Skype и профили apparmor

>Ведь это крайне разумно — ограничивать закрытые приложения.
Паранойя редко когда бывает разумной. Не доверяете - не пользуйтесь.

Да при чем тут паранойя? Вот я знаю например, что при холодном запуске (без загруженных библиотек) скайп на 90% попытается сожрать всю имеющуюся память. На 64 битах это приводит к жутки тормозам в течении пары-тройки минут, из-за чего я теперь его пускаю из терминала как

ulimit -v 1048576; skype &

По крайней мере, при попытке сожрать больше гига оперативы его пристреливают, а система не вынуждена лихорадочно свопить.

Собственно, следующая стадия — отловить, что же он там делает, вот я и начал смотреть на apparmor. Правда, память он не лимитирует, но интересно понять, откуда этот внезапный аппетит у скайпа.

> Не доверяете - не пользуйтесь.

Ты тоже уходя из дома не закрываешь двери? Или все время дома сидишь?

За всё время пользования ни разу не наблюдал утечек огромного кол-ва памяти. На 10.04 уб. шёл неактуальный профиль, за полчаса запилил свой (всё по инструкции). После какой-то переустановки отказался, т.к. за полгода мониторинга никакой подозрительной активности не наблюдал.

> За всё время пользования ни разу не наблюдал утечек огромного кол-ва памяти.

Это не утечка, точнее, утечка _только_ при холодном старте, причем такая, что его убивают по OOM. Наблюдаю не только на своей машине, но и еще одной.

я не знаю, что ты там читал, но обычная практика для запиливания нового профиля - это переключение аппармора в complain mode (команда aa-complain), запуск приложения и курение логов + прописыввание правил.

> то переключение аппармора в complain mode (команда aa-complain), запуск приложения и курение логов + прописыввание правил.

Я как раз это и делал, но мне, например, неясно, почему скайп хочет не только ситать /usr/share/locale/что-тотам, но и мэппить их в память.

> но и мэппить их в память.
для ускорения доступа, надо полагать? не?

> для ускорения доступа, надо полагать? не?

Не исключено. С другой стороны, это означает, что стандартные профили вроде 'base' или 'freedesktop' следует модифицировать с учетом того, что программы могут хотеть их не только читать, но и мапить.

а я такую байку слышал, что скайп лезет читать кэш мозиллы, и если ему отрубить такую возможность SELinux-ом, то не запускается

> а я такую байку слышал
говорят, гусей доят!

а «кэш мозилы» он читает для определения настроек прокси.
уже 100 мильёнов раз это пережевали.

> 'base' или 'freedesktop' следует модифицировать

зачем? все, кому надо, собственные профили, а ты собрался править бэйз.
смотри сюда: /etc/apparmor.d/abstractions

* собственные профили _пилят_

> смотри сюда: /etc/apparmor.d/abstractions

Я оттуда информацию и брал

> а я такую байку слышал, что скайп лезет читать кэш мозиллы, и если ему отрубить такую возможность SELinux-ом, то не запускается

Он действительно читает ${HOME}/.mozilla/ и это так же отлавливается и apparmor