.
Le problème cité plus haut se présente aussi.
Le bouton ne fonctionnant pas malgré un réglage "copie conforme" des fichiers de conf de ma machine sur la seconde, je ne pouvais lancer le programme que via un terminal (même si les fichiers icônes et autres pointaient vers /usr/local/bin/skype.sh).
Au final, j'ai dû réinstaller un skype sans tous ses réglages.

Étant en train de regarder les chroot, serait-ce un outil à considérer pour la sécurité de Skype ?

_________________
eeepc 1000HE (modèle Taïwan) - Archlinux
Raspberry serveur - Wheezy
LVM | LUKS | SSD | LXDE | ZSH | tmux | screen | vim
日本語を使う العربيه : internationalisation uim
Pas de prog, un peu LaTeX...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 29 Jan 2014 11:57 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
bonjour
Je relance ce sujet car je constate souvent que skype est un peu trop gourmand en ressources systèmes, j'ai donc fait une analyse plus approfondie pour savoir ce qu'il fait exactement, le constat est sans appel: skype va bien fouiner dans les dossiers qui ne le concerne pas et je le soupçonne même fortement de se servir de librairies de wireshark et tcpdump mais là je ne peux pas le prouver avec certitude, il se sert en effet de Backbone qui fait peut être office de backdoor, (dans les recherches google, Backbone est cité dans l'espionnage réseau exemple cables sous marins etc, si vous avez une idée de son utilité ? on va revoir cela un peu plus loin, déjà je reviens sur les manips que j'ai effectué:

1-analyse de ce que fait skype et preuve qu'il est impératif de le lancer sous un autre user aux droits limités de lecture mais cependant insuffisant car n'oublions pas que skype a été installé par root et il est fort possible qu'il puisse s'octroyer via /etc/group les droits de lecture comme bon lui semble.
2-création d'un profil apparmor qui démontre ce qui est dit précédement.


1-analyse
installer strace
lancer skype
ps -aux | grep skype
noter le numéro pid du process. exemple
Code:
skype    24160  2.1  2.1 311436 86328 ?        Rl   10:12   0:54 skype


# strace -f -p24160 &>skype.log &
dans les fichier skype.log c'est du lourd, appelez votre pote sur skype ou faite une visio conférence.
maintenant accrochez vous exemple pour mozilla:
grep mozilla skype.log
j'ai des dizaines de lignes comme
Code:
[pid 24398] stat64("/home/skype/.mozilla/firefox/sgptvrcr.default/safebrowsing/test-phish-simple.cache", {st_mode=S_IFREG|0770, st_size=44, ...}) = 0
                       ou
[pid 24398] stat64("/home/skype/.mozilla/seamonkey/kkuv0w6p.default/localstore.rdf", {st_mode=S_IFREG|0770, st_size=5166, ...}) = 0


laisser le tourner une heure
taper par exemple torrent ou ce que vous voulez, preuve /9 que skype va dans les dossiers qui ne le concerne pas.
ici le user est skype, il ferait la même chose s'il était lancé depuis votre propre user.


2- il faut lui créer un profil apparmor pour le calmer
installez apparmor
pour activer apparmor au démarrage il faut l'activer dans /etc/default/grub la ligne :
Code:
GRUB_CMDLINE_LINUX_DEFAULT="security=apparmor quiet"

update-grub
rebooter la machine


il faut lui crée un profil skype dans un fichier
Code:
usr.bin.skype
se trouvant dans /etc/apparmor.d
dans ce fichier:

Code:
#include <tunables/global>

/usr/bin/skype flags=(complain) {

#include <abstractions/base>
#include <abstractions/user-tmp>
#include <abstractions/audio>
#include <abstractions/nameservice>
#include <abstractions/ssl_certs>
#include <abstractions/fonts>
#include <abstractions/X>
#include <abstractions/freedesktop.org>
#include <abstractions/kde>

/usr/bin/skype mr,
/opt/skype/skype pix,
/opt/skype/** kmr,
/usr/share/fonts/X11/** m,

@{PROC}/*/net/arp r,
@{PROC}/sys/kernel/ostype r,
@{PROC}/sys/kernel/osrelease r,

/dev/ r,
/dev/tty rw,
/dev/snd/* mrw,
/dev/shm/ r,
/dev/shm/pulse-shm-* mrw,
/etc/pulse/client.conf r,
/dev/pts/* rw,
/dev/video* mrw,

@{HOME}/.Skype/ rw,
@{HOME}/.Skype/** krw,
/usr/share/skype/** kmr,
/usr/share/skype/sounds/*.wav kr,


deny @{HOME}/.mozilla/ r,
deny @{PROC}/[0-9]*/fd/ r,
deny @{PROC}/[0-9]*/task/ r,
deny @{PROC}/[0-9]*/task/** r,

}




aa-enforce skype
invoke-rc.d apparmor reload


les profils dont skype sont maintenant en mode enforce et non complain
vérification
apparmor_status

lancer skype
maintenant allons voir les logs apparmor dans /var/log/messages

tiens tiens !
Code:
apparmor="DENIED" operation="file_mmap" parent=15303 profile="/usr/bin/skype" name="/etc/group" pid=15317 comm="Backbone" requested_mask="m" denied_mask="m" fsuid=1002 ouid=0


que voulait faire dans /etc/group avec Backbone qui possède uid 0 de root !?
qui est ce fameux Backbone dont se sert skype ? en tout cas apparmor l'a bien empêché d'allé fouiné dans /etc/group

faisons une petite recherche depuis la racine:
grep -rn "Backbone" /

Code:
Fichier binaire /usr/sbin/tcpdump concordant
Fichier binaire /usr/lib/libwireshark.so.2.0.2 concordant


question: mais que veut faire skype avec tcpdump libwireshark ??
faites donc un grep Backbone skype.log , c'est du lourd.... skype se servirait il de wireshark,tcpdump ? je ne sais pas encore mais cela expliquerait les montées de ressources CPU quand skype est lancé et que l'on l'utilise.



conclusion: virer skype de votre machine ou installer le dans une virtualbox sans aucun programme à sa disposition, l'activation de apparmor est de toute façon impérative..

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 29 Jan 2014 12:26 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 15:49
Messages: 4764
C'est flippant. Enfin moi je l'utilise pas, mais quand même...

Belle démonstration en tous cas.

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
That's the thing about people who think they hate computers. What they really hate is lousy programmers. -- Larry Niven


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 29 Jan 2014 20:31 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 30 Juin 2009 20:16
Messages: 2120
Ah quand même !!!

Voilà pourquoi il ne faut pas utiliser de logiciels dont le code source n'est pas au moins ouvert (si ce n'est libre)...

Ca vaudrait le coup de creuser le sujet à fond car ça a vraiment l'air d'être une belle saloperie.

En tout cas plus jamais je n'installe cette merde sur n'importe laquelle de mes machines ! Si c'est déjà ce dont le logiciel est capable, imaginez ce que Microsoft fait des données qui transitent sur son réseau....... Vous avez dit NSA ? Même plus besoin, Microsoft s'en charge !

Dans le même ordre d'idée, pour info pour ceux qui ne sauraient pas : http://www.numerama.com/magazine/27476- ... e-maj.html

Microsoft, cette belle entreprise...


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 29 Jan 2014 21:27 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
j'ai prévenu mes contacts que je virais skype de mon ordi en faisant référence à ce topic, même pas envie de l'utiliser avec vitual-box, maintenant uniquement SIP ou JABBER. je modifie le titre sécuriser skype en virer skype.

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
 Sujet du message: Re: virer skype
MessagePosté: 29 Jan 2014 22:15 
Hors ligne
Très bavard(e)!
Avatar de l’utilisateur

Inscription: 13 Nov 2009 17:39
Messages: 488
Avec « virer Skype », on s'attend à un bête truc comme ça:
Code:
apt-get remove skype
apt-get purge skype

Alors que le contenu du fil est bien plus riche. Par ailleurs, peut-être certaines personnes ont mémorisé « sécuriser », et ne retrouveront pas le fil en cas de recherche dans x mois. « sécuriser Skype = mission impossible n'utilisez pas de spyware social » serait un titre plus approprié.

_________________
Debian Wheezy amd64 + backports. XFCE ou openbox (awesome en projet) –—– clavier BÉPO + vim = le bonheur !
http://bugs.debian.org/release-critical/


Haut
 Profil  
 
 Sujet du message: Re: sécuriser skype
MessagePosté: 29 Jan 2014 22:53 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 17 Fév 2006 11:20
Messages: 17307
Localisation: Ile de France
nykoos a écrit:
Code:
apparmor="DENIED" operation="file_mmap" parent=15303 profile="/usr/bin/skype" name="/etc/group" pid=15317 comm="Backbone" requested_mask="m" denied_mask="m" fsuid=1002 ouid=0


que voulait faire dans /etc/group avec Backbone qui possède uid 0 de root !?
qui est ce fameux Backbone dont se sert skype ? en tout cas apparmor l'a bien empêché d'allé fouiné dans /etc/group

faisons une petite recherche depuis la racine:
grep -rn "Backbone" /

Code:
Fichier binaire /usr/sbin/tcpdump concordant
Fichier binaire /usr/lib/libwireshark.so.2.0.2 concordant


question: mais que veut faire skype avec tcpdump libwireshark ??
Je ne suis pas sûr de cette interprétation, je ne connais pas bien apparmor mais j'ai été étonné de voir skype avec des droits acquis root. Ça me parait hautement plus grave que la découverte par skype des sites où je vais. Voilà ce que j'ai trouvé:

file_mmap est une opération d'accès en lecture seule à des fichiers (conseillés pour ceux utilisés par de nombreux processus), /etc/group doit être accédé par les programmes pour connaitre les groupes, il n'est pas anormal que skype y accède lors de son fonctionnement.

ouid désigne le propriétaire de «name» soit donc /etc/group.

En clair l'application cherche à accéder à /etc/group (ce qui en soit n'est pas bien grave)

Enfin Backbone est certes dans wireshark, en l'occurrence dans le chaine «802.1ah Provider Backbone Bridge (mac-in-mac)» qui n'a pas grand chose à voir avec skype. Je pense que wireshark n'a strictement rien à voir avec cette histoire (on se demande d'ailleurs en quoi skype aurait besoin de faire appel à wireshark plutôt que d'intégrer directement cette application si ellele veut). Reste le nom Backbone et son origine; comm= indique le nom de l'application qui a lancé l'appel noyau. profile désigne le profile concerné par apparmor. Je n'arrive pas à voir d'où vient ce nom «Backbone». Visiblement le processus père (15303) a lancé plusieurs processus (celui là est le 15317) en leur donnant des noms. Peut être est ce un nom choisi (mais je n'ai pas trouvé la chaine Backbone dans le binaire de skype). J'ai fouillé les sources d'apparmor mais je n'ai rien trouvé de particulier là dessus.
En tout cas, ça n'est pas du tout un faux utilisateur backbone crée par skype avec un uid à 0 lançant wireshark, juste un processus, venu de skype et lisant /etc/group ce qui est parfois normal lorsqu'on fait du controle d'accès (pour savoir si untel appartient au groupe video par exemple). Seul lenom Backbone est vraiment curieux, je n'ai pas d'explications dessus.

Ça n'enlève rien sur skype fouillant .mozilla...

_________________
Debian Wheezy/Sid amd64 Linux version 3.5.2--aufs, Toshiba A500D Carte NVIDIA ou Toshiba Portege carte Intel, XFCE avec compiz (ben si...) et rox
2 mains de 5 doigts chacune, une tête plus options usuelles. Projets:
ClefAgreg et clef ISN


Haut
 Profil  
 
 Sujet du message: Re: virer skype
MessagePosté: 29 Jan 2014 23:17 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
merci pour les explications fran.b, lui enlever les droits de lecture + apparmor seraient finalement crédible pour le sécuriser, mais dans le doute je ne le réinstalle plus.

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
MessagePosté: 30 Jan 2014 08:28 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 17 Fév 2006 11:20
Messages: 17307
Localisation: Ile de France
Mais pourquoi empecher la lecture de /etc/group? C'est utile pour éventuellement regarder les droits de l'éxécutant et ne pas proposer la vidéo par exemple...

Il y a des tas de raisons de ne pas installer skype, mais pas la lecture de /etc/group. Le parcours de .mozilla est une raison suffisante.

_________________
Debian Wheezy/Sid amd64 Linux version 3.5.2--aufs, Toshiba A500D Carte NVIDIA ou Toshiba Portege carte Intel, XFCE avec compiz (ben si...) et rox
2 mains de 5 doigts chacune, une tête plus options usuelles. Projets:
ClefAgreg et clef ISN


Haut
 Profil  
 
MessagePosté: 30 Jan 2014 09:22 
Hors ligne
Très bavard(e)!

Inscription: 03 Oct 2011 09:29
Messages: 281
fran.b a écrit:
Mais pourquoi empecher la lecture de /etc/group? C'est utile pour éventuellement regarder les droits de l'éxécutant et ne pas proposer la vidéo par exemple...

Il y a des tas de raisons de ne pas installer skype, mais pas la lecture de /etc/group. Le parcours de .mozilla est une raison suffisante.


parceque je pensais que Backbone avait un droit root et qu'il pouvait alors se rajouter dans un groupe pour s'octroyer les droits, mais fort heureusement ouid=0 ne concerne pas Backbone mais /etc/group ce qui change tout évidemment, merci de ton éclaircissement, je vais alors pouvoir remettre le titre d'origine: sécuriser skype.
Et je ne sais pas si c'est une coincidence mais depuis l'installation apparmor skype ne fait plus ramer mon ordi ce qui peux laisser supposer qu'il y a quelque chose qu'il faisait et qu'il ne fait plus...finalement je le réinstalles pour lever ce doute je vais désactiver apparmor.

@Cluxter
complément d'accord avec toi, mais je n'ai pas toujours la possibilité de proposer à mes contacts d'installer linphone, jitsi, gajim...et lorsqu'il le font, bien souvent il faut passer du temps car ils n'ont plus de son, ni vidéo, ou les multi-conférence ne fonctionne pas bref il faut quand même reconnaître que la grande force de skype est d'être immédiatement fonctionnel quelque soit la plateforme.

_________________
Wheezy Linux 3.2.0-4-amd64 Xfce4.8


Haut
 Profil  
 
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 49 messages ]  Aller à la page 1, 2  Suivante

Index du forum » Forums d'aide » Trucs et Astuces


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
cron
Flux RSS Flux RSS Liste des flux Liste des flux
Powered by phpBB® Forum Software © phpBB Group
Traduction par: phpBB-fr.com
SEO
[ Time : 0.567s | 14 Queries | GZIP : Off ]