Le verrouillage de l'écran est-il sûr?

Voir le bogue du pilote USB exposé comme "Prise Linux & pwn" , ou ce lien

Deux choix [GNOME, Fedora 14]:

1. Utilisez le gnome-screensaver
2. Utilisez la fonction "changer d'utilisateur" [menu gnome -> se déconnecter -> changer d'utilisateur]

La question est donc la suivante: quelle est la méthode la plus sûre pour verrouiller l'écran si un utilisateur quitte le PC?

Est-il vrai que l'utilisation de la méthode [2] est plus sûre? D'après moi, gnome-screensaverc'est juste un "processus", il pourrait être tué. Mais si vous utilisez la fonction utilisateur de déconnexion / commutation, c'est "autre chose". En utilisant la fonction "changer d'utilisateur", pourrait-il y avoir un problème comme avec le gnome-screensaver? Quelqu'un pourrait-il "tuer un processus" et hop ... le verrou est supprimé? Le «processus de fenêtres de connexion» GDM [??] pourrait-il être tué et le «verrou» appartenu?

Si la méthode [2] est plus sûre, comment puis-je mettre une icône sur le panneau GNOME, pour lancer l'action "changer d'utilisateur" en 1 clic?

Eh bien, votre premier lien concerne l'exécution de code arbitraire en mode noyau, vous ne pouvez pas faire grand-chose contre cela. La déconnexion n'aidera pas. Grsecurity et PaX pourraient empêcher cela, mais je ne suis pas sûr. Il protège sûrement contre l'introduction de nouveau code exécutable, mais je ne trouve aucune preuve qu'il randomise où se trouve le code du noyau, ce qui signifie qu'un exploit pourrait utiliser le code déjà dans la mémoire exécutable pour effectuer des opérations arbitraires (une méthode connue sous le nom de retour orienté - programmation ). Puisque ce débordement se produit sur le tas, la compilation du noyau avec -fstack-protector-alln'aidera pas. Garder le noyau à jour et les personnes avec des clés USB semble être votre meilleur pari.

La deuxième méthode est le résultat d'un économiseur d'écran mal écrit, ce qui signifie que la déconnexion empêche ce bogue particulier. Même si l'attaquant tue GDM, il ne rentrera pas. Essayez de le tuer vous-même depuis SSH. Vous obtenez un écran noir ou une console en mode texte. Outre AFAIK GDM s'exécute en tant que root (comme la connexion), donc l'attaquant aurait besoin des privilèges root pour le tuer.

Changer d'utilisateur n'a pas cet effet. Lorsque vous changez d'utilisateur, l'écran est verrouillé avec l'économiseur d'écran et GDM démarre sur le terminal virtuel suivant. Vous pouvez appuyer sur [ctrl] + [alt] + [f7] pour revenir à l'économiseur d'écran buggy.