在自己的个人电脑上谈安全,是否就是一个笑话?各种 KEY 随便访问

2022-12-12 21:02:51 +08:00
 game159
在自己的个人电脑上谈安全,是否就是一个笑话?
刚刚突然想到,在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的,还运行内核代码(几乎所有主流网游),好像都可以拿到我的 SSH 私钥。 也可以拿到我所有的 COOKIE 数据 。 访问我硬盘上的所有代码,拿到配置文件中所有的 APPID SECRECT 等敏感数据。随手放在日志里面就传上服务器了。

那么 Linux 会不会好一点呢?看起来有权限控制 。 实际上平时使用的软件也都能访问到 ~/.ssh/ 的文件,感觉也好不到好儿去。

大家想想自己的电脑,是不是这么回事呢?
3145 次点击
所在节点    问与答
26 条回复
HelloAmadeus
2022-12-12 21:10:59 +08:00
你可以开 selinux 啊,Windows 也有一大堆安全软件能精确控制程序访问的文件。安全但不方便的办法有的是
Ultraman
2022-12-12 21:13:36 +08:00
看想要的安全等级了吧,如果你假定电脑上的软件都是木马,那就麻烦一点各个软件扔不同的虚拟机里面去。
再有不同的数据也应该区分不同的安全等级之类的
lusi1990
2022-12-12 21:13:48 +08:00
需要一个杀毒软件来防护
xtinput
2022-12-12 21:31:39 +08:00
把私钥文件位置改一下
systemcall
2022-12-12 21:44:23 +08:00
是的。所以有条件的话,多台机器物理隔离吧
dingwen07
2022-12-12 21:47:15 +08:00
你应该信任运行的所有程序,不信任的软件放在虚拟机里面,不信任的游戏就弄一个单独的系统,比如我原神就装在 WTG 上
Linux 下大多数软件都是自由的,安装的时候有 GPG 签名,理论上没什么问题
macOS 用软件签名或者 Ad-Hoc 签名,软件可以对私密数据实现访问控制,但是要么软件更新之后无法自动获得访问权限、要么给苹果交钱,不符合自由软件原则
dingwen07
2022-12-12 21:49:33 +08:00
Windows 其实早就可以禁止进程间注入以及实现基于软件签名的 Credential Manager 。。。
ClericPy
2022-12-12 23:03:27 +08:00
Windows 上主要还是靠上网习惯, 其次是杀软, 不知道现在主防进步到什么程度了, 唉, 如果有个那种性能损失不严重的虚拟机, 我真想 linux 为主, 打游戏走虚拟机
ysc3839
2022-12-12 23:35:13 +08:00
是的,所以我一直说传统桌面操作系统相比移动操作系统来说,运行一个软件是非常危险的,不要运行任何你信不过的软件。就算是做的最好的 macOS ,目前也不能完全限制程序访问用户文件,只能限制访问桌面、下载等几个特定的文件夹。
以及希望 Windows 和 Linux 尽快加入类似移动操作系统的权限管理机制,但感觉可能性不大。

@dingwen07 请问 Windows 如何在不依赖第三方软件的情况下禁止进程间注入呢?
ltkun
2022-12-12 23:37:26 +08:00
Linux 下的应用都是开源经过审查的哪里来那么多后门 只用开源软件才是认真对待生活的态度
disk
2022-12-12 23:39:48 +08:00
敏感数据加密、隔离存储,且不要长时间驻留在内存里。更安全就专机专用。别想着权限控制,在通用机上搞策略迟早把自己烦死。
ZE3kr
2022-12-12 23:40:05 +08:00
SSH key 用 1Password 存,每次都要按指纹。更重要的网站以及 1Passwird 本身用 YubiKey 登录
jhdxr
2022-12-12 23:40:23 +08:00
hips 了解一下,比如火绒就可以配置针对某个文件的读取规则。(之前微信等读取 SS 配置文件之所以被发现就是因为有人配置了这样的规则)
Jirajine
2022-12-13 00:30:51 +08:00
Linux 你可以把不信任的程序放在容器里运行,Windows 根本上就是不安全的,没什么的好说的。至于你说的那些游戏,你猜它们为什么都不能在 Linux 下运行?即使通过 wine/proton 多年的努力。
4c5577c0ff3f496b
2022-12-13 01:04:12 +08:00
光 TPM-backed 就有好几种办法,你又不肯配
https://github.com/unreality/nCryptAgent
game159
2022-12-13 01:56:28 +08:00
@4c5577c0ff3f496b TPM 。。哈哈哈哈哈,你指的是主板上强制国产,禁止进口的那块芯片吗?
hyperbin
2022-12-13 08:17:08 +08:00
@game159 那市面的一堆预装 Windows11 的电脑装是啥?
abc8678
2022-12-13 08:39:22 +08:00
双系统,然后开 bitlocker ,系统相互隔离。每个分区都隔离一下
villivateur
2022-12-13 08:41:29 +08:00
> 在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的

这句话不对,目前我了解到的,只有 LOL 、唐人游这类普及性国产游戏会以管理员权限启动,但一般对安全敏感的人也不会在私密环境下运行这类游戏。

大部分规范的应用,例如 chrome 等,都可以只以当前用户权限启动,甚至安装。
opengps
2022-12-13 09:07:23 +08:00
真涉密的数据不应该联网,这才有谈安全的基础

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/902042

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX