Home Sign Up Sign In
game159
V2EX  ›  问与答

在自己的个人电脑上谈安全,是否就是一个笑话?各种 KEY 随便访问

  •   
  •   game159 · Dec 12, 2022 · 4681 views
    This topic created in 1292 days ago, the information mentioned may be changed or developed.
    在自己的个人电脑上谈安全,是否就是一个笑话?
    刚刚突然想到,在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的,还运行内核代码(几乎所有主流网游),好像都可以拿到我的 SSH 私钥。 也可以拿到我所有的 COOKIE 数据 。 访问我硬盘上的所有代码,拿到配置文件中所有的 APPID SECRECT 等敏感数据。随手放在日志里面就传上服务器了。

    那么 Linux 会不会好一点呢?看起来有权限控制 。 实际上平时使用的软件也都能访问到 ~/.ssh/ 的文件,感觉也好不到好儿去。

    大家想想自己的电脑,是不是这么回事呢?
  • ssh
  • 访问
  • 权限
  • 私钥
    26 replies    2022-12-14 11:07:05 +08:00
    HelloAmadeus
        1
    HelloAmadeus  
       Dec 12, 2022 via iPhone
    你可以开 selinux 啊,Windows 也有一大堆安全软件能精确控制程序访问的文件。安全但不方便的办法有的是
    Ultraman
        2
    Ultraman  
       Dec 12, 2022
    看想要的安全等级了吧,如果你假定电脑上的软件都是木马,那就麻烦一点各个软件扔不同的虚拟机里面去。
    再有不同的数据也应该区分不同的安全等级之类的
    lusi1990
        3
    lusi1990  
       Dec 12, 2022 via Android
    需要一个杀毒软件来防护
    xtinput
        4
    xtinput  
       Dec 12, 2022
    把私钥文件位置改一下
    systemcall
        5
    systemcall  
       Dec 12, 2022
    是的。所以有条件的话,多台机器物理隔离吧
    dingwen07
        6
    dingwen07  
       Dec 12, 2022
    你应该信任运行的所有程序,不信任的软件放在虚拟机里面,不信任的游戏就弄一个单独的系统,比如我原神就装在 WTG 上
    Linux 下大多数软件都是自由的,安装的时候有 GPG 签名,理论上没什么问题
    macOS 用软件签名或者 Ad-Hoc 签名,软件可以对私密数据实现访问控制,但是要么软件更新之后无法自动获得访问权限、要么给苹果交钱,不符合自由软件原则
    dingwen07
        7
    dingwen07  
       Dec 12, 2022
    Windows 其实早就可以禁止进程间注入以及实现基于软件签名的 Credential Manager 。。。
    ClericPy
        8
    ClericPy  
       Dec 12, 2022
    Windows 上主要还是靠上网习惯, 其次是杀软, 不知道现在主防进步到什么程度了, 唉, 如果有个那种性能损失不严重的虚拟机, 我真想 linux 为主, 打游戏走虚拟机
    ysc3839
        9
    ysc3839  
       Dec 12, 2022 via Android
    是的,所以我一直说传统桌面操作系统相比移动操作系统来说,运行一个软件是非常危险的,不要运行任何你信不过的软件。就算是做的最好的 macOS ,目前也不能完全限制程序访问用户文件,只能限制访问桌面、下载等几个特定的文件夹。
    以及希望 Windows 和 Linux 尽快加入类似移动操作系统的权限管理机制,但感觉可能性不大。

    @dingwen07 请问 Windows 如何在不依赖第三方软件的情况下禁止进程间注入呢?
    ltkun
        10
    ltkun  
       Dec 12, 2022 via Android
    Linux 下的应用都是开源经过审查的哪里来那么多后门 只用开源软件才是认真对待生活的态度
    disk
        11
    disk  
       Dec 12, 2022
    敏感数据加密、隔离存储,且不要长时间驻留在内存里。更安全就专机专用。别想着权限控制,在通用机上搞策略迟早把自己烦死。
    ZE3kr
        12
    ZE3kr  
       Dec 12, 2022 via iPhone
    SSH key 用 1Password 存,每次都要按指纹。更重要的网站以及 1Passwird 本身用 YubiKey 登录
    jhdxr
        13
    jhdxr  
       Dec 12, 2022
    hips 了解一下,比如火绒就可以配置针对某个文件的读取规则。(之前微信等读取 SS 配置文件之所以被发现就是因为有人配置了这样的规则)
    Jirajine
        14
    Jirajine  
       Dec 13, 2022   ❤️ 2
    Linux 你可以把不信任的程序放在容器里运行,Windows 根本上就是不安全的,没什么的好说的。至于你说的那些游戏,你猜它们为什么都不能在 Linux 下运行?即使通过 wine/proton 多年的努力。
    4c5577c0ff3f496b
        15
    4c5577c0ff3f496b  
       Dec 13, 2022
    光 TPM-backed 就有好几种办法,你又不肯配
    https://github.com/unreality/nCryptAgent
    game159
        16
    game159  
    OP
       Dec 13, 2022
    @4c5577c0ff3f496b TPM 。。哈哈哈哈哈,你指的是主板上强制国产,禁止进口的那块芯片吗?
    hyperbin
        17
    hyperbin  
       Dec 13, 2022 via Android
    @game159 那市面的一堆预装 Windows11 的电脑装是啥?
    abc8678
        18
    abc8678  
       Dec 13, 2022 via Android
    双系统,然后开 bitlocker ,系统相互隔离。每个分区都隔离一下
    villivateur
        19
    villivateur  
       Dec 13, 2022
    > 在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的

    这句话不对,目前我了解到的,只有 LOL 、唐人游这类普及性国产游戏会以管理员权限启动,但一般对安全敏感的人也不会在私密环境下运行这类游戏。

    大部分规范的应用,例如 chrome 等,都可以只以当前用户权限启动,甚至安装。
    opengps
        20
    opengps  
       Dec 13, 2022
    真涉密的数据不应该联网,这才有谈安全的基础
    nkidgm
        21
    nkidgm  
       Dec 13, 2022
    纯物理机器+操作系统是这样子的,为了安全性后面还出了个 selinux 增加运维人员的负担。

    这也是为什么都主推容器化,容器化对安全的提升不是一丁半点的,轻量 + 隔离性是容器性最大的优势。
    wangerka
        22
    wangerka  
       Dec 13, 2022
    @villivateur #19 他可能说的是以管理员权限安装。另外 OP 说的游戏,不包括 steam 里的? steam 里的游戏我没遇到过要权限启动的,好像就 pubg 外挂检测需要
    ScepterZ
        23
    ScepterZ  
       Dec 13, 2022
    WeGame 上的游戏是这样的,不知道他们是有什么技术瓶颈解决不了,Steam 的游戏就不需要管理员权限
    xuboying
        24
    xuboying  
       Dec 13, 2022
    最简单的办法就是买多台设备硬件隔离啊。
    jurassic2long
        25
    jurassic2long  
       Dec 13, 2022
    我曾经有个类似的提问,可以参考一下 https://www.v2ex.com/t/873915
    game159
        26
    game159  
    OP
       Dec 14, 2022
    看来结论有了,用多台电脑把国产软件与开源软件物理隔离
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   985 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 113ms · UTC 19:02 · PVG 03:02 · LAX 12:02 · JFK 15:02
    ♥ Do have faith in what you're doing.