请参阅显示为“ Linux Plug&pwn”的USB驱动程序错误,或此链接
两种选择[GNOME,Fedora 14]:
gnome-screensaver所以问题是:如果用户离开电脑,锁定屏幕的安全方法是哪一种?
确实,使用[2]方法更安全吗?从我的角度来看,这gnome-screensaver只是一个“过程”,它可能会被杀死。但是,如果使用注销/切换用户功能,那就是“别的东西”。使用“切换用户”功能,是否可能会出现类似问题gnome-screensaver?有人可以“杀死进程”并保存...该锁已被删除吗?GDM [??]“登录Windows进程”会被杀死,“锁”会被拥有吗?
如果[2]方法更安全,那么我如何在GNOME面板上放置一个图标,以通过单击一下鼠标来启动“切换用户”操作?
Answers:
好吧,您的第一个链接是关于内核模式仲裁代码执行的,您对此无能为力。注销将无济于事。Grsecurity和PaX可以阻止这种情况,但我不确定。它肯定可以防止引入新的可执行代码,但是我找不到任何证据可以证明它随机化了内核代码所在的位置,这意味着利用漏洞可以利用可执行内存中已有的代码执行任意操作(这种方法称为“ 面向返回的方法”,编程)。由于此溢出发生在堆上,因此编译内核-fstack-protector-all将无济于事。使内核保持最新状态,避免使用优盘的人似乎是最好的选择。
第二种方法是编写错误的屏幕保护程序的结果,这意味着注销可以防止该特定错误。即使攻击者杀死了GDM,他也不会介入。尝试自己通过SSH杀死它。您会得到黑屏或文本模式控制台。除AFAIK GDM以外,它还以root用户身份运行(例如登录),因此攻击者需要root特权才能将其杀死。
切换用户不会产生此影响。切换用户时,屏幕被屏幕保护程序锁定,并且GDM在下一个虚拟终端上启动。您可以按[ctrl] + [alt] + [f7]返回到有问题的屏幕保护程序。