锁屏安全吗?
Lan*_*nes 9 linux security gnome
请参阅公开为 "Linux plug&pwn" 的 USB 驱动程序错误,或此链接
两种选择 [GNOME、Fedora 14]:
- 使用
gnome-screensaver - 使用“切换用户”功能【gnome菜单->注销->切换用户】
所以问题是:如果用户离开电脑,哪一种是更安全的屏幕锁定方法?
是不是使用[2]方法更安全?在我看来,这gnome-screensaver只是一个“过程”,它可能会被杀死。但是如果你使用注销/切换用户功能,那就是“别的东西”了。使用“切换用户”功能,会不会有类似的问题gnome-screensaver?有人可以“杀死一个进程”并迅速...锁被删除了吗?GDM [??]“登录窗口进程”会被杀死并且“锁”会被拥有吗?
如果 [2] 方法更安全,那么我如何在 GNOME 面板上放置一个图标,通过 1 单击启动“切换用户”操作?
好吧,您的第一个链接是关于内核模式仲裁代码执行的,对此您无能为力。注销没有帮助。Grsecurity和PaX可以阻止这种情况,但我不确定。它确实可以防止引入新的可执行代码,但我找不到任何证据表明它随机化了内核代码所在的位置,这意味着漏洞可以使用可执行内存中已有的代码来执行任意操作(一种称为面向返回的方法)编程)。由于此溢出发生在堆上,因此编译内核将-fstack-protector-all无济于事。保持内核最新并且远离拥有随身碟的人似乎是您最好的选择。
第二种方法是屏幕保护程序写得不好的结果,这意味着注销可以防止该特定错误。即使攻击者杀死了 GDM,他也无法进入。尝试通过 SSH 自行杀死它。您会看到黑屏或文本模式控制台。此外,据我所知,GDM 以 root 身份运行(如登录),因此攻击者需要 root 权限才能杀死它。
切换用户没有此效果。当您切换用户时,屏幕将被屏幕保护程序锁定,并且 GDM 将在下一个虚拟终端上启动。您可以按 [ctrl]+[alt]+[f7] 返回有问题的屏幕保护程序。