Як я не дозволяю програмам нюхати натискання клавіш на su / gksu?

10

Я тут читав, що будь-яка програма, що використовує X-сервер, може нюхати натискання клавіш на будь-яку іншу програму, яка також використовує X-сервер, включаючи su(на терміналі) або gksu. Я чув про кілька способів зробити X-сервер безпечним, як Xephyr , але не знаю, який саме використовувати. Я просто хочу запобігти будь-якому додатку, наприклад, xinputлегко нюхати натискання клавіш, коли я набираю пароль у терміналі або gksu. Зараз я використовую sid Debian.

debian  security  x11 
Магнус
джерело
Не набирайте текст. пробіги
Ігнасіо Васкес-Абрамс
1
будь-яка програма = будь-яка програма, що має доступ до вашого сервера X11 , див. документацію щодо безпеки X.Org для перших покажчиків. Також зауважте, що існує XACE, вся історія здається трохи складнішою, з довіреними / недовірливими клієнтами X11. Поняття не маю, скільки цього використовується в останніх налаштуваннях Xorg.
sr_
1
Я встановив Xephyr. Це дуже громіздко і вимагає складної магічної башти, але xinput, що працює всередині вкладеного X-сервера, не міг виявити натискання клавіш поза Xephyr (однак, xinput, що працює поза Xephyr, все ще може виявити всі натискання клавіш). Я спробував використовувати пісочницю SELinux, але не зміг її працювати. Я все одно залишаю це питання відкритим у випадку, якщо хтось має кращу ідею.
Магнус
Це нещодавня lwn.netстаття про безпеку графічного стека GNU / Linux, яка досить ґрунтовно обговорює прийом розробників X щодо цього питання.
sr_

Відповіді:

1

Зауважте, що Xephyr / Xnest / vnc-сервер змусить програму спілкуватися з іншим X-сервером, але не заборонятиме їй спілкуватися з вашим іншим X-сервером, де ви працюєте gksu.

Найкраще запускати його на іншому X-сервері та як інший користувач (або використовувати LSM, щоб запобігти підключенню програми до X-сервера чи читання файлу .Xauthority). Щоб зробити його на крок далі, ви можете змусити його бігти в тюрмі Chroot, а щоб зробити ще один крок далі, ви можете запустити його в контейнер, і зробити ще один крок, далі, запустити його в повністю контрольованому режимі віртуальна машина (наприклад, з kvm -snapshot).

Якщо ви не довіряєте програмі, вам, ймовірно, доведеться пройти весь шлях.

Стефан Хазелас
джерело
-1

Я вважаю, але не знаю, як довести, що будь-який додаток X11, який заважає вводити будь-яке інше (наприклад, підказки пароля), не може бути нюханий.

Спробуйте це: запустіть gksu, і коли відкриється запит пароля, спробуйте відрегулювати гучність за допомогою клавіш (якщо на вашій машині їх є) або натисніть інші гарячі клавіші (супер, потужність тощо) і подивіться, чи вони щось роблять. Якщо їх немає, я думаю, що ти в безпеці.

Я думаю, що ctrl-alt-f1 і т.д. завжди працюють, хоча.

ам
джерело
2
Насправді, xinput може відслідковувати натискання клавіш навіть у gksu. Я спробував це, і хоча він не показував натискання клавіш під час введення пароля, після того, як діалогове вікно gksu було відключене, з'явились натискання клавіш.
Магнус
@Magnus: Це невтішно. :(
ams
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.