Wie verwende ich / etc / fbtab in OpenBSD, um X11 zu sichern?

8

Die Manpage von OpenBSD nach dem Start (8) schlägt vor: "Möglicherweise möchten Sie die Sicherheit weiter erhöhen, indem Sie / etc / fbtab wie bei der Installation von X bearbeiten."

Wie könnte man das machen? Welche Zeilen würden beim Hinzufügen /etc/fbtabzur Sicherung von X Windows beitragen?

security x11 openbsd Nikolaus
quelle
1
man fbtab - informiert Sie anhand der Anmeldetypen über die vorübergehende Zuweisung des Eigentums an Geräten. Auf meinem Laptop bekommt X11 den ttyC5. Auf dieser Grundlage kann ich den Gerätebesitz steuern. Ich weiß jedoch nicht, wie nützlich dies ist, da wir in /etc/sysctl.conf bereits die Einstellung matchdep.allowaperture = 1 haben, mit der wir Xorg weitere Berechtigungen zuweisen können.
Salil

Antworten:

1

Nehmen wir an, der X11 ist / dev / ttyC5, wie von Salil vorgeschlagen.

Beispiel 1: Webserver und Desktop-Umgebung auf demselben Computer

Nehmen wir außerdem an, Sie führen einen Webserver mit vertraulichen Daten aus (Eigentümer ist Benutzer 'www') und Ihr Desktop-Benutzer hat die Berechtigung, in diesem Verzeichnis zu arbeiten (lesen, schreiben, ausführen).

Aber für alles, was Sie auf dem Desktop tun möchten, wie Mailing, Musik hören, Messaging oder Surfen, hat nichts mit diesen Dateien zu tun. Jetzt möchten GUIs alles einfacher, schneller und insgesamt komfortabler machen, sodass ein Fehlklick in Nautilus, Konqueror oder einem anderen Dateimanager versehentlich eine Datei löschen kann. Ein Fehlklick kann sogar Daten als E-Mail-Anhang über das Internet senden, die Sie versehentlich teilen können eine Datei über das Netzwerk usw. - all diese Gefahren sind in einer grafischen Desktop-Umgebung nur einen Klick entfernt, während Sie in der Befehlszeile einen Befehlsnamen mit den passenden Argumenten für denselben Effekt ausgeben würden.

Sie können jetzt / etc / fbtab verwenden, um zu loginsagen chmod, dass dieses Verzeichnis für den Eigentümer schreibgeschützt ist, sodass keiner Ihrer Desktop-Benutzer versehentlich etwas löschen kann, obwohl er in diesem Verzeichnis arbeiten darf, wenn er die Befehlszeile und nur den Eigentümer verwendet 'www' (das sowieso keinen Desktop-Zugriff haben sollte) kann es lesen:

/dev/ttyC5 0400 /home/user/apache13/www/

Beispiel 2: Sensible Daten nur für ein lokales Projekt

Nehmen wir an, Sie arbeiten an einem Projekt mit Kollegen, die alle die Berechtigung haben, sich mit ihren Konten bei Ihrem X11-Desktop anzumelden. Sie sollten jedoch nur über X11 Zugriff auf das Verzeichnis haben, in dem sich Ihr Projekt befindet, da sie mit der Befehlszeile nicht sehr vertraut sind und möglicherweise unbeabsichtigt etwas falsch machen. Daher sind die Berechtigungen für dieses Verzeichnis sehr restriktiv.

Dieser Eintrag ändert es in rwx rwx rx für X11:

/dev/ttyC5 0775 /www/groupproject

Beispiel 3: USB- und Diskettenspeicher als Sicherungsdisketten

Sie möchten den Zugriff auf den USB-Speicher in / dev / wd0 und / dev / wd1 sowie auf Disketten in / dev / fd0 einschränken, da diese nur für die Sicherung verwendet werden.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
superuser0
quelle