sécuriser skype

Question newbie :
en modifiant le lanceur /usr/share/applications/skype.desktop, je change Exec=skype %U en Exec=/usr/local/bin/skype.sh %UJe laisse le %U pour charger l’utilisateur par défaut, c’est bien ça ?

[quote=“jarlax”]Question newbie :
en modifiant le lanceur /usr/share/applications/skype.desktop, je change Exec=skype %U en Exec=/usr/local/bin/skype.sh %UJe laisse le %U pour charger l’utilisateur par défaut, c’est bien ça ?[/quote]

oui c’ est bien cela, sauf qu’il faut mettre le sudo puisque la commande est dans le sudoers

[quote]oui c’ est bien cela, sauf qu’il faut mettre le sudo puisque la commande est dans le sudoers

Effectivement : il m’a râlé dessus sur ce point au lancement, j’ai eu à corriger, ça marche.

[quote=“jarlax”][quote]oui c’ est bien cela, sauf qu’il faut mettre le sudo puisque la commande est dans le sudoers

Effectivement : il m’a râlé dessus sur ce point au lancement, j’ai eu à corriger, ça marche.[/quote]

certains programmes ne prennent pas en compte l’ umask par défaut, j’ai donc rajouté cette ligne dans cron:

#crontab -e

[quote]certains programmes ne prennent pas en compte l’ umask par défaut, j’ai donc rajouté cette ligne dans cron:

[code]#crontab -e

*/30 * * * * /bin/chmod -R o-rwx /home/utilisateur[/code][/quote]Ne maîtrisant pas les cron et crontab, je vais garder ce réglage sous le coude avant de l’appliquer… Néanmoins, après test, skype se log sans problème.

J’ai appliqué cette méthode sur une autre machine (même pc, même configuration que la mienne), ça marchait très bien, mais depuis un moment, pour une raison inconnue, le lanceur ne lance plus skype. Je ne peux le lancer que si je fais un /usr/local/bin/skype.sh explicite sur un terminal.

Le lanceur lance (les deux sont sous lxde) :sudo /usr/local/bin/skype.sh %U
Le /usr/share/applications/skype.desktop :[code]Exec=sudo /usr/local/bin/skype.sh %U

#que j’ai modifié en
Exec=skype %U
#ou en
Exec=skype.sh %U
#avec ou sans sudo[/code]
Un ls -l /usr/local/bin/skype.sh me donne un owner différent que sur ma machine :[code]ls -l /usr/local/bin/skype.sh
#machine concernée
652638 -rwxr-x-r-x 1 root root 51 févr. 24 14:18 /usr/local/bin/skype.sh*

#ma machine (qui marche)
-rwxr-xr-x 1 root staff 50 Nov 25 11:12 /usr/local/bin/skype.sh*[/code]Mais, toutes mes applications dans ce repertoire sont en root staff là où toutes celles de la machine concernée sont en root root.

Bref, je ne vois pas où ça coince…

slt

dans le lanceur de mon tableau de bord, la commande se résume à

je n’ ai pas essayé avec /usr/share/applications/skype.desktop

Retour d’expérience après quelques mois d’utilisation de ce mode.

J’ai utilisé ce tuto sur deux machines différentes, mêmes modèle, même système, même configuration, dans un cas avec succès, dans l’autre non.

Sur le mien, tout fonctionne à un point près : si je souhaite contacter un correspondant, seul celui-ci peut initier une conversation, sans quoi mes messages restent non-lus.

Sur le second système, la connexion au réseau est difficile : je dois relancer le programme 4 ou 5 fois avant qu’il arrive à se connecter.
Le problème cité plus haut se présente aussi.
Le bouton ne fonctionnant pas malgré un réglage “copie conforme” des fichiers de conf de ma machine sur la seconde, je ne pouvais lancer le programme que via un terminal (même si les fichiers icônes et autres pointaient vers /usr/local/bin/skype.sh).
Au final, j’ai dû réinstaller un skype sans tous ses réglages.

Étant en train de regarder les chroot, serait-ce un outil à considérer pour la sécurité de Skype ?

bonjour
Je relance ce sujet car je constate souvent que skype est un peu trop gourmand en ressources systèmes, j’ai donc fait une analyse plus approfondie pour savoir ce qu’il fait exactement, le constat est sans appel: skype va bien fouiner dans les dossiers qui ne le concerne pas et je le soupçonne même fortement de se servir de librairies de wireshark et tcpdump mais là je ne peux pas le prouver avec certitude, il se sert en effet de Backbone qui fait peut être office de backdoor, (dans les recherches google, Backbone est cité dans l’espionnage réseau exemple cables sous marins etc, si vous avez une idée de son utilité ? on va revoir cela un peu plus loin, déjà je reviens sur les manips que j’ai effectué:

1-analyse de ce que fait skype et preuve qu’il est impératif de le lancer sous un autre user aux droits limités de lecture mais cependant insuffisant car n’oublions pas que skype a été installé par root et il est fort possible qu’il puisse s’octroyer via /etc/group les droits de lecture comme bon lui semble.
2-création d’un profil apparmor qui démontre ce qui est dit précédement.

1-analyse
installer strace
lancer skype
ps -aux | grep skype
noter le numéro pid du process. exemple skype 24160 2.1 2.1 311436 86328 ? Rl 10:12 0:54 skype

# strace -f -p24160 &>skype.log &
dans les fichier skype.log c’est du lourd, appelez votre pote sur skype ou faite une visio conférence.
maintenant accrochez vous exemple pour mozilla:
grep mozilla skype.log
j’ai des dizaines de lignes comme

[pid 24398] stat64("/home/skype/.mozilla/firefox/sgptvrcr.default/safebrowsing/test-phish-simple.cache", {st_mode=S_IFREG|0770, st_size=44, ...}) = 0 ou [pid 24398] stat64("/home/skype/.mozilla/seamonkey/kkuv0w6p.default/localstore.rdf", {st_mode=S_IFREG|0770, st_size=5166, ...}) = 0

laisser le tourner une heure
taper par exemple torrent ou ce que vous voulez, preuve /9 que skype va dans les dossiers qui ne le concerne pas.
ici le user est skype, il ferait la même chose s’il était lancé depuis votre propre user.

2- il faut lui créer un profil apparmor pour le calmer
installez apparmor
pour activer apparmor au démarrage il faut l’activer dans /etc/default/grub la ligne :
GRUB_CMDLINE_LINUX_DEFAULT="security=apparmor quiet"
update-grub
rebooter la machine

il faut lui crée un profil skype dans un fichier usr.bin.skype se trouvant dans /etc/apparmor.d
dans ce fichier:

[code]#include <tunables/global>

/usr/bin/skype flags=(complain) {

#include <abstractions/base>
#include <abstractions/user-tmp>
#include <abstractions/audio>
#include <abstractions/nameservice>
#include <abstractions/ssl_certs>
#include <abstractions/fonts>
#include <abstractions/X>
#include <abstractions/freedesktop.org>
#include <abstractions/kde>

/usr/bin/skype mr,
/opt/skype/skype pix,
/opt/skype/** kmr,
/usr/share/fonts/X11/** m,

@{PROC}/*/net/arp r,
@{PROC}/sys/kernel/ostype r,
@{PROC}/sys/kernel/osrelease r,

/dev/ r,
/dev/tty rw,
/dev/snd/* mrw,
/dev/shm/ r,
/dev/shm/pulse-shm-* mrw,
/etc/pulse/client.conf r,
/dev/pts/* rw,
/dev/video* mrw,

@{HOME}/.Skype/ rw,
@{HOME}/.Skype/** krw,
/usr/share/skype/** kmr,
/usr/share/skype/sounds/*.wav kr,

deny @{HOME}/.mozilla/ r,
deny @{PROC}/[0-9]/fd/ r,
deny @{PROC}/[0-9]/task/ r,
deny @{PROC}/[0-9]*/task/** r,

}[/code]

aa-enforce skype
invoke-rc.d apparmor reload

les profils dont skype sont maintenant en mode enforce et non complain
vérification
apparmor_status

lancer skype
maintenant allons voir les logs apparmor dans /var/log/messages

tiens tiens !

que voulait faire dans /etc/group avec Backbone qui possède uid 0 de root !?
qui est ce fameux Backbone dont se sert skype ? en tout cas apparmor l’a bien empêché d’allé fouiné dans /etc/group

faisons une petite recherche depuis la racine:
grep -rn “Backbone” /

Fichier binaire /usr/sbin/tcpdump concordant Fichier binaire /usr/lib/libwireshark.so.2.0.2 concordant

question: mais que veut faire skype avec tcpdump libwireshark ??
faites donc un grep Backbone skype.log , c’est du lourd… skype se servirait il de wireshark,tcpdump ? je ne sais pas encore mais cela expliquerait les montées de ressources CPU quand skype est lancé et que l’on l’utilise.

conclusion: virer skype de votre machine ou installer le dans une virtualbox sans aucun programme à sa disposition, l'activation de apparmor est de toute façon impérative..

C’est flippant. Enfin moi je l’utilise pas, mais quand même…

Belle démonstration en tous cas.

Ah quand même !!!

Voilà pourquoi il ne faut pas utiliser de logiciels dont le code source n’est pas au moins ouvert (si ce n’est libre)…

Ca vaudrait le coup de creuser le sujet à fond car ça a vraiment l’air d’être une belle saloperie.

En tout cas plus jamais je n’installe cette merde sur n’importe laquelle de mes machines ! Si c’est déjà ce dont le logiciel est capable, imaginez ce que Microsoft fait des données qui transitent sur son réseau… Vous avez dit NSA ? Même plus besoin, Microsoft s’en charge !

Dans le même ordre d’idée, pour info pour ceux qui ne sauraient pas : numerama.com/magazine/27476- … e-maj.html

Microsoft, cette belle entreprise…

j’ai prévenu mes contacts que je virais skype de mon ordi en faisant référence à ce topic, même pas envie de l’utiliser avec vitual-box, maintenant uniquement SIP ou JABBER. je modifie le titre sécuriser skype en virer skype.

Avec « virer Skype », on s’attend à un bête truc comme ça:apt-get remove skype apt-get purge skype
Alors que le contenu du fil est bien plus riche. Par ailleurs, peut-être certaines personnes ont mémorisé « sécuriser », et ne retrouveront pas le fil en cas de recherche dans x mois. « sécuriser Skype = mission impossible n’utilisez pas de spyware social » serait un titre plus approprié.

[quote=“nykoos”] apparmor="DENIED" operation="file_mmap" parent=15303 profile="/usr/bin/skype" name="/etc/group" pid=15317 comm="Backbone" requested_mask="m" denied_mask="m" fsuid=1002 ouid=0

que voulait faire dans /etc/group avec Backbone qui possède uid 0 de root !?
qui est ce fameux Backbone dont se sert skype ? en tout cas apparmor l’a bien empêché d’allé fouiné dans /etc/group

faisons une petite recherche depuis la racine:
grep -rn “Backbone” /

Fichier binaire /usr/sbin/tcpdump concordant Fichier binaire /usr/lib/libwireshark.so.2.0.2 concordant

question: mais que veut faire skype avec tcpdump libwireshark ??
[/quote]Je ne suis pas sûr de cette interprétation, je ne connais pas bien apparmor mais j’ai été étonné de voir skype avec des droits acquis root. Ça me parait hautement plus grave que la découverte par skype des sites où je vais. Voilà ce que j’ai trouvé:

file_mmap est une opération d’accès en lecture seule à des fichiers (conseillés pour ceux utilisés par de nombreux processus), /etc/group doit être accédé par les programmes pour connaitre les groupes, il n’est pas anormal que skype y accède lors de son fonctionnement.

ouid désigne le propriétaire de «name» soit donc /etc/group.

En clair l’application cherche à accéder à /etc/group (ce qui en soit n’est pas bien grave)

Enfin Backbone est certes dans wireshark, en l’occurrence dans le chaine «802.1ah Provider Backbone Bridge (mac-in-mac)» qui n’a pas grand chose à voir avec skype. Je pense que wireshark n’a strictement rien à voir avec cette histoire (on se demande d’ailleurs en quoi skype aurait besoin de faire appel à wireshark plutôt que d’intégrer directement cette application si ellele veut). Reste le nom Backbone et son origine; comm= indique le nom de l’application qui a lancé l’appel noyau. profile désigne le profile concerné par apparmor. Je n’arrive pas à voir d’où vient ce nom «Backbone». Visiblement le processus père (15303) a lancé plusieurs processus (celui là est le 15317) en leur donnant des noms. Peut être est ce un nom choisi (mais je n’ai pas trouvé la chaine Backbone dans le binaire de skype). J’ai fouillé les sources d’apparmor mais je n’ai rien trouvé de particulier là dessus.
En tout cas, ça n’est pas du tout un faux utilisateur backbone crée par skype avec un uid à 0 lançant wireshark, juste un processus, venu de skype et lisant /etc/group ce qui est parfois normal lorsqu’on fait du controle d’accès (pour savoir si untel appartient au groupe video par exemple). Seul lenom Backbone est vraiment curieux, je n’ai pas d’explications dessus.

Ça n’enlève rien sur skype fouillant .mozilla…

merci pour les explications fran.b, lui enlever les droits de lecture + apparmor seraient finalement crédible pour le sécuriser, mais dans le doute je ne le réinstalle plus.

Mais pourquoi empecher la lecture de /etc/group? C’est utile pour éventuellement regarder les droits de l’éxécutant et ne pas proposer la vidéo par exemple…

Il y a des tas de raisons de ne pas installer skype, mais pas la lecture de /etc/group. Le parcours de .mozilla est une raison suffisante.

[quote=“fran.b”]Mais pourquoi empecher la lecture de /etc/group? C’est utile pour éventuellement regarder les droits de l’éxécutant et ne pas proposer la vidéo par exemple…

Il y a des tas de raisons de ne pas installer skype, mais pas la lecture de /etc/group. Le parcours de .mozilla est une raison suffisante.[/quote]

parceque je pensais que Backbone avait un droit root et qu’il pouvait alors se rajouter dans un groupe pour s’octroyer les droits, mais fort heureusement ouid=0 ne concerne pas Backbone mais /etc/group ce qui change tout évidemment, merci de ton éclaircissement, je vais alors pouvoir remettre le titre d’origine: sécuriser skype.
Et je ne sais pas si c’est une coincidence mais depuis l’installation apparmor skype ne fait plus ramer mon ordi ce qui peux laisser supposer qu’il y a quelque chose qu’il faisait et qu’il ne fait plus…finalement je le réinstalles pour lever ce doute je vais désactiver apparmor.

@Cluxter
complément d’accord avec toi, mais je n’ai pas toujours la possibilité de proposer à mes contacts d’installer linphone, jitsi, gajim…et lorsqu’il le font, bien souvent il faut passer du temps car ils n’ont plus de son, ni vidéo, ou les multi-conférence ne fonctionne pas bref il faut quand même reconnaître que la grande force de skype est d’être immédiatement fonctionnel quelque soit la plateforme.

Il faut analyser le strace pour cela et regarder avec top le processus gourmand. Interdire des accès peut par exemple empêcher l’accès à la recherche de certaines ressources videos, audio ou autres que de toute façon tu n’utilises pas. ça peut être aussi tout bêtement qu’il ne parcourt pas le disque. J’avais tracé skype à l’époque de la version 2.0 (voir ce fil par exemple) et il ne débordait pas de .firefox par contre je l’avais clairement vu ouvrir le fichier contenant les mots de passe stockés de firefox.

C’est ce qui fait sa force.

Mais avec le WebRTC on peut monter soi-même sa propre plateforme en HTML 5, c’est pas si compliqué à faire. Ca serait bien si on faisait notre propre site Debian-Fr WebRTC tiens !

le salopard

à ton avis ce sont les développeurs skype depuis leurs serveurs ? ou un autre utilisateur qui saurait comment exploiter la particularité que skype peut utiliser la bande passante d’un connecté pour servir de relais.