X-Server Sicherheit: Applikations-Isolation nicht vorhanden

[weedy]

Hi,

wie aus diesem Artikel hervorgeht:

http://theinvisiblethings.blogspot.de/2 ... ation.html

können sich unterschiedliche Programme, die denselben X-Server verwenden, ohne dass der User davon etwas mitbekommt, gegenseitig belauschen. Selbst eine ssh offenbart dem tool xinput alle gedrückten Keys.

Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?

Gruß

[catdog2]

Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?

Nein

[weedy]

Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?

Nein

Nagut, gibt es denn wenigstens eine komplizierte Möglichkeit?

Mit Tomoyo komme ich nicht recht weiter, der liefert in der domain_policy im Lernmodus von xinput:

Code: Alles auswählen

network unix stream connect \000/tmp/.X11-unix/X0
file read /home/ox/.Xauthority

Ich vermute mal, dass das jedes Programm macht, welches X verwendet.

Welche Sicherheitslösung könnte das verhindern?

Apparmor, Grsecurity, Selinux?

Eine andere Lösung besteht vieleicht darin, /.X11-unix/X0 auf einen eigenen Socket zu mounten und dort dann das X-Protokoll zu filtern, aber damit werde ich heute bestimmt nicht fertig.

Gruß

[catdog2]

Nagut, gibt es denn wenigstens eine komplizierte Möglichkeit?

Wayland verwenden, ist halt noch nicht so ganz ausgereift aber grundsätzlich wohl durchaus benutzbar. Ansonsten müsste man halt so dran gehen wie Qubes OS das macht und alles in eigenen X-Servern starten, steht ja auch in dem Blogeintrag.

Welche Sicherheitslösung könnte das verhindern?

Apparmor, Grsecurity, Selinux?

Nein. Das steckt so tief im Design von X11, das ist praktisch nicht zu verhindern.