Bir kimlik doğrulama kutusunun gerçek veya sahte olup olmadığını nasıl anlarım?

Örneğin, birisi kök şifremi almak için sahte bir Kimlik Doğrulama iletişim kutusu yaratıyor. Gerçek mi sahte mi?

Demek ki, muhtemelen orada bir PolicyKit yükseltme istemine bakıyorsunuz. Birlikte oynamak isteyenlerden biri olmayan herkes koşabilir pkexec echo(ya da onun gibi bir şey) koşabilir ve benzer bir şey elde ederler.

Bazı ısmarlama bir phishing penceresi değil, gerçekten PolicyKit olduğunu nasıl kontrol edebiliriz ?

Peki bir Pencere ile ilgili bilgi edinebilir xpropve komut bilgisini de alabilirsiniz ps. Buharlaşmadan önce, burada süper paranoyak olduğumuz için, birisinin bu komutların herhangi birinin yerel olarak kesilmiş bir kopyasını eklemesi ihtimaline karşı tam yollar kullanıyorum. İşte kutuma pkexec echokoyacağım:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
 3989 ?        Sl     0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1

Söyleyebildiğimiz kadarıyla (KDE kullanıcısı olduğumu unutmayın) bu meşru bir bilgi istemidir. Kötü bir şey sistemi zaten köklendirmediği sürece bazı yerel senaryolar tükenmiyor (ama hey, neden tekrar şifremize ihtiyaç duysunlar?), Muhtemelen güvendeyiz.

Ne yapacağını nasıl söyleyebiliriz?

Durumunda gksu, kdesuve pkexecister onlar çalıştırmak için gidiyoruz ne oldukça açık bulunmaktadır. İlk ikisinde, yukarıdaki komut size kaçmayı planladıklarını söyleyecektir:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
10395 ?        Sl     0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic

PolicyKit durumunda, o detaylar sekmesini tıklayabilir ve hangi izni çalıştırmak istediğini görebilirsiniz. KDE'de ayrıca aranabilecek arayan PID'i göreceksiniz ( ps <PID>). İşte KDE'de göründüğü gibi:

Eylemin üzerine gelebilir ve yürütmek istediği PolicyKit politikasını alabilirsiniz. Ubuntu'da politika varsayılan olarak gösterilir. Bu politikalar aranabilir. Yukarıdakilerden biri /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policyve belirtilen hizmetten geliyor /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service. Neyin ve kimin tarafından yönetildiğini görebilirsiniz. Ve bu hizmetler sadece root tarafından tekrar eklenebilir, eğer daha önce rootlanmadıysanız, muhtemelen bunlara güvenebilirsiniz.

Ama ilke olarak Politika'ya kesinlikle güvenme!

PolicyKit bu kurallara ve hizmetlere sahiptir, böylece tüm işlemleri böyle yapmak zorunda kalmadan kök işlem olarak seçme eylemleri gerçekleştirilebilir. Yine de uyanık olmalısın. Açıkça koşuyorsanız gnome-calculatorve bir bilgi org.freedesktop.policykit.execistemi ortaya çıkarsa , bir şey tehlikeli olabilir.

Şifreni girmeden önce araştırmaktan başka bir şey olmayabilir. Sonra çok geç.

Ve hepsi okunaklı olsa bile, kim zaten tüm şifrelerinizi çalan bir keylogger'in olmadığını söylüyor? Ya da geçersiz kılan bir şey $PATHya da içine itilmemiş ~/.bashrcgibi görünmesini sağlayan, korkunç bir şey attı ? Yeterince konsantrasyonla, yukarıdaki tüm algılama prosedürlerini atlatacağınızdan eminim.

İyi uykular.