Lek*_*eyn 7 security xorg sudo users
我需要以libreoffice另一个用户身份运行程序 ( )。我注意到该程序在调用时在后台启动kdesudo -u otheruser libreoffice,可能是为了避免社会工程攻击。
(在下面的文本中,“登录用户”指的是我,而不是“其他用户”)
由 fork-bombs、使用过多 CPU 等造成的拒绝服务攻击被排除在外,因为如果我直接登录otheruser. 为清楚起见,我正在寻找登录时直接otheruser运行程序与使用kdesudo,gksudo和运行程序之间的差异sudo。
出于安全考虑,假设有权访问您的 X 显示器的程序可以做任何他们想做的事情,包括窥探您的剪贴板、向另一个应用程序发送假击键以及其他非小事。X 的设计并没有考虑到隔离。
对于好奇或偏执的人,请阅读安全 Linux 桌面和通过 X11 进行的被动和主动攻击。韦兰好点了吗?. 对于极度偏执的人,请查看Qubes,它基于虚拟化的 Linux 实例,每个实例都运行自己的 X 服务器。
如果您担心运行不受信任的 X 应用程序,除了作为不同的用户(或者更好地,在不同的(虚拟)机器上)运行它们之外,您还必须在单独的 X 显示器上运行它们。您可以运行一个单独的 X 服务器并以多种方式在嵌套的 X 窗口中显示它:通过虚拟机(VirtualBox、VMware等),使用远程 X 服务器(例如您碰巧在本地连接到的VNC),或使用一个特殊用途的 X-in-X 程序,例如Xnest或Xephyr。
如果您担心社会工程攻击,那就是另一回事了。社会工程学以用户为目标;避免它们的唯一方法是将用户排除在外。