Seite 1 von 1

X-Server Sicherheit: Applikations-Isolation nicht vorhanden

Verfasst: 06.03.2016 22:16:40
von weedy
Hi,

wie aus diesem Artikel hervorgeht:

http://theinvisiblethings.blogspot.de/2 ... ation.html

können sich unterschiedliche Programme, die denselben X-Server verwenden, ohne dass der User davon etwas mitbekommt, gegenseitig belauschen. Selbst eine ssh offenbart dem tool xinput alle gedrückten Keys.

Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?

Gruß

Re: X-Server Sicherheit: Applikations-Isolation nicht vorhan

Verfasst: 06.03.2016 22:21:02
von catdog2
Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?
Nein

Re: X-Server Sicherheit: Applikations-Isolation nicht vorhan

Verfasst: 07.03.2016 19:49:34
von weedy
catdog2 hat geschrieben:
Gibt es eine einfache Möglichkeit inder xorg-conf, oder anderswo, dieses Verhalten zu unterbinden?
Nein
Nagut, gibt es denn wenigstens eine komplizierte Möglichkeit?

Mit Tomoyo komme ich nicht recht weiter, der liefert in der domain_policy im Lernmodus von xinput:

Code: Alles auswählen

network unix stream connect \000/tmp/.X11-unix/X0
file read /home/ox/.Xauthority
Ich vermute mal, dass das jedes Programm macht, welches X verwendet.

Welche Sicherheitslösung könnte das verhindern?

Apparmor, Grsecurity, Selinux?

Eine andere Lösung besteht vieleicht darin, /.X11-unix/X0 auf einen eigenen Socket zu mounten und dort dann das X-Protokoll zu filtern, aber damit werde ich heute bestimmt nicht fertig.

Gruß

Re: X-Server Sicherheit: Applikations-Isolation nicht vorhan

Verfasst: 07.03.2016 20:12:28
von catdog2
Nagut, gibt es denn wenigstens eine komplizierte Möglichkeit?
Wayland verwenden, ist halt noch nicht so ganz ausgereift aber grundsätzlich wohl durchaus benutzbar. Ansonsten müsste man halt so dran gehen wie Qubes OS das macht und alles in eigenen X-Servern starten, steht ja auch in dem Blogeintrag.
Welche Sicherheitslösung könnte das verhindern?

Apparmor, Grsecurity, Selinux?
Nein. Das steckt so tief im Design von X11, das ist praktisch nicht zu verhindern.