[Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, ALT Linux User<altlinux.mailbox на gmail.com> написал(а):
> 2008/3/11 Алексей Синицын <asinitsinster на gmail.com>:
>
> > 11.03.08, Алексей Синицын<asinitsinster на gmail.com> написал(а):
>
>
> > Кстати задумался.
>  >
>  > Какая такая причина может потребовать третий ранлевел и стартикс?
>  >
>  > Если нужны иксы, то почему не dm? Если иксы тяжелы то достаточно много
>  > есть консольного ПО.
>  >
>  > Мое мнение - понты.
>
>
> Мнение интересное.
>

 Наверно я действительно несколько резко. Но попробую объяснить.

>  Особенно в свете того, что упавшая система поправляется консолью.
>  Система настраивается успешнее всего - из консоли.
>

 Ну наверно все-же не совсем так. Хотя и "сила юникс в командной
строке", но удобства графической системы еще никто не отменял.

>  Пример? - Для того что бы поднять звук на ноутбуке Toshiba L40-139,
>  мне пришлось менять строчку в конфиге альсы и перезапускаться.
>  Наверное минимум раз 10. Зачем мне для этого грузить икс?
>
>  Далее. Вот упал видеодрайвер (intel integrated). И опять я в консоли.
>  И так далее, и так далее...
>

 Здесь может быть даже вопрос уже переходит от темы блокирования
системы от нежелателльного доступа к теме необходимости работы всего
железа "искаропки". Хотя последнее - это конечно в полной мере пока
утопия, но вообще все не так плохо выглядит и может быть со временем
все меньше телодвижений понадобится для включения звука.

>  Вот я и решил: а зачем мне сразу грузиться в иксы? Надо сначала
>  настроить систему. Жаль, что процесс затянулся...
>
>  Уверен, что 90% того, что я делал - имело быстрые обходные правильные
>  пути. Но я их не знал. А поскольку не был предупреждён о снижении
>  безопасности, - действовал как умел на своём, пусть и скромном, уровне
>  понимания функционирования системы.
>

 Мы часто не задумываемся об очевидных вещах.

 Дело в том, что блокирование системы в графическом режиме и
блокирование системы где открыто несколько (!) виртуальных консолей -
это две достаточно разные вещи.

 И различие в первую очередь в том, что графическая система - это
всего одна консоль, и блокирование ее - блокирует все сразу. Тогда как
авторизовавшись несколько раз на нескольких виртуальных консолях для
блокировании системы необходимо заблокировать их все. А, кстати,
разблокировать их надо каждую в отдельности или однократным набором
пароля? А если я работаю во второй консоли, то первая должна
заблокироваться пока на ней не было действий? Последий каверзный
вопрос, кстати, так-же не имеет смысла при использовании графической
системы.

 Другими словами, если мы поднимаем вопрос предотвращения
несанкционированного доступа к системе где пользователи работают без
графической системы, то этот вопрос нужно рассматривать совершенно
отдельно, не оглядываясь на скринсейверы, хотя если какой-то механизм
будет найден (возможно какой-то системный демон следящий за событиями
на устройствах ввода), то интерграция со скринсейверами понадобится
так-же.

 И еще раз о происхождении вопроса. Хорошо, можно настраивать систему.
Но при первом возможном случае уместно и целесообразно использовать
dm, а если kde долго грузится, то скажем какой нибудь twm или fluxbox.
Если-же вопрос стоит так: "хочу стартовать систему без исков, но потом
эти иксы запускать", то такой вопрос уже вызывает встречный вопрос: "а
зачем", другими словами "а есть-ли смысл тратить на это время и
силы?".

 И еще одно уточнение. А если я использую консоль (и иногда запускаю
иксы), то блокирую-ли я все эти консоли (я-же не могу иметь дело всего
с одним терминалом) оставляя машину? И если я задумался о блокировании
всего множества брошенных терминалов, то очень быстро я прийду к
вопросу о блокировании и терминала под исками и решение startx;exit
будет лежать на поверхности, но если и не будет то тема будет
называться не "секурити холе", а "посоветуйте".