Como usar o / etc / fbtab no OpenBSD para proteger o X11?

8

Página man do OpenBSD afterboot (8) sugere:" Você pode querer aumentar a segurança mais editando / etc / fbtab como ao instalar o X. "

Como alguém pode fazer isso? Quais linhas quando adicionadas ao /etc/fbtab ajudariam a proteger o X Windows?

    
por Nicholas 20.10.2012 / 18:20

1 resposta

1

Vamos supor que o X11 seja / dev / ttyC5, como sugerido por Salil.

Exemplo 1: servidor da Web e ambiente de área de trabalho na mesma máquina

Vamos supor também que você esteja executando um servidor da Web com dados confidenciais (o proprietário é o usuário 'www') e o usuário da área de trabalho tem permissão para trabalhar (ler, gravar, executar) nesse diretório.

Mas, para tudo o que você pretende fazer na área de trabalho, como correspondência, ouvir música, enviar mensagens ou navegar, não tem nada a ver com esses arquivos. Agora as GUIs querem tornar tudo mais simples, rápido e confortável, então um erro no Nautilus, no Konqueror ou em algum outro gerenciador de arquivos pode acidentalmente apagar um arquivo, um misclick pode até enviar dados como um anexo de e-mail na internet, você poderia compartilhar acidentalmente um arquivo pela rede, etc. - todos esses perigos estão a um clique de distância no ambiente de área de trabalho gráfico, enquanto na linha de comando você daria um nome de comando com os argumentos de ajuste para o mesmo efeito.

Agora você pode usar o / etc / fbtab para permitir que login informe chmod para tornar esse diretório readonly para o proprietário, para que nenhum dos usuários do desktop possa excluir acidentalmente nada, mesmo que eles tenham permissão para trabalhar nesse diretório ao usar a linha de comando e somente o proprietário 'www' (que não deve ter acesso ao desktop) pode lê-lo:

/dev/ttyC5 0400 /home/user/apache13/www/

Exemplo 2: dados confidenciais apenas para um projeto local

Vamos supor que você esteja trabalhando em um projeto com colegas, todos com permissão para efetuar login em sua área de trabalho do X11 com suas contas. Mas eles devem ter acesso apenas ao diretório com o seu projeto via X11, porque eles não são muito experientes com a linha de comando e podem, inadvertidamente, fazer algo errado, então você tem as permissões muito restritivas para esse diretório.

Esta entrada muda para rwx rwx r-x para X11:

/dev/ttyC5 0775 /www/groupproject

Exemplo 3: armazenamento USB e disquete como discos de backup

Você deseja restringir o acesso ao armazenamento usb em / dev / wd0 e / dev / wd1, bem como disquetes em / dev / fd0, porque eles são usados apenas para backup.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
    
por 06.04.2013 / 14:30