Apakah mengunci layar aman?

Lihat bug driver USB yang terekspos sebagai "Linux plug & pwn" , atau tautan ini

Dua pilihan [GNOME, Fedora 14]:

1. Menggunakan gnome-screensaver
2. Gunakan fungsi "alihkan pengguna" [menu gnome -> logout -> alihkan pengguna]

Jadi pertanyaannya adalah: mana yang merupakan metode yang lebih aman untuk mengunci layar jika pengguna meninggalkan pc?

Benarkah menggunakan metode [2] lebih aman? Cara saya melihatnya, gnome-screensaveritu hanya "proses", itu bisa dibunuh. Tetapi jika Anda menggunakan fungsi logout / switch user, itu "sesuatu yang lain". Menggunakan fungsi "switch user", mungkinkah ada masalah seperti dengan gnome-screensaver? Bisakah seseorang "membunuh proses" dan presto ... kuncinya dihapus? Bisakah GDM [??] "proses login windows" terbunuh dan "kunci" dimiliki?

Jika metode [2] lebih aman, lalu bagaimana saya bisa meletakkan ikon di panel GNOME, untuk meluncurkan tindakan "alihkan pengguna" dengan 1 klik?

Ya, tautan pertama Anda adalah tentang eksekusi kode arbitrasi mode kernel, tidak banyak yang dapat Anda lakukan untuk menentangnya. Keluar tidak akan membantu. Grsecurity dan PaX dapat mencegah hal ini tetapi saya tidak yakin. Itu pasti melindungi terhadap memperkenalkan kode yang dapat dieksekusi baru tapi saya tidak dapat menemukan bukti bahwa itu secara acak di mana kode kernel berada yang berarti eksploit dapat menggunakan kode yang sudah ada dalam memori yang dapat dieksekusi untuk melakukan operasi sewenang-wenang (metode yang dikenal sebagai return-oriented- pemrograman ). Karena overflow ini terjadi pada tumpukan yang mengkompilasi kernel dengan -fstack-protector-alltidak akan membantu. Selalu memperbarui kernel dan orang-orang dengan pendrives tampaknya menjadi taruhan terbaik Anda.

Metode kedua adalah hasil dari screensaver yang ditulis dengan buruk yang berarti logout mencegah bug tertentu. Bahkan jika penyerang membunuh GDM, dia tidak akan masuk. Coba bunuh sendiri dari SSH. Anda mendapatkan layar hitam atau konsol mode teks. Selain itu AFAIK GDM berjalan sebagai root (seperti login) sehingga penyerang akan membutuhkan hak akses root untuk membunuhnya.

Berpindah pengguna tidak memiliki efek ini. Ketika Anda beralih pengguna layar dikunci dengan screensaver dan GDM dimulai pada terminal virtual berikutnya. Anda dapat menekan [ctrl] + [alt] + [f7] untuk kembali ke screensaver kereta.