如何限制潜在恶意 GUI 应用程序的 X 访问?

如何限制潜在恶意 GUI 应用程序的 X 访问?

直接访问 Xorg 的应用程序不仅可以绘制一些行为良好的窗口,还可以捕获输入、屏蔽窗口中的其他内容(例如密码输入)、锁定 X 服务器等等。

我如何为应用程序(已在安全网络和文件系统中运行)提供有限的访问 X?如何保护 X 免受潜在不安全的 GUI 应用程序(如 Web 浏览器或电子邮件客户端)的攻击,而不会造成太多开销?

我目前知道的两种方法:

  • VNC 到本地主机。这是一种高开销方法。
  • Quebes 的用法:http://wiki.qubes-os.org/trac/wiki/GUIdocs。但是它太过侵入,而且不独立。我只想qubes_gui要从qubes_guid那里开始。

还有其他方法吗?

(有关的:如何运行被禁止的 Firefox 且不造成严重的性能损失?

相关内容