Die Manpage von OpenBSD nach dem Start (8) schlägt vor: "Möglicherweise möchten Sie die Sicherheit weiter erhöhen, indem Sie / etc / fbtab wie bei der Installation von X bearbeiten."
Wie könnte man das machen? Welche Zeilen würden beim Hinzufügen /etc/fbtab
zur Sicherung von X Windows beitragen?
Antworten:
Nehmen wir an, der X11 ist / dev / ttyC5, wie von Salil vorgeschlagen.
Beispiel 1: Webserver und Desktop-Umgebung auf demselben Computer
Nehmen wir außerdem an, Sie führen einen Webserver mit vertraulichen Daten aus (Eigentümer ist Benutzer 'www') und Ihr Desktop-Benutzer hat die Berechtigung, in diesem Verzeichnis zu arbeiten (lesen, schreiben, ausführen).
Aber für alles, was Sie auf dem Desktop tun möchten, wie Mailing, Musik hören, Messaging oder Surfen, hat nichts mit diesen Dateien zu tun. Jetzt möchten GUIs alles einfacher, schneller und insgesamt komfortabler machen, sodass ein Fehlklick in Nautilus, Konqueror oder einem anderen Dateimanager versehentlich eine Datei löschen kann. Ein Fehlklick kann sogar Daten als E-Mail-Anhang über das Internet senden, die Sie versehentlich teilen können eine Datei über das Netzwerk usw. - all diese Gefahren sind in einer grafischen Desktop-Umgebung nur einen Klick entfernt, während Sie in der Befehlszeile einen Befehlsnamen mit den passenden Argumenten für denselben Effekt ausgeben würden.
Sie können jetzt / etc / fbtab verwenden, um zu
login
sagenchmod
, dass dieses Verzeichnis für den Eigentümer schreibgeschützt ist, sodass keiner Ihrer Desktop-Benutzer versehentlich etwas löschen kann, obwohl er in diesem Verzeichnis arbeiten darf, wenn er die Befehlszeile und nur den Eigentümer verwendet 'www' (das sowieso keinen Desktop-Zugriff haben sollte) kann es lesen:Beispiel 2: Sensible Daten nur für ein lokales Projekt
Nehmen wir an, Sie arbeiten an einem Projekt mit Kollegen, die alle die Berechtigung haben, sich mit ihren Konten bei Ihrem X11-Desktop anzumelden. Sie sollten jedoch nur über X11 Zugriff auf das Verzeichnis haben, in dem sich Ihr Projekt befindet, da sie mit der Befehlszeile nicht sehr vertraut sind und möglicherweise unbeabsichtigt etwas falsch machen. Daher sind die Berechtigungen für dieses Verzeichnis sehr restriktiv.
Dieser Eintrag ändert es in rwx rwx rx für X11:
Beispiel 3: USB- und Diskettenspeicher als Sicherungsdisketten
Sie möchten den Zugriff auf den USB-Speicher in / dev / wd0 und / dev / wd1 sowie auf Disketten in / dev / fd0 einschränken, da diese nur für die Sicherung verwendet werden.
quelle