मैं किस्ट्रोक्स को सू / gksu को सूँघने से कार्यक्रमों को कैसे रोकूँ?

10

मैंने यहां पढ़ा है कि किसी भी ऐप के लिए संभव है कि वह एक्स सर्वर का उपयोग करके किसी अन्य ऐप को कीस्ट्रोक्स को सूँघे जो एक्स सर्वर का उपयोग कर रहा है, जिसमें su(एक टर्मिनल पर) या gksu। मैंने X सर्वर को Xephyr की तरह सुरक्षित बनाने के कुछ तरीकों के बारे में सुना है , लेकिन मुझे यकीन नहीं है कि कौन सा उपयोग करना है। मैं xinputटर्मिनल में पासवर्ड टाइप करते समय कीस्ट्रोक्स को आसानी से सूँघने जैसी किसी भी ऐप को रोकना चाहता हूं gksu। मैं वर्तमान में डेबियन किनारे का उपयोग कर रहा हूं।

debian  security  x11 
मैगनस
स्रोत
टाइप न करें। रन
इग्नासियो वाज़केज़-अब्राम्स
1
कोई भी ऐप = आपके X11 सर्वर तक पहुंच के साथ कोई भी एप्लिकेशन , पहले बिंदुओं के लिए X.Org के सुरक्षा दस्तावेज देखें । यह भी ध्यान दें कि वहाँ XACE, पूरी कहानी थोड़ी अधिक जटिल है, विश्वसनीय / अविश्वसनीय X11 क्लाइंट के साथ। यह पता नहीं है कि हाल के Xorg सेटअप में इसका कितना उपयोग किया गया है।
sr_
1
मैंने Xephyr स्थापित किया है। यह बहुत ही बोझिल है और इसके लिए जटिल बैश मैजिक की आवश्यकता होती है लेकिन नेस्टेड एक्स सर्वर के अंदर चलने वाले xinput Xephyr के बाहर कीपेस का पता नहीं लगा सकता है (हालांकि, Xephyr के बाहर चल रहे xinput अभी भी सभी कीप्स का पता लगा सकता है)। मैंने SELinux सैंडबॉक्स का उपयोग करने की कोशिश की है, लेकिन मैं इसे काम नहीं कर सका। मैं अभी भी इस सवाल को खुला छोड़ दूंगा कि किसी के पास बेहतर विचार है।
मैग्नस
यह lwn.netजीएनयू / लिनक्स के ग्राफिक्स स्टैक की सुरक्षा पर हाल ही में किया गया एक स्टैक है जो इस मुद्दे पर एक्स डेवलपर्स की चर्चा पर काफी अच्छी तरह से चर्चा करता है।
श्री_

जवाबों:

1

ध्यान दें कि Xephyr / Xnest / vnc- सर्वर एप्लिकेशन को एक अलग एक्स सर्वर से बात करेगा, लेकिन यह आपके अन्य एक्स सर्वर से बात करने के लिए मना नहीं करेगा जहां आप gksu चला रहे हैं।

सबसे अच्छा यह एक अलग एक्स सर्वर में और एक अलग उपयोगकर्ता के रूप में चलाने के लिए है (या एक्स सर्वर से कनेक्ट करने के लिए एप्लिकेशन को रोकने के लिए एक एलएसएम का उपयोग करें या अपनी .Xauthority फ़ाइल पढ़ें)। इसे एक कदम आगे ले जाने के लिए, आप इसे चेरोट जेल में चला सकते हैं, और इसे एक कदम आगे ले जाने के लिए, आप इसे एक कंटेनर में चला सकते हैं, और इसे एक कदम आगे बढ़ाने के लिए, इसे पूरी तरह से नियंत्रित में चला सकते हैं। आभासी मशीन (उदाहरण के लिए kvm -snapshot के साथ)।

यदि आप आवेदन पर भरोसा नहीं करते हैं, तो आपको संभवतः सभी तरह से जाना होगा।

स्टीफन चेज़लस
स्रोत
-1

मेरा मानना ​​है, लेकिन यह नहीं पता कि कैसे साबित किया जाए, कि कोई भी X11 ऐप जो आपको कहीं और टाइप करने से रोकता है (जैसे पासवर्ड प्रॉम्प्ट) को छीना नहीं जा सकता है।

इसे आज़माएँ: चलाएँ gksu, और जब पासवर्ड प्रॉम्प्ट खुलता है, तो कुंजी का उपयोग करके वॉल्यूम समायोजित करने का प्रयास करें (यदि आपकी मशीन उनके पास है), या अन्य गर्म कुंजियों (सुपर, पावर, आदि) को हिट करें और देखें कि क्या वे कुछ भी करते हैं। यदि वे नहीं करते हैं, तो मुझे लगता है कि आप सुरक्षित हैं।

मुझे लगता है कि ctrl-alt-f1 आदि हमेशा काम करते हैं।

एम्स
स्रोत
2
दरअसल, xinput gksu में भी प्रमुख प्रेस को ट्रैक कर सकता है। मैंने कोशिश की है कि और पासवर्ड दर्ज करते समय यह कुंजी प्रेस को न दिखाए, एक बार gksu डायलॉग बॉक्स के चले जाने के बाद प्रमुख प्रेस दिखाई दिया।
मैगन्स
@ मैग्नस: यह निराशाजनक है। :(
एम्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.