Làm cách nào để ngăn chương trình đánh hơi tổ hợp phím đến su / gksu?

10

Tôi đã đọc ở đây rằng bất kỳ ứng dụng nào sử dụng máy chủ X đều có thể đánh hơi các tổ hợp phím đến bất kỳ ứng dụng nào khác cũng đang sử dụng máy chủ X, bao gồm su(trên thiết bị đầu cuối) hoặc gksu. Tôi đã nghe nói về một số cách để làm cho máy chủ X an toàn như Xephyr , nhưng tôi không chắc nên sử dụng máy chủ nào. Tôi chỉ muốn ngăn bất kỳ ứng dụng nào như xinputdễ dàng đánh hơi các tổ hợp phím khi tôi đang nhập mật khẩu trong thiết bị đầu cuối hoặc gksu. Tôi hiện đang sử dụng Debian sid.

debian  security  x11 
Hoa mộc lan
nguồn
Đừng gõ. chạy
Ignacio Vazquez-Abrams
1
bất kỳ ứng dụng nào = bất kỳ ứng dụng nào có quyền truy cập vào máy chủ X11 của bạn , hãy xem tài liệu bảo mật của X.Org để biết các con trỏ đầu tiên. Cũng lưu ý rằng có XACE, toàn bộ câu chuyện có vẻ phức tạp hơn một chút, với các khách hàng X11 đáng tin cậy / không đáng tin cậy. Không biết bao nhiêu trong số này được sử dụng trong các thiết lập Xorg gần đây.
sr_
1
Tôi đã cài đặt Xephyr. Nó rất cồng kềnh và đòi hỏi ma thuật bash phức tạp nhưng xinput chạy bên trong máy chủ X lồng nhau không thể phát hiện ra các phím bấm bên ngoài Xephyr (tuy nhiên, xinput chạy bên ngoài Xephyr vẫn có thể phát hiện tất cả các phím nhấn). Tôi đã thử sử dụng hộp cát SELinux nhưng tôi không thể làm cho nó hoạt động được. Tôi vẫn sẽ để câu hỏi này mở trong trường hợp ai đó có ý tưởng tốt hơn.
Magnus
Đây là một vấn đề gần đây lwn.netvề bảo mật của ngăn xếp đồ họa GNU / Linux, thảo luận khá kỹ về vấn đề của các nhà phát triển X về vấn đề này.
sr_

Câu trả lời:

1

Lưu ý rằng Xephyr / Xnest / vnc-server sẽ khiến ứng dụng nói chuyện với một máy chủ X khác, nhưng sẽ không cấm nó nói chuyện với máy chủ X khác của bạn nơi bạn đang chạy gksu.

Tốt nhất là chạy nó trong một máy chủ X khác với tư cách là một người dùng khác (hoặc sử dụng LSM để ngăn ứng dụng kết nối với máy chủ X hoặc đọc tệp .Xmasterity của bạn). Để tiến thêm một bước, bạn có thể làm cho nó chạy trong nhà tù chroot, và để tiến thêm một bước nữa, bạn có thể chạy nó trong một thùng chứa, và tiến thêm một bước nữa, chạy nó trong một điều khiển hoàn toàn máy ảo (ví dụ với kvm -snapshot).

Nếu bạn không tin tưởng vào ứng dụng, có lẽ bạn sẽ phải đi tất cả các cách.

Stéphane Chazelas
nguồn
-1

Tôi tin, nhưng không biết làm thế nào để chứng minh, rằng bất kỳ ứng dụng X11 nào ngăn bạn gõ bất kỳ nơi nào khác (chẳng hạn như lời nhắc mật khẩu) không thể bị đánh hơi.

Hãy thử điều này: chạy gksuvà khi lời nhắc mật khẩu mở ra, hãy thử điều chỉnh âm lượng bằng các phím (nếu máy của bạn có chúng) hoặc nhấn các phím nóng khác (siêu, nguồn, v.v.) và xem chúng có làm gì không. Nếu họ không, tôi nghĩ bạn an toàn.

Tôi nghĩ rằng ctrl-alt-f1, vv luôn luôn làm việc.


nguồn
2
Trên thực tế, xinput có thể theo dõi các lần nhấn phím ngay cả trong gksu. Tôi đã thử điều đó và trong khi nó không hiển thị các lần nhấn phím trong khi nhập mật khẩu, một khi hộp thoại gksu biến mất, các phím bấm xuất hiện.
Magnus
@Magnus: Thật đáng thất vọng. :(
am
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.