私の計画は次のとおりです。
すべてのソケットでリスニングをオフにし、次を使用してXを起動します。 (
Xorg -nolisten tcp -nolisten inet -nolisten inet6 -nolisten unix -nolisten local :0 -seat seat0 vt7 -novtswitch
この構成なしでXが実行されるのを完全に防ぐ方法はわかりませんが)rootなしでXorgを実行する - GNOMEやGDMを使用したくないことを考えると、それは見るよりも難しいです。現在私はLightDMとXFCEを使用しています。 SDDMでルートレスXorgを動作させることに成功しましたが、問題がたくさんあります。この狂気は私を再び混乱させる。
特定の入力(キーボード、マウス、画面、Xepyr)を介してのみ通信を許可するFireJail Master Xサーバー。したがって、これを行うために、これらのアプリケーション/デバイス以外のすべてがXサーバーと直接通信するのをブロックし、GUIアプリケーションがXepyrのプロキシを使用するように強制します。また、ゼロデー攻撃を防ぐために、すべてをサンドボックスに入れる必要があります。
アプリケーションとXサーバーの両方でFireJailを介してseccomp名前空間を使用して、すべてをさらに分離してみてください。
しかし、これらの措置を実施する現実は、私が想像していたよりもはるかに難しいです。 FireJailとXephyrでまだキーロギングを防ぐことができないことを見たことがあるからです。上記のリストに追加する必要がありますか?同じ問題を抱えている他の人を助けるために、このスレッドで可能なすべての修正のリストをコンパイルすることができれば幸いです。
X11とXorgのキーロギング(およびその他の問題)を防ぐためにどのような保護装置がありますか?これは、Linuxを実行しているほとんどすべてのGUIコンピュータに影響を与える大きな問題です。したがって、私はこの問題が非常に悪名高いので、これを防ぐためにできることは信じられませんし、信じられません。
本当にみんなの考えを聞きたいです。
答え1
通常、「マルウェア」を実行しないと、これらの問題から保護される可能性があります。 Xorgを実行する必要があり、この特定の問題が非常に懸念される場合は、TTY
単に複数のサーバーを別のサーバーで実行することを検討してください(ログインでは機能しません)。
まだ試していないが、いくつstartxfce4
かのTTY
。Systemdは現在、ユーザーごとの複数のセッションをサポートしていません。
したがって、systemdなしでこれらのセッションを作成できます。また、別々のファイルが必要です.Xauthority
。たとえば、これは私が考えることができる唯一のテストされていないソリューションです。これであなたはしなければならない複数のデスクトップセッションをインポートするしてはいけないお互いにコミュニケーションが可能です。
ただし、複数のユーザー(セッションごとに1人のユーザー)の場合、最小限の変更でsystemdを引き続き使用できます。また最適ではありませんが、機能する必要があります。
DEがsystemdおよび一般構成を使用しないようにするには、少しの作業が必要になる可能性があり、システムではなくシステムが必要になる場合があります。
ただし、「悪意のあるプログラム」を実行する場合は、これは唯一の/最小の関心事ではなく、システムハードウェアの側面を分離する可能性があります。