如何防止程序嗅探到su / gksu的击键?

10

我在这里已经读到,使用X服务器的任何应用程序都可以嗅探击键到也使用X服务器的任何其他应用程序,包括su(在终端上)或gksu。我听说过像Xephyr这样的几种使X服务器安全的方法,但是我不确定要使用哪种方法。我只想防止xinput在终端或中输入密码时像任何应用程序那样轻易嗅探按键gksu。我当前正在使用Debian sid。

debian  security  x11 
马格努斯
source
不要打字。跑步
Ignacio Vazquez-Abrams
1
any app = 可以访问X11服务器的任何应用程序有关第一个指针,请参阅X.Org的安全性文档。还请注意,对于XACEX11客户端,整个故事似乎有些复杂。不知道在最近的Xorg设置中使用了多少。
sr_ 2012年
1
我已经安装了Xephyr。这非常麻烦并且需要复杂的bash魔术,但是在嵌套X服务器内部运行的xinput无法检测到Xephyr外部的按键(但是,在Xephyr外部运行的xinput仍然可以检测所有按键)。我曾尝试使用SELinux沙箱,但无法正常工作。如果有人有更好的主意,我仍将保留此问题。
Magnus
这是lwn.net有关GNU / Linux图形堆栈安全性的最新文章,其中相当详尽地讨论了X开发人员对此问题的看法。
sr_

Answers:

1

请注意,Xephyr / Xnest / vnc-server将使应用程序与其他X服务器通信,但不会禁止它与运行gksu的其他X服务器通信。

最好是在不同的X服务器上运行它,并为不同的用户(或使用LSM阻止应用程序连接到X服务器或阅读您的文件.Xauthority)。要使其更进一步,您可以使其在chroot监狱中运行,而进一步则可以在容器中运行,而进一步则可以在完全受控的状态下运行虚拟机(例如,使用kvm -snapshot)。

如果您不信任该应用程序,则可能必须一直进行下去。

StéphaneChazelas
source
-1

我相信,但不知道如何证明,不能阻止任何X11应用程序阻止您在其他任何地方键入内容(例如密码提示)。

尝试以下操作:运行gksu,然后在密码提示打开时,尝试使用按键(如果您的计算机装有按键)调节音量,或按其他热键(超级,电源等),查看它们是否有作用。如果他们不这样做,我认为您很安全。

我认为ctrl-alt-f1等总是可以的。

阿姆斯
source
2
实际上,即使在gksu中,xinput也可以跟踪按键。我已经尝试过了,尽管在输入密码时没有显示按键,但gksu对话框消失后,按键出现了。
Magnus 2012年
@Magnus:真令人失望。:(
ams 2012年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.