我目前使用的是基于 systemd 的 Linux 发行版,在阅读文档时,我注意到键盘和鼠标等隐藏设备在 70-uaccess.rules 中没有标记为“uaccess”。有理由不这样做吗?对我来说,远程用户不应该能够访问这些本地设备是有道理的。
我目前的理解(通过阅读稀疏文档)是任何带有 uaccess 标签的设备都会让 systemd (或 pam?) 知道将该设备的 acl 权限授予本地登录的用户。它是否正确?设置标签后,我找不到任何有关实际负责设置 acl 权限的文档。
答案1
输入(hid)和显示设备(dri 设备节点)的处理方式不同。
已授予访问权限并撤销打开文件描述符,而不是设备节点。
这允许在多个GUI会话之间来回切换,例如,不会让非活动会话窃取在活动会话中输入的密码。
https://dvdhrm.wordpress.com/2013/08/25/sane-session-switching/
设备节点 ACL 也不用于块设备。非特权用户只能通过udisks.
在这两种情况下,都不应该允许您自己打开设备节点。所以我认为这解释了为什么uaccess这里不使用。
设置标签后,我找不到任何有关实际负责设置 acl 权限的文档。
这将是 systemd-logind。 pam_systemd 挂钩到 PAM 堆栈,因此它可以在登录/注销时向登录发送一条 dbus 消息。