O bloqueio da tela é seguro?

Veja o bug do driver USB exposto como "Linux plug & pwn" ou este link

Duas opções [GNOME, Fedora 14]:

1. Use o gnome-screensaver
2. Use a função "alternar usuário" [menu gnome -> desconectar -> alternar usuário]

Então a pergunta é: qual é o método mais seguro para bloquear a tela se um usuário sair do PC?

É verdade que o uso do método [2] é mais seguro? Do jeito que eu vejo, gnome-screensaveré apenas um "processo", poderia ser morto. Mas se você usar a função de logout / switch do usuário, é "outra coisa". Usando a função "alternar usuário", poderia haver um problema como com o gnome-screensaver? Alguém poderia "matar um processo" e pronto ... o bloqueio foi removido? O GDM [??] "processo de janelas de login" foi morto e o "bloqueio" foi possuído?

Se o método [2] for mais seguro, como posso colocar um ícone no painel GNOME para iniciar a ação "alternar usuário" com um clique?

Bem, seu primeiro link é sobre a execução arbitrária de código no modo kernel, não há muito o que você possa fazer contra isso. Sair não ajudará. Grsecurity e PaX podem impedir isso, mas não tenho certeza. Ele certamente protege contra a introdução de novo código executável, mas não consigo encontrar nenhuma evidência de que randomize onde o código do kernel está localizado, o que significa que uma exploração poderia usar o código já existente na memória executável para executar operações arbitrárias (um método conhecido como retorno orientado) programação ). Como esse estouro ocorre no heap, a compilação do kernel -fstack-protector-allnão ajuda. Manter o kernel atualizado e as pessoas com pendrives afastados parece ser sua melhor aposta.

O segundo método é o resultado de um protetor de tela mal escrito, o que significa que o logout evita esse bug específico. Mesmo que o atacante mate o GDM, ele não entrará. Tente matar você mesmo do SSH. Você obtém uma tela preta ou um console em modo de texto. Além do AFAIK, o GDM é executado como root (como o login), portanto o invasor precisa de privilégios de root para matá-lo.

A troca de usuários não tem esse efeito. Quando você muda de usuário, a tela é bloqueada com o protetor de tela e o GDM é iniciado no próximo terminal virtual. Você pode pressionar [ctrl] + [alt] + [f7] para voltar ao protetor de tela de buggy.