服务器的最佳rootkit删除工具？

Question

seanlano

Asked: 2015-08-24 02:00:26 +0800 CST2015-08-24 02:00:26 +0800 CST 2015-08-24 02:00:26 +0800 CST

如何使用 AppArmor 保护 Spotify？

772

我按照这些说明从他们的仓库安装了 Spotify 。

但我担心在我的机器上运行专有代码会带来安全后果——因为它不可用于独立审查，而且 Spotify 全权负责修复任何安全漏洞。

我想使用 AppArmor 保护它，以减少它可能产生的影响。我在 Internet 上找到了一些 AppArmor 配置文件，但没有一个适合我。（有关 AppArmor 的更多信息）

2 个回答

Voted

seanlano · Answer 1 · 2015-08-24T02:00:26+08:00

由于找不到适合我的配置文件，我对 Spotify 进行了配置文件并创建了自己的配置文件。这不会阻止 Spotify 二进制文件访问您可能不希望它访问的所有内容，但总比没有好。我不作任何保证，使用它需要您自担风险。

这适用于 Ubuntu 14.04 和 15.04，以及 Spotify 版本 0.9.17.1。我正在使用标准的 GNOME 和 LightDM 桌面，我还没有用 KDE 或 XFCE 等测试过这个。

0.先决条件

使用 AppArmor 时，我发现安装该apparmor-utils软件包非常有用。在终端运行中：

sudo apt-get install apparmor-utils

1. 创建档案

让我们从将配置文件复制到适当的位置开始。首先，以root权限打开gedit：

sudo gedit /etc/apparmor.d/opt.spotify.spotify-client.spotify

然后将其复制到新窗口中：

# Created by Sean Lanigan. Released to the Public Domain. 
# Retrieved from https://askubuntu.com/a/664812/237387 
# Last Modified: Sun 30 Aug 2015

#include <tunables/global>

/opt/spotify/spotify-client/spotify {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/dbus-strict>
  #include <abstractions/ibus>
  #include <abstractions/lightdm>
  #include <abstractions/gnome>
  #include <abstractions/dconf>
  #include <abstractions/nameservice>

  # Give some access to some user things
  /home/*/.config/Trolltech.conf rwk,
  /home/*/.pki/nssdb/* rw,
  /home/*/.pki/nssdb/cert9.db rwk,
  /home/*/.pki/nssdb/key4.db rwk,

  # Give some access to some system things
  @{PROC}/*/auxv r,
  @{PROC}/*/oom_score_adj rw,
  @{PROC}/sys/kernel/shmmax r,

  # Allow read, write and lock access to Spotify config and cache files
  owner @{HOME}/.cache/spotify/ rw,
  owner @{HOME}/.cache/spotify/** rwk,
  owner @{HOME}/.config/spotify/ rw,
  owner @{HOME}/.config/spotify/** rwk,
  owner @{HOME}/.local/share/spotify/ rw,
  owner @{HOME}/.local/share/spotify/** rwk,

  # Read local music, no write permission given
  owner @{HOME}/Music/ r,
  owner @{HOME}/Music/** r,
}

然后保存退出。

2.启用配置文件

现在我们所要做的就是启用新的配置文件：

sudo aa-enforce /opt/spotify/spotify-client/spotify

这就是它的全部！Spotify 可以访问正常工作所需的所有内容，包括您的 ~/Music 目录 - 希望没有它不应该访问的内容。

如果您对此配置文件有任何改进，请在评论中提及！

禁用 AppArmor 配置文件

如果你想禁用 AppArmor 限制 Spotify，你可以运行

sudo aa-disable /opt/spotify/spotify-client/spotify

如果更改了新版本的 Spotify 应用程序并开始使用此配置文件崩溃，这可能是必要的。如果是这种情况，您将需要更新 AppArmor 配置文件以允许进行任何这些更改。

Ruud Koot · Answer 2 · 2015-08-25T12:31:59+08:00

Ruud Koot

2015-08-25T12:31:59+08:002015-08-25T12:31:59+08:00

我已经在 GitHub 上发布了 AppArmor 的 Spotify 配置文件：https ://github.com/ruudkoot/spotify-apparmor 。

1

如何使用 AppArmor 保护 Spotify？

0.先决条件

1. 创建档案

2.启用配置文件

禁用 AppArmor 配置文件

如何运行 .sh 脚本？

如何安装 .tar.gz（或 .tar.bz2）文件？

如何列出所有已安装的软件包

无法锁定管理目录 (/var/lib/dpkg/) 是另一个进程在使用它吗？

如何使用 AppArmor 保护 Spotify？

2 个回答

0.先决条件

1. 创建档案

2.启用配置文件

禁用 AppArmor 配置文件

相关问题