OpenBSD的手册页afterboot(8)建议:“在安装X时,您可能希望通过编辑/ etc / fbtab来加强安全性。”
怎么可能呢?添加到哪些/etc/fbtab行将有助于保护X Windows?
Answers:
假设Salil建议X11是/ dev / ttyC5。
示例1:同一台计算机上的Web服务器和桌面环境
我们还假设您正在运行包含敏感数据(所有者为用户“ www”)的Web服务器,并且您的桌面用户有权在该目录中进行工作(读取,写入,执行)。
但是,对于您打算在桌面上执行的所有操作,例如邮件,听音乐,消息传递或浏览,这些都与这些文件无关。现在,GUI希望使一切变得更简单,更快速,整体更舒适,因此,在Nautilus,Konqueror或其他文件管理器中单击不当可能会意外删除文件,单击不当甚至可能会通过Internet将数据作为电子邮件附件发送,您可能会意外共享通过网络等方式访问文件-在图形桌面环境中,所有这些危险都一键之遥,而在命令行上,您将使用合适的参数发出命令名称,以达到相同的效果。
现在,您可以使用/ etc / fbtab让login告诉chmod,以使该目录只读的所有者,因此您的桌面用户可以不小心删除任何东西,即使他们被允许在该目录中工作使用命令行和只有所有者时“ www”(无论如何都不应该具有桌面访问权限)可以阅读:
/dev/ttyC5 0400 /home/user/apache13/www/
示例2:仅本地项目的敏感数据
假设您正在与同事一起从事一个项目,这些同事都具有使用其帐户登录到X11桌面的权限。但是,他们应该只能通过X11访问其中包含您的项目的目录,因为他们对命令行不太熟悉,并且可能无意间做错了事,因此您对该目录的权限非常严格。
此项将其更改为X11的rwx rwx rx:
/dev/ttyC5 0775 /www/groupproject
示例3:USB和软盘存储作为备份磁盘
您想限制对/ dev / wd0和/ dev / wd1上的usb存储以及/ dev / fd0上的软盘的访问,因为它们仅用于备份。
/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0