OpenBSD のマニュアルページ起動後(8)提案:「Xをインストールしたときと同じように/ etc / fbtabを編集してセキュリティをさらに強化することができます」
これはどのように達成できますか?/etc/fbtabX Windowsのセキュリティを支援するためにどの行を追加する必要がありますか?
ベストアンサー1
Salilが提案したように、X11が/dev/ttyC5であるとしましょう。
例1:同じシステム上のWebサーバーとデスクトップ環境
また、重要なデータを含むWebサーバー(ユーザー「www」所有)を実行しており、デスクトップユーザーがそのディレクトリで作業する権限(読み取り、書き込み、実行)を持っているとします。
ただし、デスクトップで実行したいすべての操作(メールの送信、音楽のリスニング、メッセージの送信、検索など)は、これらのファイルとは関係ありません。今日のGUIはすべてをよりシンプルで高速で、全体的に快適にしたいので、Nautilus、Konqueror、またはその他のファイルマネージャで誤ってクリックした場合偶然ファイルを削除する、誤ってクリックすると、データがインターネットを介して電子メール添付ファイルに送信されたり、誤ってネットワークを介してファイルを共有したりする可能性があります。 - これらのリスクはすべて、グラフィックデスクトップ環境では1回クリックするだけですが、コマンドラインでは問題が発生します。同じ効果を得るには、適切な引数を使用してコマンド名を指定します。
これで、/ etc / fbtabを使用してディレクトリを所有者の読み取り専用にするようにloginTellに指示できますchmod。これにより、デスクトップユーザーがコマンドラインと所有者のみを使用してそのディレクトリで許可されていても、誤って何も削除できなくなります。 「www」ディレクトリ(とにかくデスクトップアクセス権を持ってはいけません)から読むことができます。
/dev/ttyC5 0400 /home/user/apache13/www/
例2:ローカルプロジェクトに固有の機密データ
同僚とプロジェクトを進めており、同僚全員が自分のアカウントを使用してX11デスクトップにログインするためのアクセス権を持っているとします。ただし、彼らはX11を介してのみプロジェクトを含むディレクトリにアクセスできるはずです。なぜなら、彼らはコマンドラインの経験が多くなく、誤って間違ったことをする可能性があるからです。したがって、そのディレクトリに対するあなたの権限は非常に厳格です。
X11の場合、このエントリはrwx rwx rxに変更されます。
/dev/ttyC5 0775 /www/groupproject
例 3: バックアップディスクとして使用される USB およびフロッピーストレージ
/dev/wd0 および /dev/wd1 の USB ストレージと /dev/fd0 のフロッピー ディスクはバックアップにのみ使用されるため、アクセスを制限しようとします。
/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0