Comment utiliser / etc / fbtab dans OpenBSD pour sécuriser X11?

8

La page de manuel d'OpenBSD afterboot (8) suggère: "Vous souhaiterez peut-être renforcer la sécurité en éditant / etc / fbtab comme lors de l'installation de X."

Comment pourrait-on faire cela? Quelles lignes, ajoutées à /etc/fbtab, aideraient à sécuriser X Windows?

Nicolas
la source
1
man fbtab - vous indiquera les détails de l'attribution temporaire de la propriété des appareils en fonction des identifiants de connexion. Sur mon ordinateur portable, X11 obtient le ttyC5. Donc, je peux contrôler la propriété de l'appareil en fonction de cela. Je ne sais pas à quel point cela est utile car nous avons déjà le paramètre matchdep.allowaperture = 1 dans /etc/sysctl.conf en utilisant lequel nous pouvons attribuer plus de privilèges à Xorg.
Salil

Réponses:

1

Supposons que le X11 soit / dev / ttyC5 comme suggéré par Salil.

Exemple 1: serveur Web et environnement de bureau sur la même machine

Supposons également que vous exécutez un serveur Web avec des données sensibles (le propriétaire est l'utilisateur «www») et que votre utilisateur de bureau est autorisé à travailler (lire, écrire, exécuter) dans ce répertoire.

Mais pour tout ce que vous avez l'intention de faire sur le bureau, comme l'envoi de courrier, l'écoute de musique, la messagerie ou la navigation, cela n'a rien à voir avec ces fichiers. Maintenant, les interfaces graphiques veulent rendre tout plus simple, plus rapide et globalement plus confortable, donc un mauvais clic dans Nautilus, Konqueror ou un autre gestionnaire de fichiers peut accidentellement supprimer un fichier, un mauvais clic peut même envoyer des données sous forme de pièce jointe par e-mail sur Internet, vous pouvez accidentellement partager un fichier sur le réseau, etc. - tous ces dangers sont à un clic dans un environnement de bureau graphique alors que sur la ligne de commande, vous émettriez un nom de commande avec les arguments appropriés pour le même effet.

Vous pouvez maintenant utiliser / etc / fbtab pour laisser logindire chmodde rendre ce répertoire en lecture seule pour le propriétaire, afin qu'aucun de vos utilisateurs de bureau ne puisse accidentellement supprimer quoi que ce soit, même s'ils sont autorisés à travailler dans ce répertoire lors de l'utilisation de la ligne de commande et uniquement du propriétaire 'www' (qui ne devrait pas avoir accès au bureau de toute façon) peut le lire:

/dev/ttyC5 0400 /home/user/apache13/www/

Exemple 2: données sensibles pour un projet local uniquement

Supposons que vous travaillez sur un projet avec des collègues, qui ont tous la permission de se connecter à votre bureau X11 avec leurs comptes. Mais ils sont censés avoir uniquement accès au répertoire contenant votre projet via X11, car ils ne sont pas très expérimentés avec la ligne de commande et peuvent involontairement faire quelque chose de mal, vous avez donc les autorisations très restrictives pour ce répertoire.

Cette entrée le change en rwx rwx rx pour X11:

/dev/ttyC5 0775 /www/groupproject

Exemple 3: stockage USB et disquette comme disques de sauvegarde

Vous souhaitez restreindre l'accès au stockage USB sur / dev / wd0 et / dev / wd1 ainsi qu'aux disquettes sur / dev / fd0, car ils sont utilisés uniquement pour la sauvegarde.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
superuser0
la source