如何信任系统图标？

Question

有时，我注意到一个指示挂起更新的通知图标，或者只是弹出更新管理器，请求下载一些更新。然后，当我想通过它，我被要求我的密码。在这一点上，我如何知道我正在交互的图标和窗口确实来自真正的更新管理器，而不是某个视觉上模仿它以获得我的密码的流氓过程？请注意，这是一个不只是更新管理器的一般性问题。验证窗口来源的最简单方法是什么？

Answer 1

您可以随时检查/var/log/auth.log。每个身份验证请求都将进入日志。例如，当我手动打开更新管理器时的一个条目，当弹出请求更新时取消：

Sep 30 00:07:13 eagle pkexec[17815]: xieerqi: Executing command [USER=root] [TTY=unknown] [CWD=/home/xieerqi] [COMMAND=/usr/lib/update-notifier/package-system-locked]

这是手动运行apt-get：

Sep 30 00:10:24 eagle sudo:  xieerqi : 1 incorrect password attempt ; TTY=pts/6 ; PWD=/home/xieerqi ; USER=root ; COMMAND=/usr/bin/apt-get update

正如您所看到的，命令字段告诉您哪个应用程序请求root特权。在那里，您可以通过扫描该可执行文件的clamav或类似工具来检查它的完整性。如果你真的担心那个可执行文件会被破坏，比如检查它是SHA，

sha1sum /usr/bin/apt-get

如果以某种方式改变了它，您将看到sha1sum的不同输出。

最后，请记住对所有强密码进行良好的安全操作，并且不能远程访问您的系统(除非您确实需要它)。

Answer 2

我认为验证窗口来源的最好方法是使用类似于告诉进程PID在它的窗口？的解决方案。

这将给出该窗口来自哪个进程。然后，您可以去验证进程的身份，以确保它不是来自一个流氓程序。有点像https://superuser.com/questions/632979/if-i-know-the-pid-number-of-a-process-how-can-i-get-its-name