Par exemple, quelqu'un crée une fausse boîte de dialogue d'authentification pour obtenir mon mot de passe root. Comment savoir si c'est réel ou faux?
Donc, vous êtes [probablement] en train de regarder un message d'escalade de PolicyKit. Tous ceux qui n’ont pas l’un de ceux qui veulent jouer peuvent simplement courir pkexec echo
(ou quelque chose comme ça) et ils auront quelque chose de similaire.
Vous pouvez obtenir des informations sur une fenêtre avec xprop
et vous pouvez obtenir des informations sur les commandes avec ps
alors combinons-les! Avant de continuer sur Steam, parce que nous sommes super paranoïaques, j'utilise des chemins complets au cas où quelqu'un aurait ajouté une copie piratée de l'une de ces commandes. Voici moi qui le lance sur ma boîte pkexec echo
:
$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
PID TTY STAT TIME COMMAND
3989 ? Sl 0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1
Donc, autant que nous puissions en juger (notez que je suis un utilisateur de KDE), il s'agit d'une invite légitime. Il ne s'agit pas d'un script local, donc tant que quelque chose de mal n'a pas encore ancré le système (mais bon, pourquoi auraient-ils encore besoin de notre mot de passe?), Nous sommes probablement en sécurité.
Dans le cas de gksu
, kdesu
et pkexec
, les invites sont assez explicites sur ce qu'elles vont exécuter. Dans le cas des deux premiers, la commande ci-dessus vous indiquera ce qu'ils prévoient d'exécuter:
$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
PID TTY STAT TIME COMMAND
10395 ? Sl 0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic
Dans le cas de PolicyKit, vous pouvez cliquer sur cet onglet de détails pour voir quelle autorisation il souhaite exécuter. Dans KDE, vous verrez également le PID de l'appelant qui peut être recherché (ps <PID>
). Voici à quoi cela ressemble dans KDE:
Vous pouvez survoler l'action et obtenir la stratégie PolicyKit qu'il souhaite exécuter. Dans Ubuntu, la politique est affichée par défaut. Ces politiques peuvent être consultées. Celui ci-dessus provient de /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policy
et d'un service spécifié dans /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service
. Vous pouvez voir ce qui se passe et par qui. Et ces services ne peuvent être ajoutés que par root. Par conséquent, à moins que vous ne soyez déjà enraciné, vous pouvez probablement leur faire confiance.
PolicyKit a ces règles et services afin que les actions select puissent être effectuées en tant que root sans avoir à exécuter tout le processus de cette manière. Vous devez cependant rester vigilant. Évidemment, si vous exécutez gnome-calculator
et un org.freedesktop.policykit.exec
Invite apparaît, quelque chose est louche.
Ce n’est peut-être rien d’autre que des recherches avant de saisir votre mot de passe. Après, il est trop tard.
Et même si tout est légitime, qui peut dire que de toute façon, aucun enregistreur de frappe ne vole tous vos mots de passe? Ou quelque chose qui dépasse $PATH
ou qui a jeté quelque chose d'horrible dans votre ~/.bashrc
qui donne l'impression que vous n'avez pas été piraté? Je suis assez sûr qu'avec suffisamment de concentration, vous pourriez contourner toutes les procédures de détection ci-dessus.
Dormez bien.