看USB 驱动程序错误被暴露为“Linux Plug&pwn”, 或者这个链接
两种选择 [GNOME、Fedora 14]:
- 使用
gnome-screensaver
- 使用“切换用户”功能[gnome菜单->注销->切换用户]
所以问题是:如果用户离开电脑,哪种锁定屏幕的方法更安全?
使用[2]方法真的更安全吗?在我看来,这gnome-screensaver
只是一个“进程”,它可以被杀死。但如果使用注销/切换用户功能,那就是“另外一回事了”。使用“切换用户”功能,会不会出现类似的问题gnome-screensaver
?有人可以“杀死一个进程”并立即...锁定被删除吗? GDM [??]“登录Windows进程”会被杀死并且“锁”被拥有吗?
如果[2]方法更安全,那么我如何在GNOME面板上放置一个图标,以通过1次单击启动“切换用户”操作?
答案1
好吧,您的第一个链接是关于内核模式仲裁代码执行的,对此您无能为力。注销没有帮助。网络安全和帕X可以阻止这种情况,但我不确定。它确实可以防止引入新的可执行代码,但我找不到任何证据表明它随机化内核代码所在的位置,这意味着漏洞可以使用可执行内存中已有的代码来执行任意操作(一种称为面向返回的编程)。由于此溢出发生在堆上,因此编译内核将-fstack-protector-all
无济于事。保持内核最新并且远离拥有随身碟的人似乎是您最好的选择。
第二种方法是屏幕保护程序写得不好的结果,这意味着注销可以防止该特定错误。即使攻击者杀死了 GDM,他也无法进入。尝试通过 SSH 自行杀死它。您会看到黑屏或文本模式控制台。此外,据我所知,GDM 以 root 身份运行(如登录),因此攻击者需要 root 权限才能杀死它。
切换用户没有此效果。当您切换用户时,屏幕将被屏幕保护程序锁定,并且 GDM 将在下一个虚拟终端上启动。您可以按 [ctrl]+[alt]+[f7] 返回有问题的屏幕保护程序。