Come posso impedire ai programmi di annusare i tasti premuti su su / gksu?

10

Ho letto qui che è possibile per qualsiasi app che utilizza il server X sniffare le sequenze di tasti a qualsiasi altra app che utilizza anche il server X, incluso su(su un terminale) o gksu. Ho sentito parlare di alcuni modi per rendere sicuro il server X come Xephyr , ma non sono sicuro di quale utilizzare. Voglio solo impedire a qualsiasi app come xinputannusare facilmente le sequenze di tasti quando sto digitando una password nel terminale o gksu. Attualmente sto usando Debian Sid.

debian  security  x11 
Magnus
fonte
Non digitare. corre
Ignacio Vazquez-Abrams il
1
qualsiasi app = qualsiasi applicazione con accesso al server X11 , consultare la documentazione di sicurezza di X.Org per i primi puntatori. Si noti inoltre che XACEl'intera storia sembra un po 'più complicata, con client X11 affidabili / non affidabili. Non ho idea di quanto viene utilizzato nelle recenti configurazioni di Xorg.
sr_
1
Ho installato Xephyr. È molto ingombrante e richiede complesse magie bash ma xinput in esecuzione all'interno del server X nidificato non è in grado di rilevare la pressione dei tasti all'esterno di Xephyr (tuttavia, xinput in esecuzione all'esterno di Xephyr può ancora rilevare tutti i tasti premuti). Ho provato ad usare il sandbox SELinux ma non sono riuscito a farlo funzionare. Lascerò comunque aperta questa domanda nel caso qualcuno abbia un'idea migliore.
Magnus,
Questo è un articolo recente lwn.netsulla sicurezza dello stack grafico di GNU / Linux che discute in modo abbastanza approfondito il punto di vista degli sviluppatori X sul problema.
sr_

Risposte:

1

Nota che Xephyr / Xnest / vnc-server farà parlare l'applicazione con un altro server X, ma non gli proibirà di parlare con l'altro tuo server X dove stai eseguendo gksu.

La cosa migliore è eseguirlo in un altro server X e come un utente diverso (o utilizzare un LSM per impedire all'applicazione di connettersi al server X o leggere il file .Xauthority). Per fare un ulteriore passo in avanti, è possibile farlo funzionare in una prigione chroot e per fare un ulteriore passo in avanti, è possibile eseguirlo in un contenitore e fare un passo ancora, inoltre, eseguirlo in un controllo completo macchina virtuale (ad esempio con kvm -snapshot).

Se non ti fidi dell'applicazione, probabilmente dovrai andare fino in fondo.

Stéphane Chazelas
fonte
-1

Credo, ma non so come dimostrare, che qualsiasi app X11 che ti impedisce di digitare altrove (come le richieste di password) non può essere sniffata.

Prova questo: esegui gksue quando si apre la richiesta della password, prova a regolare il volume usando i tasti (se il tuo computer li ha), o premi altri tasti di scelta rapida (super, alimentazione, ecc.) E vedi se fanno qualcosa. In caso contrario, penso che tu sia al sicuro.

Penso che ctrl-alt-f1 ecc. Funzionino sempre comunque.

ams
fonte
2
In realtà, xinput può tenere traccia delle pressioni dei tasti anche in gksu. L'ho provato e mentre non mostrava le pressioni dei tasti durante l'immissione della password, una volta che la finestra di dialogo gksu era scomparsa, sono apparse le pressioni dei tasti.
Magnus,
@Magnus: è deludente. :(
ams
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.