¿Cómo usar / etc / fbtab en OpenBSD para asegurar X11?

8

La página de manual de OpenBSD afterboot (8) sugiere: "Es posible que desee reforzar la seguridad más editando / etc / fbtab como cuando instala X".

¿Cómo podría uno hacer esto? ¿Qué líneas cuando se agregan /etc/fbtabayudarían a asegurar X Windows?

security x11 openbsd Nicholas
fuente
1
man fbtab: le informará los detalles sobre la asignación temporal de la propiedad de los dispositivos en función de los ttys de inicio de sesión. En mi computadora portátil, X11 obtiene el ttyC5. Entonces, puedo controlar la propiedad del dispositivo en función de eso. Sin embargo, no sé cuán útil es esto porque ya tenemos la configuración matchdep.allowaperture = 1 en /etc/sysctl.conf usando la cual podemos asignar más privilegios a Xorg.
Salil

Respuestas:

1

Supongamos que X11 es / dev / ttyC5 como lo sugiere Salil.

Ejemplo 1: servidor web y entorno de escritorio en la misma máquina

Supongamos también que está ejecutando un servidor web con datos confidenciales (el propietario es el usuario 'www') y su usuario de escritorio tiene permiso para trabajar (leer, escribir, ejecutar) en ese directorio.

Pero para todo lo que tiene la intención de hacer en el escritorio, como enviar por correo, escuchar música, enviar mensajes o navegar, no tiene nada que ver con estos archivos. Ahora las GUI quieren que todo sea más simple, rápido y en general más cómodo, por lo que un clic erróneo en Nautilus, Konqueror u otro administrador de archivos puede eliminar accidentalmente un archivo, un clic erróneo podría incluso enviar datos como un archivo adjunto de correo electrónico a través de Internet, podría compartir accidentalmente un archivo a través de la red, etc., todos estos peligros están a un clic de distancia en un entorno de escritorio gráfico, mientras que en la línea de comando emitiría un nombre de comando con los argumentos adecuados para el mismo efecto.

Ahora usted podría usar / etc / fbtab para que logindiga chmodpara hacer que el directorio de sólo lectura para el propietario, por lo que ninguno de los usuarios de escritorio pueden accidentalmente borrar nada, a pesar de que se les permite trabajar en ese directorio cuando se utiliza la línea de comandos y sólo el propietario 'www' (que de todos modos no debería tener acceso al escritorio) puede leerlo:

/dev/ttyC5 0400 /home/user/apache13/www/

Ejemplo 2: datos confidenciales solo para un proyecto local

Supongamos que está trabajando en un proyecto con colegas, quienes tienen permiso para iniciar sesión en su escritorio X11 con sus cuentas. Pero se supone que solo tienen acceso al directorio con su proyecto en él a través de X11, porque no tienen mucha experiencia con la línea de comando y pueden hacer algo mal involuntariamente, por lo que los permisos son muy restrictivos para ese directorio.

Esta entrada lo cambia a rwx rwx rx para X11:

/dev/ttyC5 0775 /www/groupproject

Ejemplo 3: almacenamiento USB y disquete como discos de respaldo

Desea restringir el acceso al almacenamiento usb en / dev / wd0 y / dev / wd1, así como a los disquetes en / dev / fd0, porque se usan solo para respaldo.

/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0
superusuario0
fuente