Чи безпечне блокування екрана?

Дивіться про помилку драйверів USB, яка піддається впливу "Linux plug and pwn" , або це посилання

Два варіанти [GNOME, Fedora 14]:

1. Використовувати gnome-screensaver
2. Використовуйте функцію "переключити користувача" [меню gnome -> вийти -> переключити користувача]

Тож питання: який із них безпечніший спосіб заблокувати екран, якщо користувач залишає ПК?

Чи правда, що використовувати метод [2] безпечніше? Як я це бачу, gnome-screensaverце просто "процес", його можна вбити. Але якщо ви користуєтесь функцією користувача виходу / перемикання, це "щось інше". Використовуючи функцію "перемикач користувача", чи може виникнути така проблема, як у gnome-screensaver? Чи може хтось "вбити процес" і presto ... замок знятий? Чи може GDM [??] "процес входу в систему" загинути, і "замок" отримає власність?

Якщо метод [2] безпечніший, то як я можу поставити піктограму на панелі GNOME, щоб запустити дію "переключення користувача" на 1 клік?

Добре, що ваше перше посилання стосується виконання коду арбітражного режиму в режимі ядра, проти цього можна зробити не так багато. Вихід із системи не допоможе. Груба безпека та PaX могли це запобігти, але я не впевнений. Він, безумовно, захищає від введення нового виконуваного коду, але я не можу знайти жодних доказів того, що він рандомізує місце розташування коду ядра, що означає, що експлуатація може використовувати код, який вже є у виконуваній пам'яті, для виконання довільних операцій (метод, відомий як повернено-орієнтований- програмування ). Оскільки це переповнення відбувається на купі, що компілює ядро, -fstack-protector-allце не допоможе. Постійне оновлення ядра та людей, які мають мандрівки, здається, найкраще.

Другий метод є результатом погано написаної заставки, що означає, що вихід із системи дозволяє запобігти цьому конкретному помилку. Навіть якщо нападник вбиває GDM, він не потрапить. Спробуйте вбити його самостійно з SSH. Ви отримуєте чорний екран або консоль текстового режиму. Крім того, AFAIK GDM працює як root (як логін), тому зловмиснику знадобляться привілеї root для його вбивства.

Переключення користувачів не має цього ефекту. При переключенні користувача екран блокується за допомогою заставки, і GDM запускається на наступному віртуальному терміналі. Ви можете натиснути [ctrl] + [alt] + [f7], щоб повернутися до заставки-баггі.