Przeczytałem tutaj , że każda aplikacja korzystająca z serwera X może wąchać naciśnięcia klawiszy w dowolnej aplikacji korzystającej również z serwera X, w tym su
(na terminalu) lub gksu
. Słyszałem o kilku sposobach zabezpieczenia serwera X, takich jak Xephyr , ale nie jestem pewien, którego użyć. Chcę tylko, aby żadna aplikacja, na przykład, nie mogła xinput
łatwo wąchać naciśnięć klawiszy podczas wpisywania hasła w terminalu lub gksu
. Obecnie używam sid Debiana.
10
XACE
cała historia wydaje się nieco bardziej skomplikowana, z zaufanymi / niezaufanymi klientami X11. Nie mam pojęcia, ile z tego zostało użyte w ostatnich konfiguracjach Xorga.lwn.net
artykuł na temat bezpieczeństwa stosu graficznego GNU / Linux, który dość dokładnie omawia podejście deweloperów X do tego problemu.Odpowiedzi:
Zauważ, że Xephyr / Xnest / vnc-server sprawi, że aplikacja będzie rozmawiać z innym serwerem X, ale nie zabroni mu komunikować się z innym serwerem X, na którym działa gksu.
Najlepiej jest uruchomić go na innym serwerze X i jako inny użytkownik (lub użyć LSM, aby uniemożliwić aplikacji połączenie z serwerem X lub odczytanie pliku .Xauthority). Aby pójść o krok dalej, możesz sprawić, by działał w więzieniu chroot, a aby pójść o krok dalej, możesz uruchomić go w kontenerze, i zrobić jeszcze jeden krok, dalej, uruchomić w pełni kontrolowany maszyna wirtualna (na przykład z kvm -snapshot).
Jeśli nie ufasz aplikacji, prawdopodobnie będziesz musiał przejść całą drogę.
źródło
Wierzę, ale nie wiem, jak to udowodnić, że żadna aplikacja X11, która uniemożliwia pisanie w dowolnym innym miejscu (np. Monit o hasło), nie może być wąchana.
Spróbuj: uruchom
gksu
, a gdy pojawi się monit o hasło, spróbuj wyregulować głośność za pomocą klawiszy (jeśli Twój komputer je posiada) lub naciśnij inne klawisze skrótu (super, moc itp.) I sprawdź, czy coś robią. Jeśli nie, myślę, że jesteś bezpieczny.Myślę, że ctrl-alt-f1 itp. Zawsze działają.
źródło