Programların tuş vuruşlarını su / gksu'ya koklamasını nasıl önleyebilirim?

10

Burada X sunucusunu kullanan herhangi bir uygulamanın, su(bir terminalde) veya dahil olmak üzere X sunucusunu kullanan başka bir uygulamaya tuş vuruşlarını koklaması mümkün olduğunu okudum gksu. X sunucusunu Xephyr gibi güvenli hale getirmenin birkaç yolunu duydum , ancak hangisini kullanacağımdan emin değilim. xinputTerminalde bir şifre yazarken herhangi bir uygulamanın tuş vuruşlarını kolayca koklamasını önlemek istiyorum gksu. Şu anda Debian sid kullanıyorum.

debian  security  x11 
Magnus
kaynak
Yazmayın. çalışır
Ignacio Vazquez-Abrams
1
Hiçbir uygulama = herhangi bir uygulama X11 sunucunun erişimi olan , X.Org güvenlik belgelerine bakın ilk işaretçileri için. Ayrıca XACE, tüm hikayenin güvenilir / güvenilmeyen X11 istemcileri ile biraz daha karmaşık göründüğüne dikkat edin . Son Xorg kurulumlarında bunun ne kadarının kullanıldığı hakkında hiçbir fikrim yok.
sr_
1
Xephyr'i kurdum. Çok hantaldır ve karmaşık bash büyüsü gerektirir, ancak iç içe X sunucusunun içinde çalışan xinput, Xephyr dışındaki tuş basımlarını algılayamadı (ancak, Xephyr dışında çalışan xinput yine de tüm tuş basımlarını algılayabilir). SELinux korumalı alanını kullanmayı denedim ama işe yaramadım. Birisinin daha iyi bir fikri varsa bu soruyu hala açık bırakacağım.
Magnus
Bu,lwn.net X geliştiricilerinin konuyu ele almasını oldukça ayrıntılı bir şekilde tartışan GNU / Linux'un grafik yığınının güvenliği hakkındaki yeni bir parçadır .
sr_

Yanıtlar:

1

Xephyr / Xnest / vnc-server'ın uygulamanın farklı bir X sunucusuyla konuşmasını sağlayacağını, ancak gksu çalıştırdığınız diğer X sunucunuzla konuşmasını yasaklamayacağını unutmayın.

En iyisi onu farklı bir X sunucusunda ve farklı bir kullanıcı olarak çalıştırmak (veya uygulamanın X sunucusuna bağlanmasını veya .Xauthority dosyanızı okumasını önlemek için bir LSM kullanmak). Bir adım daha ileri götürmek için, bir chroot hapishanesinde çalışmasını sağlayabilir ve bir adım daha ileri götürmek için bir kapta çalıştırabilir ve bir adım daha atmak için, tam kontrollü bir şekilde çalıştırabilirsiniz. sanal makine (örneğin kvm -snapshot ile).

Uygulamaya güvenmiyorsanız, muhtemelen sonuna kadar gitmeniz gerekecektir.

Stéphane Chazelas
kaynak
-1

Başka bir yere (şifre istemleri gibi) yazmanızı engelleyen herhangi bir X11 uygulamasının koklanamayacağına inanıyorum, ancak nasıl kanıtlayacağımı bilmiyorum.

Bunu deneyin: çalıştırın gksuve şifre istemi açıldığında, ses tuşlarını kullanarak tuşlarını (makineniz varsa) ayarlamaya çalışın veya diğer kısayol tuşlarına (süper, güç vb.) Basın ve bir şey yapıp yapmadıklarına bakın. Eğer yapmazlarsa, sanırım güvendesiniz.

Bence ctrl-alt-f1 vs. her zaman çalışır.

ams
kaynak
2
Aslında xinput, gksu'da bile tuşa basışları izleyebilir. Bunu denedim ve şifreyi girerken tuşlara basmadığı halde gksu iletişim kutusu gittikten sonra tuşa basma çıktı.
Magnus
@Magnus: Bu hayal kırıklığı yaratıyor. :(
ams
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.