Bagaimana cara menggunakan / etc / fbtab di OpenBSD untuk mengamankan X11?

8

Halaman manual OpenBSD afterboot (8) menunjukkan: "Anda mungkin ingin memperketat keamanan lebih banyak dengan mengedit / etc / fbtab seperti ketika menginstal X."

Bagaimana mungkin orang melakukan ini? Baris apa saat ditambahkan ke /etc/fbtabakan membantu mengamankan X Windows?

security  x11  openbsd 
Nicholas
sumber
1
man fbtab - akan memberi tahu Anda detail tentang penetapan sementara kepemilikan perangkat berdasarkan login ttys. Di laptop saya, X11 mendapatkan ttyC5. Jadi, saya bisa mengendalikan kepemilikan perangkat berdasarkan itu. Saya tidak tahu betapa bergunanya ini karena kita sudah memiliki pengaturan matchdep.allowaperture = 1 di /etc/sysctl.conf menggunakan yang kita dapat memberikan lebih banyak hak istimewa ke Xorg.
Salil

Jawaban:

1

Mari kita asumsikan X11 adalah / dev / ttyC5 seperti yang disarankan oleh Salil.

Contoh 1: Server web dan lingkungan desktop pada mesin yang sama

Mari kita juga berasumsi bahwa Anda menjalankan server web dengan data sensitif (pemilik adalah pengguna 'www') di dalamnya dan pengguna desktop Anda memiliki izin untuk bekerja (baca, tulis, jalankan) di direktori itu.

Tetapi untuk semua yang ingin Anda lakukan di desktop seperti mengirim surat, mendengarkan musik, berkirim pesan, atau menjelajahi tidak ada hubungannya dengan file-file ini. Sekarang GUI ingin membuat semuanya lebih sederhana, lebih cepat dan secara keseluruhan lebih nyaman, sehingga kesalahan klik di Nautilus, Konqueror atau pengelola file lainnya dapat secara tidak sengaja menghapus file, kesalahan klik bahkan mungkin mengirim data sebagai lampiran email melalui internet, Anda dapat berbagi secara tidak sengaja file melalui jaringan dll. - semua bahaya ini adalah satu klik saja di lingkungan desktop grafis sedangkan pada baris perintah Anda akan mengeluarkan nama perintah dengan argumen yang cocok untuk efek yang sama.

Anda sekarang dapat menggunakan / etc / fbtab untuk memberi logintahu chmodagar direktori tersebut hanya bisa dibaca oleh pemiliknya, jadi tidak ada pengguna desktop Anda yang dapat secara tidak sengaja menghapus apa pun, meskipun mereka diizinkan untuk bekerja di direktori tersebut saat menggunakan baris perintah dan hanya pemiliknya. 'www' (yang seharusnya tidak memiliki akses desktop) dapat membacanya:

/dev/ttyC5 0400 /home/user/apache13/www/

Contoh 2: Data sensitif hanya untuk proyek lokal

Mari kita asumsikan bahwa Anda sedang mengerjakan proyek dengan kolega, yang semuanya memiliki izin untuk masuk ke desktop X11 Anda dengan akun mereka. Tetapi mereka seharusnya hanya memiliki akses ke direktori dengan proyek Anda di dalamnya melalui X11, karena mereka tidak sangat berpengalaman dengan baris perintah dan mungkin secara tidak sengaja melakukan sesuatu yang salah, sehingga Anda memiliki izin yang sangat ketat untuk direktori itu.

Entri ini mengubahnya menjadi rwx rwx rx untuk X11:

/dev/ttyC5 0775 /www/groupproject

Contoh 3: USB dan penyimpanan floppy sebagai disk cadangan

Anda ingin membatasi akses ke penyimpanan usb di / dev / wd0 dan / dev / wd1 serta floppy disk di / dev / fd0, karena hanya digunakan untuk cadangan.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
superuser0
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.