锁定屏幕安全吗？

Question

参见USB驱动程序错误公开为“Linux插件和pwn”或此链接

侏儒，费多拉14有两种选择：

1. 使用gnome-screensaver
2. 使用“交换机用户”函数gnome菜单->注销->交换机用户

所以问题是:如果用户离开pc，哪一种方法能更安全地锁定屏幕？

使用2方法确实更安全吗？在我看来，gnome-screensaver只是一个“过程”，它可能会被杀死。但是，如果您使用注销/切换用户函数，它就是“其他东西”。使用“交换机用户”功能，是否会出现类似于gnome-screensaver的问题？有人会“杀死一个进程”而presto...the锁被移除吗？GDM ?？“登录窗口进程”会被杀死，“锁”会被拥有吗？

如果2方法更安全，那么我如何在GNOME面板上放置一个图标，通过单击1下启动"switch user“操作？

Answer 1

好吧，您的第一个链接是关于内核模式、任意性代码执行的，对此您可以做的不多。注销也没什么用。格莱西和PaX可以阻止这种情况，但我不确定。它当然可以防止引入新的可执行代码，但我找不到任何证据表明它将内核代码的位置随机化，这意味着利用漏洞可以使用已在可执行内存中的代码执行任意操作(一种称为面向返回的编程的方法)。由于这种溢出发生在堆上，用-fstack-protector-all编译内核不会有帮助。保持最新的内核和人的摆设似乎是你最好的选择。

第二种方法是写得不好的屏幕保护程序的结果，这意味着注销可以防止这个特定的错误。即使攻击者杀死了GDM，他也不会进去。试着从SSH杀了它。您得到一个黑色屏幕或文本模式控制台。除了AFAIK之外，GDM还以root身份运行(如登录)，因此攻击者需要root权限才能杀死它。

切换用户没有这种效果。当您切换用户时，屏幕将使用屏幕保护程序锁定，并在下一个虚拟终端上启动GDM。您可以按ctrl键+丙氨酸氨基转移酶+f7键返回到buggy屏幕保护程序。