使用Apparmor增强PPStream的安全性

Totem,mplayer,sopcast,realplayer,bmp
回复
DarwinChan
帖子: 25
注册时间: 2011-05-03 19:40
送出感谢: 0
接收感谢: 0

使用Apparmor增强PPStream的安全性

#1

帖子 DarwinChan » 2011-05-03 19:43

刚升级到了Ubuntu 11.04,从PPS的官网下载,并安装了PPStream。这只是网络视频播放器而已,竟然要求root权限,有些莫名其妙,其安全性也让人担忧。
google后,得到答案,“因为PPStream把包gksudo也打包在内“。已有网友把gksudo移除,无需root权限即可运行。可下载下面软件包,取代官包提供的包。wget https://launchpadlibrarian.net/68652106 ... 1_i386.deb

即使如此,我对其安装性依然有所担心。于是,用Apparmor来增强PPStream的安全性。
配置文件如下。我已对该配置文件进行了一段时间的测试,难免错漏。希望各位朋友与我交流。

darwin@Darwin-PC:~$ cat /etc/apparmor.d/usr.bin.PPStream
# Last Modified: Wed May 18 23:37:45 2011
#include <tunables/global>

/usr/bin/PPStream {
#include <abstractions/audio>
#include <abstractions/base>
#include <abstractions/bash>
#include <abstractions/consoles>
#include <abstractions/dbus-session>
#include <abstractions/evince>
#include <abstractions/fonts>
#include <abstractions/nameservice>
#include <abstractions/private-files-strict>

capability chown,
capability dac_override,
capability dac_read_search,
capability setgid,
capability setuid,
capability sys_admin,
capability sys_ptrace,



/bin/chmod rix,
/bin/dash ix,
/bin/fusermount rix,
/bin/grep rix,
/bin/mkdir rix,
/bin/mount rix,
/bin/rm rix,
/bin/umount rix,
/dev/fuse rw,
/dev/sda[0-9]* r,
owner /dev/shm/pulse-shm* wk,
/dev/shm/pulse-shm* r,
/etc/ems.conf r,
/etc/fuse.conf r,
/etc/mplayer/* r,
/etc/mtab* rwlk,
/etc/openal/alsoft.conf r,
/etc/xdg/Trolltech.conf rk,
/lib{,32,64}/** mr,
/opt/pps/bin/* rix,
/opt/pps/lib/ r,
/opt/pps/lib/lib*so* mrl,
owner /tmp/** lk,
/tmp/** rw,
/usr/bin/PPStream r,
/usr/bin/mplayer rix,
/usr/share/** rk,
owner @{HOME}/ r,
owner @{HOME}/.config/Trolltech.conf rwk,
owner @{HOME}/.config/ppstream.co/ rw,
owner @{HOME}/.config/ppstream.co/* rwk,
owner @{HOME}/.mplayer/ rw,
owner @{HOME}/.mplayer/config rw,
owner @{HOME}/.pps/ rw,
owner @{HOME}/.pps/** rwk,
owner @{HOME}/.pulse-cookie rwk,
owner @{HOME}/.xsession-errors r,
owner @{HOME}/Pictures/ r,
owner @{HOME}/screenshot/ rw,
owner @{HOME}/shot[0-9]*.png rw,
owner @{HOME}/{Music,Videos,Downloads}/ r,
owner @{HOME}/{Music,Videos,Downloads}/** r,
owner @{HOME}/{Pictures,screenshot}/** rwk,
@{HOMEDIRS}/.ecryptfs/*/.Private/ r,
@{PROC}/[0-9]*/stat r,

}
上次由 DarwinChan 在 2011-05-20 21:09,总共编辑 1 次。
头像
月下叹逍遥
论坛版主
帖子: 33994
注册时间: 2010-10-07 14:23
系统: Archdows10
来自: 某系某星某洲某国某省某市
送出感谢: 8 次
接收感谢: 63 次
联系:

Re: 使用Apparmor增强PPStream的安全性

#2

帖子 月下叹逍遥 » 2011-05-03 19:45

不懂……
心似浮云常自在,意如流水任东西。
此事背后一定有个天大的咪咪
广告:
1、走过路过,不要错过,dropbox网盘2.25G大放送
py大法好,退C保平安
java多妖孽,VB本异端
日诵一千遍,快活似神仙
头像
qy117121
论坛版主
帖子: 49890
注册时间: 2007-12-14 13:40
系统: Winbuntu
来自: 志虚国乌由市
送出感谢: 17 次
接收感谢: 334 次
联系:

Re: 使用Apparmor增强PPStream的安全性

#3

帖子 qy117121 » 2011-05-03 19:49

那个root权限听说只是为了清除缓存
渠月 · QY    https://vz.rs/u
本人只会灌水,不负责回答问题

无聊可以点一下→ http://u.nu/ubuntu
头像
qy117121
论坛版主
帖子: 49890
注册时间: 2007-12-14 13:40
系统: Winbuntu
来自: 志虚国乌由市
送出感谢: 17 次
接收感谢: 334 次
联系:

Re: 使用Apparmor增强PPStream的安全性

#4

帖子 qy117121 » 2011-05-03 19:50

而且 选择取消,不输入密码了是可以用的
渠月 · QY    https://vz.rs/u
本人只会灌水,不负责回答问题

无聊可以点一下→ http://u.nu/ubuntu
头像
月下叹逍遥
论坛版主
帖子: 33994
注册时间: 2010-10-07 14:23
系统: Archdows10
来自: 某系某星某洲某国某省某市
送出感谢: 8 次
接收感谢: 63 次
联系:

Re: 使用Apparmor增强PPStream的安全性

#5

帖子 月下叹逍遥 » 2011-05-03 19:50

今天Arch安装PPS,竟要QT,一百多兆的东西又给我安上了……
心似浮云常自在,意如流水任东西。
此事背后一定有个天大的咪咪
广告:
1、走过路过,不要错过,dropbox网盘2.25G大放送
py大法好,退C保平安
java多妖孽,VB本异端
日诵一千遍,快活似神仙
头像
qy117121
论坛版主
帖子: 49890
注册时间: 2007-12-14 13:40
系统: Winbuntu
来自: 志虚国乌由市
送出感谢: 17 次
接收感谢: 334 次
联系:

Re: 使用Apparmor增强PPStream的安全性

#6

帖子 qy117121 » 2011-05-03 19:53

月下叹逍遥 写了:今天Arch安装PPS,竟要QT,一百多兆的东西又给我安上了……
:em04
渠月 · QY    https://vz.rs/u
本人只会灌水,不负责回答问题

无聊可以点一下→ http://u.nu/ubuntu
回复

回到 “影音多媒体”