OpenBSD 매뉴얼 페이지시작 후(8)제안: "X를 설치할 때 했던 것처럼 /etc/fbtab을 편집하여 보안을 더욱 강화할 수 있습니다."
이것이 어떻게 달성될 수 있습니까? /etc/fbtabX Windows 보안을 돕기 위해 어떤 줄을 추가해야 합니까 ?
답변1
Salil이 제안한 대로 X11이 /dev/ttyC5라고 가정해 보겠습니다.
예 1: 동일한 시스템의 웹 서버 및 데스크탑 환경
또한 귀하가 중요한 데이터가 포함된 웹 서버(사용자 "www" 소유)를 실행 중이고 데스크톱 사용자가 해당 디렉터리에서 작업할 수 있는 권한(읽기, 쓰기, 실행)을 가지고 있다고 가정합니다.
그러나 데스크톱에서 수행하려는 모든 작업(예: 메일 보내기, 음악 듣기, 메시지 보내기 또는 검색)은 이러한 파일과 관련이 없습니다. 요즘 GUI는 모든 것을 더 간단하고 빠르며 전반적으로 더 편안하게 만들고 싶어하므로 Nautilus, Konqueror 또는 기타 파일 관리자에서 실수로 클릭하면우연한파일 삭제, 실수로 클릭하면 데이터가 인터넷을 통해 이메일 첨부 파일로 전송될 수도 있고, 실수로 네트워크를 통해 파일을 공유할 수도 있습니다. - 이러한 모든 위험은 그래픽 데스크톱 환경에서는 클릭 한 번이면 되는 반면, 명령줄에서는 문제가 발생합니다. 동일한 효과를 가지려면 적절한 인수를 사용하여 명령 이름을 지정하십시오.
이제 /etc/fbtab을 사용하여 해당 디렉토리를 소유자 읽기 전용으로 만들도록 loginTell 에 지시할 수 chmod있습니다. 그러면 데스크톱 사용자가 명령줄과 소유자 전용을 사용하여 해당 디렉토리에서 허용되는 경우에도 실수로 아무것도 삭제할 수 없습니다. "www" 디렉터리(어쨌든 데스크톱 액세스 권한이 없어야 함)에서 읽을 수 있습니다.
/dev/ttyC5 0400 /home/user/apache13/www/
예시 2: 로컬 프로젝트에만 해당하는 민감한 데이터
동료와 함께 프로젝트를 진행하고 있고 동료 모두가 자신의 계정을 사용하여 X11 데스크톱에 로그인할 수 있는 액세스 권한을 가지고 있다고 가정해 보겠습니다. 그러나 그들은 X11을 통해서만 프로젝트가 포함된 디렉터리에 액세스할 수 있어야 합니다. 왜냐하면 그들은 명령줄에 대한 경험이 많지 않고 실수로 잘못된 일을 할 수 있기 때문입니다. 따라서 해당 디렉터리에 대한 귀하의 권한은 매우 엄격합니다.
X11의 경우 이 항목은 rwx rwx rx로 변경됩니다.
/dev/ttyC5 0775 /www/groupproject
예 3: 백업 디스크로 사용되는 USB 및 플로피 스토리지
/dev/wd0 및 /dev/wd1의 USB 저장소와 /dev/fd0의 플로피 디스크는 백업에만 사용되므로 이에 대한 액세스를 제한하려고 합니다.
/dev/ttyC5 0400 /dev/wd0:/dev/wd1:/dev/fd0