O bloqueio da tela é seguro?


9

Veja o bug do driver USB exposto como "Linux plug & pwn" ou este link


Duas opções [GNOME, Fedora 14]:

  1. Use o gnome-screensaver
  2. Use a função "alternar usuário" [menu gnome -> desconectar -> alternar usuário]

Então a pergunta é: qual é o método mais seguro para bloquear a tela se um usuário sair do PC?

É verdade que o uso do método [2] é mais seguro? Do jeito que eu vejo, gnome-screensaveré apenas um "processo", poderia ser morto. Mas se você usar a função de logout / switch do usuário, é "outra coisa". Usando a função "alternar usuário", poderia haver um problema como com o gnome-screensaver? Alguém poderia "matar um processo" e pronto ... o bloqueio foi removido? O GDM [??] "processo de janelas de login" foi morto e o "bloqueio" foi possuído?

Captura de tela do processo da janela de login do GDM


Se o método [2] for mais seguro, como posso colocar um ícone no painel GNOME para iniciar a ação "alternar usuário" com um clique?

Respostas:


2

Bem, seu primeiro link é sobre a execução arbitrária de código no modo kernel, não há muito o que você possa fazer contra isso. Sair não ajudará. Grsecurity e PaX podem impedir isso, mas não tenho certeza. Ele certamente protege contra a introdução de novo código executável, mas não consigo encontrar nenhuma evidência de que randomize onde o código do kernel está localizado, o que significa que uma exploração poderia usar o código já existente na memória executável para executar operações arbitrárias (um método conhecido como retorno orientado) programação ). Como esse estouro ocorre no heap, a compilação do kernel -fstack-protector-allnão ajuda. Manter o kernel atualizado e as pessoas com pendrives afastados parece ser sua melhor aposta.

O segundo método é o resultado de um protetor de tela mal escrito, o que significa que o logout evita esse bug específico. Mesmo que o atacante mate o GDM, ele não entrará. Tente matar você mesmo do SSH. Você obtém uma tela preta ou um console em modo de texto. Além do AFAIK, o GDM é executado como root (como o login), portanto o invasor precisa de privilégios de root para matá-lo.

A troca de usuários não tem esse efeito. Quando você muda de usuário, a tela é bloqueada com o protetor de tela e o GDM é iniciado no próximo terminal virtual. Você pode pressionar [ctrl] + [alt] + [f7] para voltar ao protetor de tela de buggy.


11
omg .... verifiquei ... usando o comando: "sleep 10; pkill gnome-scree" - depois disso, vou para "alternar usuário" ... depois de 10 s se eu pressionar ctrl + alt + f1 i pode ver o meu desktop ... OMFG ... :(
LanceBaynes

@ user4724: o que você esperava que acontecesse?
mattdm

@ user4724: O protetor de tela é apenas um aplicativo de tela cheia comum. Não quero entrar na ideia insanamente ruim. Uma das consequências é essa.
stribika
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.