LINUX.ORG.RU
ФорумSecurity

Запрет на «скриншот»

 , , , линуксы-гавно


1

2

Как запретить приложению, запущенного от user1 просматривать(например, посредством скриншота) приложение,
запущенное от user2(keepassx для примера) ?



Последнее исправление: axdx (всего исправлений: 1)
Пароль на monitor в qemu
В каком дистрибутиве Линукс для Дескопа лучше настроен Селинукс?

Обычно это сделано по умолчанию. Если это не так то нужно смотреть каким образом был предоставлен доступ другому юзеру и поправить настройки.

cvv ★★★★★
()

Если они запущены на одном X-сервере - то никак. В X11 отсутствует какая либо безопасность и управление доступом на уровне его API. В доисторические времена когда всё это придумывалось - о таких «мелочах», как контроль доступа приложения к ресурсам оконной системы, никто не думал даже.

И скриншоты - это еще пол беды. Приложение спокойно может также и ввод логгировать.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Клятые параноики. Если ты что-то от рута поставил червивое в систему - это твои проблемы, а не х-сервера.

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

Эх, если-бы только от рута. У вас какой-нибудь условный скайп или дропбокс может свободно шатать все окна сторонних приложений запущенных в этом-же x-сервере. Вы вот можете гарантировать что в скайпе, который уже был замечен в доступе к локальному профилю файрфокса, нету ещё и кейлоггера, например ?

Самое поганое, что песочницы вроде flatpak или firejail не шибко-то помогут в данном случае.

А вообще, тут как в той поговорке: то что у вас паранойя, совсем не означает что за вами не следят.

DawnCaster ★★
()
Ответ на: комментарий от PPP328

Если ты что-то от рута поставил червивое в систему

Не обязательно. Достаточно запуска с пользовательскими правами без всякой установки. Noexec на /home и /tmp в десктопных дистрибутивах тоже не работает просто - посыпется куча ошибок в случайных местах

anonymous
()
Ответ на: комментарий от anonymous

Не запускай неизвестные бинари. Почему-то на винде люди моют руки прежде чем запустить неизвестный бинарь из интернета. Почему вы считаете что под линуксом так делать не надо?

PPP328 ★★★★★
()

Переходи на вейленд.

imul ★★★★★
()
Ответ на: комментарий от FedyaPryanichkov

Если приложение злонамеренное то это обходится нараз. Нужно чтобы приложение не смогло получить ключи на доступ к иксам. Кстати тут наверное SELinux может помочь: зарезать доступ к .Xauthority и подобному.

cvv ★★★★★
()
Ответ на: комментарий от PPP328

Не запускай неизвестные бинари. Почему-то на винде люди моют руки прежде чем запустить неизвестный бинарь из интернета. Почему вы считаете что под линуксом так делать не надо?

А ты как, исходники всех устанавливаемых программ читаешь с выражением и разными голосами, или быстро просматриваешь по диагонали? Или может прослушиваешь как аудиокнигу в свободное время при помощи TTS?

Khnazile ★★★★★
()
Ответ на: комментарий от FedyaPryanichkov

Для этих целей есть также такая софтина как XPRA, хотя изначально она для удалённого управления придумывалась. Но локально работает тоже отлично - окна из отдельного X-сервера интегрируются в основной X-сервер абсолютно бесшовно.

DawnCaster ★★
()

Только в отдельных иксах
Зато вяленд не нужен

TheAnonymous ★★★★★
()
Ответ на: комментарий от TheAnonymous

Нет, голый QEMU\KVM и пачка своих скриптов. QUBES выглядит круто, но руки всё не доходят её поставить на домашнюю машину.

Пока при сильных приступах паранойи обхожусь QEMU\KVM, а в остальных случаях юзаю песочницы на базе bubblewrap и своего велосипеда.

DawnCaster ★★
()
Ответ на: комментарий от vodz

Ну мне показалось что у ТС именно такая ситуация.

cvv ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Пароль на monitor в qemu
Security
В каком дистрибутиве Линукс для Дескопа лучше настроен Селинукс?