[Comm] Security hole in X (KDE)

Ср Мар 12 16:10:47 MSK 2008

2008/3/12 Алексей Синицын <asinitsinster на gmail.com>:
> 12.03.08, ALT Linux User<altlinux.mailbox на gmail.com> написал(а):
> >  Особенно в свете того, что упавшая система поправляется консолью.
> >  Система настраивается успешнее всего - из консоли.
> >
>
>  Ну наверно все-же не совсем так. Хотя и "сила юникс в командной
> строке", но удобства графической системы еще никто не отменял.

Речь, в моём случае, не идёт об удобстве. Речь идёт о единственно
возможном средстве. Ноутбук Toshiba L40-139: настройка wifi была
возможна только из консоли.
Более того, даже находясь в иксах, я всё равно КАЖДЫЙ божий раз, что
бы поднять сеть отдаю команды:

# modprobe ndiswrapper
# iwconfig ESSID и так далее
# dhcpcd -G и так далее

Далее, неоднократно, при апдейте системы (настроенной на стабильный
бранч) падал интеловский видеодрайвер. Как настроить его без консоли?

Ну и остальное... Зачем мне сразу грузиться в иксы, если система
постоянно требует к себе отладочного внимания. Как начинающий
пользователь, трачу довольно много времени на эти телодвижения.
Самостоятельно пришёл к выводу о пользе загрузки в иксы произвольно,
то есть - по мере необходимости.

>  Здесь может быть даже вопрос уже переходит от темы блокирования
> системы от нежелателльного доступа к теме необходимости работы всего
> железа "искаропки". Хотя последнее - это конечно в полной мере пока
> утопия,

Утопия? Фантастика? Вымысел? ... и где это я успел к этому привыкнуть
на том же ноутбуке...

>  Мы часто не задумываемся об очевидных вещах.
>
>  Дело в том, что блокирование системы в графическом режиме и
> блокирование системы где открыто несколько (!) виртуальных консолей -
> это две достаточно разные вещи.

Это только лишь одна точка зрения. Вот другая: с такой точки зрения
пользователя ГУЯ, даже системные действия - не более чем кликанье на
соответствующие кнопки. Чуть глубже лежит понимание, что подавляющее
большинство "мест для кликанья" - всего лишь навсего фронт-энды к
соответствующим консольным утилитам, командам.

Отсюда резонный вопрос: почему в одном случае эти фронтенды выполняют
требуемые от них системные действия, а в других нет?

Именно поэтому, моё IMHO: DE KDE содержит ошибку работы с
пользователем, не позволяя ему блокировать сессию с помощью ГУЯ.
Дальнейшее расширение этого действия: блокировать ли все сессии,
открытые данным пользователем или только текущую - это скорее вопрос
настройки того механизма, который отсутствует. KDE не осуществляет
требуемого от него системного действия - блокировка сессии
пользователя имярек.

>  И различие в первую очередь в том, что графическая система - это
> всего одна консоль, и блокирование ее - блокирует все сразу. Тогда как
> авторизовавшись несколько раз на нескольких виртуальных консолях для
> блокировании системы необходимо заблокировать их все. А, кстати,
> разблокировать их надо каждую в отдельности или однократным набором
> пароля? А если я работаю во второй консоли, то первая должна
> заблокироваться пока на ней не было действий? Последий каверзный
> вопрос, кстати, так-же не имеет смысла при использовании графической
> системы.

И эти все "каверзные вопросы" - лишь аспекты настройки механизма,
которого почему-то нет. Ну, или пока про который не рассказали.

>  И еще одно уточнение. А если я использую консоль (и иногда запускаю
> иксы), то блокирую-ли я все эти консоли (я-же не могу иметь дело всего
> с одним терминалом) оставляя машину? И если я задумался о блокировании
> всего множества брошенных терминалов, то очень быстро я прийду к
> вопросу о блокировании и терминала под исками и решение startx;exit
> будет лежать на поверхности, но если и не будет то тема будет
> называться не "секурити холе", а "посоветуйте".

Но это: $ startx;exit - никакое не решение, поскольку возможность
завершить сессию KDE остаётся. Чего не должно быть никоим образом, ибо
речь идёт о несанкционированном действии.
Довольно странно, насколько трудно донести простую мысль: сначала
спросить пароль, потом разрешать действия.

Советы, тем не менее, всегда приветствуются.