我有一台小型 Linux 机器(运行 Debian)连接到一台显示器,我想把它放在某个公共位置来显示一些东西。我可以通过 SSH 进入它,并且不希望任何人通过插入键盘或鼠标来访问它。但是当我通过命令行启动 x 时,人们就可以这样做。我该如何防止这种情况发生?
答案1
好吧,要在没有任何人登录的情况下全屏显示一个 X 应用程序,最方便的方法是使用专门的显示管理器,例如nodm
— 我个人用它来运行一个信息应用程序。
如果机器的物理安全是安全的,那么就完全没问题了,而且屏幕是公众唯一可以访问的东西。
如果您将整个盒子暴露出来,那么事情显然会发生变化,您必须自己决定需要什么级别的交互。
我想说的是,如果你没有办法物理保护盒子,那么无论如何,一切赌注都无效:如果有人可以随意将加密狗插入您的机器,那么无论您是否阻止外部端口/将驱动程序列入黑名单等,他们迟早都会对您的机器做一些“有趣”的事情。
另一方面,如果盒子应该处于受控环境中,比如说,系统外壳本身是隐藏的,只有屏幕、键盘和指点设备暴露在外,那么这样的系统通俗地称为“信息亭”,并且要正确设置它,您的任务是防止用户使用其输入设备干扰系统。
需要确保安全的物品的最低限度检查清单如下:
- 禁用Ctrl- Alt-Del重新启动(在 完成
/etc/inittab
); - 出于显而易见的原因,禁用“魔法SysRq钥匙”。
- 当 X 处于活动状态时禁用 VT 切换;
- 禁用 X 中的“特殊键”,例如Ctrl- Alt-Backspace和分辨率切换键。
- 确保无法使用您公开的应用程序来运行其他应用程序。
请注意,有专门的发行版来运行基于浏览器的信息亭,以及关于如何设置典型的通用发行版来运行信息亭的操作方法 - 只需使用这些关键字进行谷歌搜索即可。