Справочная страница OpenBSD afterboot (8) предлагает: «Возможно, вы захотите еще больше повысить безопасность, отредактировав / etc / fbtab, как при установке X».
Как можно это сделать? Какие строки при добавлении /etc/fbtab
помогут защитить X Windows?
Ответы:
Давайте предположим, что X11 - это / dev / ttyC5, как предлагает Салил.
Пример 1. Веб-сервер и среда рабочего стола на одном компьютере
Предположим также, что вы используете веб-сервер с конфиденциальными данными (владелец - это пользователь www), и у пользователя на вашем компьютере есть разрешение на работу (чтение, запись, выполнение) в этом каталоге.
Но все, что вы собираетесь делать на рабочем столе, например, рассылка, прослушивание музыки, обмен сообщениями или просмотр, не имеет ничего общего с этими файлами. Теперь пользовательские интерфейсы хотят сделать все проще, быстрее и в целом более удобным, поэтому при щелчке мышью в Nautilus, Konqueror или каком-либо другом файловом менеджере можно случайно удалить файл, а при щелчке мышью даже можно отправлять данные в виде вложений электронной почты через Интернет, вы можете случайно поделиться ими. файл по сети и т. д. - все эти опасности находятся в одном щелчке мыши в графической среде рабочего стола, тогда как в командной строке вы вводите имя команды с подходящими аргументами для того же эффекта.
Теперь вы можете использовать / etc / fbtab, чтобы
login
сообщить,chmod
чтобы сделать этот каталог доступным только для владельца, чтобы никто из пользователей вашего рабочего стола не мог случайно удалить что-либо, даже если им разрешено работать в этом каталоге при использовании командной строки и только владельца «www» (который в любом случае не должен иметь доступа к рабочему столу) может прочитать его:Пример 2: конфиденциальные данные только для локального проекта
Предположим, вы работаете над проектом с коллегами, у которых у всех есть разрешение на вход в ваш рабочий стол X11 со своими учетными записями. Но предполагается, что они имеют доступ только к каталогу, в котором находится ваш проект через X11, потому что они не имеют большого опыта работы с командной строкой и могут непреднамеренно что-то сделать неправильно, поэтому у вас есть очень ограничительные разрешения для этого каталога.
Эта запись меняет его на rwx rwx rx для X11:
Пример 3: USB и флоппи-дисковод в качестве резервных дисков
Вы хотите ограничить доступ к USB-хранилищу в / dev / wd0 и / dev / wd1, а также к дискетам в / dev / fd0, поскольку они используются только для резервного копирования.
источник