Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Skype в chroot

2015-12-02 11:07:35 (читать в оригинале)

Меня тут уже как-то Максим Отставнов справшивал, какими именно средствами я пользуюсь для изоляции нехорошего проприетарного скайпа от остальной системы, содержащей ценные данные.

Тогда я честно признался, что никакими не пользуюсь. Просто потому что на тот момент у меня хорошего решения не было.

Сейчас я его всё же реализовал.

Сделано это на базе schroot, хотя потребовалась некоторая черная магия, чтобы заставить skype работать в chroot-е, созданном при помощи debootstrap.
Наиболее черномагическим на мой взгляд, является необходимость создания вручную директорий /tmp/user/`id -u`.

Вся черная магия запихана в 150-строчный скрипт, который по идее должен запуститься в более-менее любой отосительно свежей debian/ubuntu системе и создать полугиговый chroot с работоспособным скайпом, а также скрипт chroot-skype который этот скайп запускает и разрешить выполнение этого скрипта через sudo без пароля. Пробовал только на jessie/amd64. Кстати, на amd64 полугиговый размер вроде как и не страшен - все равно для того чтобы запустить скайп потребуется те же полгига i386 пакетов поставить.

В процессе работы скрипт выкачает четверть гига пакетов. При этом самого скайпа он не скачивает. Мне лень было разбираться как автоматизировать этот процесс, тем более что у меня-то deb-пакет скачанный со skype.com уже валялся на диске. Поэтому предполагается что в момент запуска скрипта skype-debian-X.XX-X_i386.deb уже лежит в текущей директории.

Для доступа к дисплею используется unix-domain сокет - в chroot монтируется с -o bind /tmp/.X11-unix. Это позволяет не напрягаться с xauth, а просто скопировать ${HOME}/.Xauthority
Для доступак к звуку в хост-системе разрешается tcp-ip коннекты к pulseaudio. А внутри chroot перед запуском скайпа выставляется PULSE_SERVER=localhost.
Для доступа к видеокамере в chroot-е создается /dev/video?.

Можно было бы еще создать симлинку в $HOME у юзера на хосте на $HOME в chroot-е для облегчения передачи файлов через скайп. Но я поленился.

Задач администрирования chroot - добавления туда нового системного пользователя и апдейта пакетов - пока решать не пытался. Но при создании chroot-а можно указать столько пользователей, сколько надо.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1143079.html. Please comment there using OpenID. Now there are comments