¿Es seguro bloquear la pantalla?

Vea el error del controlador USB expuesto como "Linux plug & pwn" , o este enlace

Dos opciones [GNOME, Fedora 14]:

1. Utilizar el gnome-screensaver
2. Utilice la función "cambiar usuario" [menú gnome -> cerrar sesión -> cambiar usuario]

Entonces la pregunta es: ¿cuál es el método más seguro para bloquear la pantalla si un usuario abandona la PC?

¿Es cierto que usar el método [2] es más seguro? A mi modo de ver, el gnome-screensaveres solo un "proceso", podría ser eliminado. Pero si utiliza la función de cierre de sesión / cambio de usuario, es "otra cosa". Usando la función "cambiar usuario", ¿podría haber un problema como con el gnome-screensaver? ¿Podría alguien "matar un proceso" y presto ... se quita el bloqueo? ¿Podría el GDM [??] "proceso de inicio de sesión de Windows" ser asesinado y el "bloqueo" será propiedad?

Si el método [2] es más seguro, ¿cómo puedo poner un icono en el panel de GNOME para iniciar la acción "cambiar de usuario" con 1 clic?

Bueno, su primer enlace es sobre la ejecución de código arbitrario en modo kernel, no hay mucho que pueda hacer contra eso. Cerrar sesión no ayudará. Grsecurity y PaX podrían evitar esto, pero no estoy seguro. Seguramente protege contra la introducción de un nuevo código ejecutable, pero no puedo encontrar ninguna evidencia de que aleatorice la ubicación del código del núcleo, lo que significa que un exploit podría usar el código que ya está en la memoria ejecutable para realizar operaciones arbitrarias (un método conocido como orientado al retorno) programación ). Dado que este desbordamiento ocurre en el montón, compilar el núcleo -fstack-protector-allno ayudará. Mantener el kernel actualizado y las personas con pendrives alejados parece ser su mejor opción.

El segundo método es el resultado de un protector de pantalla mal escrito, lo que significa que cerrar la sesión evita ese error en particular. Incluso si el atacante mata GDM no entrará. Intenta matarlo tú mismo desde SSH. Obtienes una pantalla negra o una consola en modo texto. Además AFAIK GDM se ejecuta como root (como inicio de sesión), por lo que el atacante necesitaría privilegios de root para eliminarlo.

Cambiar de usuario no tiene este efecto. Cuando cambia de usuario, la pantalla se bloquea con el protector de pantalla y GDM se inicia en el siguiente terminal virtual. Puede presionar [ctrl] + [alt] + [f7] para volver al protector de pantalla con errores.