V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
game159
V2EX  ›  问与答

在自己的个人电脑上谈安全,是否就是一个笑话?各种 KEY 随便访问

  •  
  •   game159 · 2022-12-12 21:02:51 +08:00 · 3412 次点击
    这是一个创建于 710 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在自己的个人电脑上谈安全,是否就是一个笑话?
    刚刚突然想到,在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的,还运行内核代码(几乎所有主流网游),好像都可以拿到我的 SSH 私钥。 也可以拿到我所有的 COOKIE 数据 。 访问我硬盘上的所有代码,拿到配置文件中所有的 APPID SECRECT 等敏感数据。随手放在日志里面就传上服务器了。

    那么 Linux 会不会好一点呢?看起来有权限控制 。 实际上平时使用的软件也都能访问到 ~/.ssh/ 的文件,感觉也好不到好儿去。

    大家想想自己的电脑,是不是这么回事呢?
    26 条回复    2022-12-14 11:07:05 +08:00
    HelloAmadeus
        1
    HelloAmadeus  
       2022-12-12 21:10:59 +08:00 via iPhone
    你可以开 selinux 啊,Windows 也有一大堆安全软件能精确控制程序访问的文件。安全但不方便的办法有的是
    Ultraman
        2
    Ultraman  
       2022-12-12 21:13:36 +08:00
    看想要的安全等级了吧,如果你假定电脑上的软件都是木马,那就麻烦一点各个软件扔不同的虚拟机里面去。
    再有不同的数据也应该区分不同的安全等级之类的
    lusi1990
        3
    lusi1990  
       2022-12-12 21:13:48 +08:00 via Android
    需要一个杀毒软件来防护
    xtinput
        4
    xtinput  
       2022-12-12 21:31:39 +08:00
    把私钥文件位置改一下
    systemcall
        5
    systemcall  
       2022-12-12 21:44:23 +08:00
    是的。所以有条件的话,多台机器物理隔离吧
    dingwen07
        6
    dingwen07  
       2022-12-12 21:47:15 +08:00
    你应该信任运行的所有程序,不信任的软件放在虚拟机里面,不信任的游戏就弄一个单独的系统,比如我原神就装在 WTG 上
    Linux 下大多数软件都是自由的,安装的时候有 GPG 签名,理论上没什么问题
    macOS 用软件签名或者 Ad-Hoc 签名,软件可以对私密数据实现访问控制,但是要么软件更新之后无法自动获得访问权限、要么给苹果交钱,不符合自由软件原则
    dingwen07
        7
    dingwen07  
       2022-12-12 21:49:33 +08:00
    Windows 其实早就可以禁止进程间注入以及实现基于软件签名的 Credential Manager 。。。
    ClericPy
        8
    ClericPy  
       2022-12-12 23:03:27 +08:00
    Windows 上主要还是靠上网习惯, 其次是杀软, 不知道现在主防进步到什么程度了, 唉, 如果有个那种性能损失不严重的虚拟机, 我真想 linux 为主, 打游戏走虚拟机
    ysc3839
        9
    ysc3839  
       2022-12-12 23:35:13 +08:00 via Android
    是的,所以我一直说传统桌面操作系统相比移动操作系统来说,运行一个软件是非常危险的,不要运行任何你信不过的软件。就算是做的最好的 macOS ,目前也不能完全限制程序访问用户文件,只能限制访问桌面、下载等几个特定的文件夹。
    以及希望 Windows 和 Linux 尽快加入类似移动操作系统的权限管理机制,但感觉可能性不大。

    @dingwen07 请问 Windows 如何在不依赖第三方软件的情况下禁止进程间注入呢?
    ltkun
        10
    ltkun  
       2022-12-12 23:37:26 +08:00 via Android
    Linux 下的应用都是开源经过审查的哪里来那么多后门 只用开源软件才是认真对待生活的态度
    disk
        11
    disk  
       2022-12-12 23:39:48 +08:00
    敏感数据加密、隔离存储,且不要长时间驻留在内存里。更安全就专机专用。别想着权限控制,在通用机上搞策略迟早把自己烦死。
    ZE3kr
        12
    ZE3kr  
       2022-12-12 23:40:05 +08:00 via iPhone
    SSH key 用 1Password 存,每次都要按指纹。更重要的网站以及 1Passwird 本身用 YubiKey 登录
    jhdxr
        13
    jhdxr  
       2022-12-12 23:40:23 +08:00
    hips 了解一下,比如火绒就可以配置针对某个文件的读取规则。(之前微信等读取 SS 配置文件之所以被发现就是因为有人配置了这样的规则)
    Jirajine
        14
    Jirajine  
       2022-12-13 00:30:51 +08:00   ❤️ 2
    Linux 你可以把不信任的程序放在容器里运行,Windows 根本上就是不安全的,没什么的好说的。至于你说的那些游戏,你猜它们为什么都不能在 Linux 下运行?即使通过 wine/proton 多年的努力。
    4c5577c0ff3f496b
        15
    4c5577c0ff3f496b  
       2022-12-13 01:04:12 +08:00
    光 TPM-backed 就有好几种办法,你又不肯配
    https://github.com/unreality/nCryptAgent
    game159
        16
    game159  
    OP
       2022-12-13 01:56:28 +08:00
    @4c5577c0ff3f496b TPM 。。哈哈哈哈哈,你指的是主板上强制国产,禁止进口的那块芯片吗?
    hyperbin
        17
    hyperbin  
       2022-12-13 08:17:08 +08:00 via Android
    @game159 那市面的一堆预装 Windows11 的电脑装是啥?
    abc8678
        18
    abc8678  
       2022-12-13 08:39:22 +08:00 via Android
    双系统,然后开 bitlocker ,系统相互隔离。每个分区都隔离一下
    villivateur
        19
    villivateur  
       2022-12-13 08:41:29 +08:00
    > 在 WINDOWS 上,几乎所有的软件,特别是游戏,全部都是以 ADMINISTRATOR 权限启动的

    这句话不对,目前我了解到的,只有 LOL 、唐人游这类普及性国产游戏会以管理员权限启动,但一般对安全敏感的人也不会在私密环境下运行这类游戏。

    大部分规范的应用,例如 chrome 等,都可以只以当前用户权限启动,甚至安装。
    opengps
        20
    opengps  
       2022-12-13 09:07:23 +08:00
    真涉密的数据不应该联网,这才有谈安全的基础
    nkidgm
        21
    nkidgm  
       2022-12-13 09:17:49 +08:00
    纯物理机器+操作系统是这样子的,为了安全性后面还出了个 selinux 增加运维人员的负担。

    这也是为什么都主推容器化,容器化对安全的提升不是一丁半点的,轻量 + 隔离性是容器性最大的优势。
    wangerka
        22
    wangerka  
       2022-12-13 09:45:46 +08:00
    @villivateur #19 他可能说的是以管理员权限安装。另外 OP 说的游戏,不包括 steam 里的? steam 里的游戏我没遇到过要权限启动的,好像就 pubg 外挂检测需要
    ScepterZ
        23
    ScepterZ  
       2022-12-13 09:47:52 +08:00
    WeGame 上的游戏是这样的,不知道他们是有什么技术瓶颈解决不了,Steam 的游戏就不需要管理员权限
    xuboying
        24
    xuboying  
       2022-12-13 10:28:01 +08:00
    最简单的办法就是买多台设备硬件隔离啊。
    jurassic2long
        25
    jurassic2long  
       2022-12-13 10:38:26 +08:00
    我曾经有个类似的提问,可以参考一下 https://www.v2ex.com/t/873915
    game159
        26
    game159  
    OP
       2022-12-14 11:07:05 +08:00
    看来结论有了,用多台电脑把国产软件与开源软件物理隔离
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3540 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:25 · PVG 12:25 · LAX 20:25 · JFK 23:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.