OpenBSD 的手册页启动后(8)建议:“您可能希望像安装 X 时那样通过编辑 /etc/fbtab 来进一步加强安全性。”
怎样才能做到这一点呢?添加哪些行将/etc/fbtab有助于保护 X Windows?
答案1
我们假设 X11 是 Salil 建议的 /dev/ttyC5。
示例1:同一台机器上的Web服务器和桌面环境
我们还假设您正在运行一个包含敏感数据的 Web 服务器(所有者是用户“www”),并且您的桌面用户有权在该目录中工作(读、写、执行)。
但您打算在桌面上执行的所有操作(例如发送邮件、听音乐、发送消息或浏览)都与这些文件无关。现在 GUI 希望让一切变得更简单、更快、整体更舒适,因此 Nautilus、Konqueror 或其他文件管理器中的误点击可能会导致偶然删除文件,误点击甚至可能通过互联网将数据作为电子邮件附件发送,您可能会意外地通过网络共享文件等 - 所有这些危险在图形桌面环境中只需单击一下即可,而在命令行上您将发出命令名称与合适的参数具有相同的效果。
现在,您可以使用 /etc/fbtab 来让loginTellchmod将该目录设为所有者只读,这样您的桌面用户就不会意外删除任何内容,即使他们在使用命令行且仅所有者时被允许在该目录中工作“www”(无论如何都不应该有桌面访问权限)可以读取它:
/dev/ttyC5 0400 /home/user/apache13/www/
示例 2:仅限本地项目的敏感数据
假设您正在与同事一起开发一个项目,他们都有权使用他们的帐户登录您的 X11 桌面。但他们应该只能通过 X11 访问包含您的项目的目录,因为他们对命令行不太有经验,可能会无意中做错什么,所以您对该目录的权限非常严格。
对于 X11,此条目将其更改为 rwx rwx rx:
/dev/ttyC5 0775 /www/groupproject
示例 3:USB 和软盘存储作为备份磁盘
您想要限制对 /dev/wd0 和 /dev/wd1 上的 USB 存储以及 /dev/fd0 上的软盘的访问,因为它们仅用于备份。
/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0