Skype/isolation

Материал из ALT Linux Wiki

Блокирование Skype на периметре

IP-фильтры (в т.ч. L7) не помогут, устойчивых сигнатур в протоколе нет. Если все ходят только через прокси — заблокировать CONNECT на IP-адреса и разрешить только на hostname.

Запуск в Hasher

Поскольку Skype — закрытая проприетарная программа, не стоит особенно доверять ей. Снизить возможный ущерб от ошибок и/или закладок поможет запуск в изолированном окружении.

Запуск Skype в изолированном окружении hasher возможен если предварительно произвести в этом окружении попытку запуска службы messagebus — несмотря на то, что запуск службы завершится неудачей, в директории /var/run будут созданы все необходимые для работы Skype файлы.

Для работы Skype необходим доступ к Интернет (share_network=1), перенаправление X11 (hsh-shell -Y) и ввод/вывод звука из/во внешнюю систему. Последняя задача решается посредством команды padsp предоставляющей простой способ использовать сетевой сервер PulseAudio вместо локального сервера по умолчанию.

Следующая команда производит запуск Skype в изолированном окружении в директории ~/skype с вводом/выводом звука с/на сервер PulseAudio посредством сетевого соединения через локальный интерфейс:

$ share_network=1 hsh-run -Y ~/skype -- padsp -d -s 127.0.0.1:4713 skype &

Для того, чтобы сервер PulseAudio принимал сетевые соединения необходимо добавить следующую директиву загрузки модуля в его конфигурационный файл:

load-module module-native-protocol-tcp listen=127.0.0.1 auth-anonymous=1

Наверное, можно использовать и удалённый звуковой сервер, но это уже другая история…

И, кстати, это ещё один способ запуска на x86-64.