Come usare / etc / fbtab in OpenBSD per proteggere X11?

8

Il post-avvio della pagina man di OpenBSD (8) suggerisce: "Potresti voler rafforzare la sicurezza modificando / etc / fbtab come quando installi X."

Come si può fare questo? Quali linee una volta aggiunte /etc/fbtabaiuterebbero a proteggere X Windows?

security  x11  openbsd 
Nicholas
fonte
1
man fbtab - ti dirà i dettagli sull'assegnazione temporanea della proprietà dei dispositivi in ​​base al login ttys. Sul mio laptop, X11 ottiene il ttyC5. Quindi, posso controllare la proprietà del dispositivo in base a quello. Non so quanto sia utile perché abbiamo già matchdep.allowaperture = 1 impostazione in /etc/sysctl.conf usando il quale possiamo assegnare più privilegi a Xorg.
Salil,

Risposte:

1

Supponiamo che X11 sia / dev / ttyC5 come suggerito da Salil.

Esempio 1: server Web e ambiente desktop sullo stesso computer

Supponiamo anche che tu stia eseguendo un server web con dati sensibili (il proprietario è l'utente "www") e l'utente desktop ha l'autorizzazione a lavorare (leggere, scrivere, eseguire) in quella directory.

Ma per tutto ciò che intendi fare sul desktop come l'invio di messaggi, l'ascolto di musica, i messaggi o la navigazione non ha nulla a che fare con questi file. Ora le GUI vogliono rendere tutto più semplice, più veloce e nel complesso più comodo, quindi un errore di navigazione in Nautilus, Konqueror o altri gestori di file può eliminare accidentalmente un file, un errore può anche inviare i dati come allegato di posta elettronica su Internet, che potresti accidentalmente condividere un file sulla rete ecc. - tutti questi pericoli sono a portata di clic in ambiente desktop grafico mentre sulla riga di comando si emetterebbe un nome di comando con gli argomenti adatti per lo stesso effetto.

Ora puoi usare / etc / fbtab per lasciare logindire chmoda quella directory di essere di sola lettura per il proprietario, quindi nessuno dei tuoi utenti desktop può cancellare accidentalmente qualcosa, anche se è autorizzato a lavorare in quella directory quando usa la riga di comando e solo il proprietario 'www' (che non dovrebbe comunque avere accesso al desktop) può leggerlo:

/dev/ttyC5 0400 /home/user/apache13/www/

Esempio 2: dati sensibili solo per un progetto locale

Supponiamo che tu stia lavorando a un progetto con i colleghi, che hanno tutti il ​​permesso di accedere al tuo desktop X11 con i loro account. Ma si suppone che abbiano accesso alla directory solo con il tuo progetto tramite X11, perché non hanno molta esperienza con la riga di comando e potrebbero involontariamente fare qualcosa di sbagliato, quindi hai le autorizzazioni molto restrittive per quella directory.

Questa voce lo cambia in rwx rwx rx per X11:

/dev/ttyC5 0775 /www/groupproject

Esempio 3: archiviazione USB e floppy come dischi di backup

Si desidera limitare l'accesso all'archiviazione USB su / dev / wd0 e / dev / wd1 così come i dischi floppy su / dev / fd0, poiché vengono utilizzati solo per il backup.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
superuser0
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.