Il blocco dello schermo è sicuro?

9

Vedi il bug del driver USB esposto come "plug & pwn Linux" o questo link

Due scelte [GNOME, Fedora 14]:

  1. Usa il gnome-screensaver
  2. Utilizzare la funzione "Cambia utente" [menu gnome -> disconnetti -> cambia utente]

Quindi la domanda è: qual è il metodo più sicuro per bloccare lo schermo se un utente lascia il PC?

È vero che l'uso del metodo [2] è più sicuro? Per come la vedo io, gnome-screensaverè solo un "processo", potrebbe essere ucciso. Ma se si utilizza la funzione di disconnessione / cambio utente, è "qualcos'altro". Utilizzando la funzione "switch user", potrebbe esserci un problema come con il gnome-screensaver? Qualcuno potrebbe "uccidere un processo" e presto ... il blocco viene rimosso? Il GDM [??] "login windows process" potrebbe essere ucciso e il "lock" diventa proprietario?

Schermata del processo della finestra di accesso GDM

Se il metodo [2] è più sicuro, come posso mettere un'icona sul pannello GNOME, per lanciare l'azione "cambia utente" con 1 clic?

linux  gnome  security 
LanceBaynes
fonte

Risposte:

2

Bene, il tuo primo link riguarda l'esecuzione del codice arbitrario in modalità kernel, non c'è molto che tu possa fare contro questo. La disconnessione non aiuta. Grsecurity e PaX potrebbero impedirlo, ma non ne sono sicuro. Sicuramente protegge dall'introduzione di un nuovo codice eseguibile, ma non riesco a trovare alcuna prova che randomizzi la posizione del codice del kernel, il che significa che un exploit potrebbe usare il codice già presente nella memoria eseguibile per eseguire operazioni arbitrarie (un metodo noto come orientato al ritorno- programmazione ). Poiché questo overflow si verifica nell'heap, la compilazione del kernel con -fstack-protector-allnon aiuta. Mantenere aggiornato il kernel e le persone con pendrive di distanza sembra essere la soluzione migliore.

Il secondo metodo è il risultato di uno screensaver scritto male che significa che disconnettersi impedisce quel particolare bug. Anche se l'attaccante uccide GDM non entrerà. Prova a ucciderlo da solo su SSH. Ottieni una schermata nera o una console in modalità testo. Inoltre AFAIK GDM funziona come root (come il login), quindi l'attaccante avrebbe bisogno dei privilegi di root per ucciderlo.

Il cambio di utenti non ha questo effetto. Quando si cambia utente, lo schermo viene bloccato con lo screensaver e GDM viene avviato sul prossimo terminale virtuale. Puoi premere [ctrl] + [alt] + [f7] per tornare allo screensaver con errori.

stribika
fonte
1
omg .... l'ho controllato ... usando il comando: "sleep 10; pkill gnome-scree" - dopo questo, vado a "cambia utente" ... dopo 10 secondi se premo ctrl + alt + f1 i può vedere il mio desktop ... OMFG ... :(
LanceBaynes
@ user4724: cosa ti aspettavi che accadesse?
Mattdm,
@ user4724: Lo screensaver è solo una normale applicazione a schermo intero. Non voglio approfondire quanto sia follemente pessima idea. Una delle conseguenze è questa.
stribika,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.