Làm cách nào để sử dụng / etc / fbtab trong OpenBSD để bảo mật X11?

8

Trang man của OpenBSD afterboot (8) gợi ý: "Bạn có thể muốn thắt chặt bảo mật hơn bằng cách chỉnh sửa / etc / fbtab như khi cài đặt X."

Làm thế nào một người có thể làm điều này? Những dòng nào khi được thêm vào /etc/fbtabsẽ giúp bảo mật X Windows?

security  x11  openbsd 
Nicholas
nguồn
1
man fbtab - sẽ cho bạn biết chi tiết về việc tạm thời chuyển quyền sở hữu thiết bị dựa trên ttys đăng nhập. Trên máy tính xách tay của tôi, X11 có ttyC5. Vì vậy, tôi có thể kiểm soát quyền sở hữu thiết bị dựa trên điều đó. Tôi không biết điều này hữu ích như thế nào vì chúng tôi đã có cài đặt matchdep.allowaperture = 1 trong /etc/sysctl.conf bằng cách sử dụng mà chúng tôi có thể gán thêm đặc quyền cho Xorg.
Salil

Câu trả lời:

1

Giả sử X11 là / dev / ttyC5 theo đề xuất của Salil.

Ví dụ 1: Máy chủ web và môi trường máy tính để bàn trên cùng một máy

Chúng ta cũng giả sử rằng bạn đang chạy một máy chủ web với dữ liệu nhạy cảm (chủ sở hữu là người dùng 'www') và người dùng máy tính để bàn của bạn có quyền làm việc (đọc, viết, thực thi) trong thư mục đó.

Nhưng đối với mọi thứ bạn định làm trên máy tính để bàn như gửi thư, nghe nhạc, nhắn tin hoặc duyệt thì không liên quan gì đến những tập tin này. Bây giờ GUI muốn làm cho mọi thứ đơn giản hơn, nhanh hơn và tổng thể thoải mái hơn, do đó, một thao tác sai trong Nautilus, Konqueror hoặc một số trình quản lý tệp khác có thể vô tình xóa một tệp, một thao tác sai thậm chí có thể gửi dữ liệu dưới dạng tệp đính kèm email qua internet, bạn có thể vô tình chia sẻ một tệp qua mạng, v.v. - tất cả những nguy hiểm này chỉ bằng một cú nhấp chuột trong môi trường máy tính để bàn đồ họa trong khi trên dòng lệnh bạn sẽ đưa ra một tên lệnh với các đối số phù hợp cho cùng một hiệu ứng.

Bây giờ bạn có thể sử dụng / etc / fbtab để cho loginbiết chmodđể làm cho thư mục đó chỉ đọc cho chủ sở hữu, vì vậy không người dùng máy tính để bàn nào của bạn có thể vô tình xóa bất cứ thứ gì, mặc dù họ được phép làm việc trong thư mục đó khi sử dụng dòng lệnh và chỉ chủ sở hữu 'www' (dù sao không nên có quyền truy cập máy tính để bàn) có thể đọc nó:

/dev/ttyC5 0400 /home/user/apache13/www/

Ví dụ 2: Dữ liệu nhạy cảm chỉ cho một dự án địa phương

Giả sử rằng bạn đang làm việc trên một dự án với các đồng nghiệp, những người này đều có quyền đăng nhập vào máy tính để bàn X11 của bạn bằng tài khoản của họ. Nhưng họ được cho là chỉ có quyền truy cập vào thư mục với dự án của bạn trong X11, vì họ không có nhiều kinh nghiệm với dòng lệnh và có thể vô tình làm điều gì đó sai, vì vậy bạn có quyền hạn chế cho thư mục đó.

Mục này thay đổi nó thành rwx rwx rx cho X11:

/dev/ttyC5 0775 /www/groupproject

Ví dụ 3: USB và lưu trữ đĩa mềm dưới dạng đĩa sao lưu

Bạn muốn hạn chế quyền truy cập vào bộ lưu trữ usb trên / dev / wd0 và / dev / wd1 cũng như các đĩa mềm trên / dev / fd0, vì chúng chỉ được sử dụng để sao lưu.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
siêu người dùng0
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.