Ubuntuのシステムプロンプトは私のパスワードを偽装できませんか？

あなたの主張はすべて適切であり、正しいですが、私たちがそれに憤慨する前に、Linuxセキュリティモデルがどのように機能し、どのように設計されているかを思い出す必要があります。

Linuxセキュリティモデルは、マルチユーザーの端末専用サーバーまたはSSHサーバーを念頭に置いて設計されていることに注意してください。 Windowsはエンドユーザーワークステーションを念頭に置いて設計されています（ただし、最近の世代のWindowsはよりターミナルフレンドリーであると聞きました）。特に、Linuxの規則はアプリをユーザーにサンドボックス化するのに適していますが、Windowsでは重要なものはすべてシステムとして実行されますが、Linux GUI（Xサーバー）はセキュリティを弱め、Windows GUIにはUACが組み込まれています。基本的に、Linuxはサーバーであり、常にワークステーションが2番目ですが、Windowsはその逆です。

セキュリティモデル

「OS」（つまりカーネル）に関する限り、7つのttyコンソールと任意の数のSSH接続（別名「ログインセッション」）があります。ubuntuには、GUIを自動起動するスクリプトが付属していることがよくありますtty7セッションですが、カーネルにとっては別のアプリケーションです。

ログインセッションとユーザーアカウントは互いに適切にサンドボックス化されていますが、Linuxはユーザーを自分自身から保護する必要がないというセキュリティの考え方を取り入れています。このセキュリティモデルでは、アカウントがマルウェアに感染した場合、それは失われた原因ですが、システム全体を保護するために他のアカウントから隔離する必要があります。

たとえば、LinuxアプリはApacheやftpのような低い権限のユーザーを作成する傾向があり、rootを実行する必要がないときに実行されます。攻撃者が実行中のApacheプロセスを制御できた場合、他のApacheプロセスをマックアップできますが、ftpプロセスにジャンプするのに問題があります。

ここでは、Windowsが根本的に異なるアプローチを取っていることに注意してください。主に、すべての重要なものが常にシステムとして実行されるという慣例に基づいています。 Linuxの悪意のあるサービスは、システムとして実行されている悪意のあるプロセスよりも悪意のある行為を行う範囲が少ないため、Windows needs管理者権限を持つユーザーを「自分自身」から保護するために特別な努力をする必要があります。

セキュリティのために設計されていないGUI環境とXサーバーは、このセキュリティモデルにレンチを投げ込みます。

Gnome gksudo対Windows UAC、およびキーロガー

Windowsでは、ユーザープロセスが特権の昇格を要求すると、カーネルは特別な保護されたプロンプトをスローし、そのメモリとキーボード/マウスバスがデスクトップ環境の他の部分から分離されます。 GUIがOSに組み込まれているため、これを行うことができます。 Linuxでは、GUI（Xサーバー）は単なる別のアプリケーションであるため、パスワードプロンプトは、それらを呼び出したプロセスに属し、ユーザーとして実行され、メモリのアクセス許可と入力バスを他のすべてのウィンドウおよびプロセスと共有します。

Rootプロンプトは、すでにrootである必要があるか、Xサーバーを完全に再設計する必要があるため、キーボードをロックするという素晴らしいUACのことはできません（以下のWaylandを参照）。この場合、GUIをカーネルから分離することのマイナス面であるcatch-22。しかし、少なくともLinuxのセキュリティモデルに準拠している。

同じGUIセッションでユーザーとして実行されているパスワードプロンプトと他のプロセスの間にサンドボックスを追加することにより、これを制限するためにセキュリティモデルを修正する場合、非常に多くのことを書き直す必要があります。少なくとも、カーネルはプロンプトを作成できるようにGUIを認識する必要があります（今日は当てはまりません）。もう1つの主な例は、GUIセッションのすべてのプロセスがキーボードバスを共有することです。

キーロガーを作成してからいくつかのキーを押すのを見てください別のウィンドウで：

➜  ~ xinput list  
⎡ Virtual core pointer                      id=2    [master pointer (3)]
⎜   ↳ Virtual core XTEST pointer            id=4    [slave  pointer  (2)]
⎜   ↳ Logitech K400 Plus                    id=9    [slave  pointer  (2)]
⎜   ↳ ETPS/2 Elantech Touchpad              id=13   [slave  pointer  (2)]
➜  ~ xinput test 9
key release 36 
key press   44 
hkey release 44 
key press   40 
ekey release 40 
key press   33 
lkey release 33 
key press   33 
lkey press   39 
okey release 33 
key release 39 
key press   66 
key press   31

別のプロセスのプロンプトまたはターミナルでパスワードを盗聴し、それ自体でSudoを呼び出すことができるように実行されているプロセス（これは「ユーザーを保護する必要がない」という考え方から直接続く）なので、パスワードプロンプトのセキュリティを強化しても意味がありません私たちは根本的にセキュリティモデルを変更し、あらゆる種類の大規模な書き換えを行います。

（Gnomeは、ロック画面のキーボードバスと「ユーザーの切り替え」を介した新しいセッションを少なくともサンドボックス化しているように見えるので、そこで入力したものがセッションのキーボードバスに表示されないことに注意してください）

ウェイランド

Waylandは、X11の置き換えを目的とした新しいプロトコルです。クライアントアプリケーションをロックダウンして、情報を盗んだり、ウィンドウの外に影響を与えたりできないようにします。クライアントが外部の外部と相互に通信できる唯一の方法IPC=すべてを制御するコンポジターを通過することです。ただし、これは根本的な問題を修正せず、単にニーズを変更します合成者への信頼のため。

仮想化とコンテナー

クラウドテクノロジーを使用している場合は、おそらく「Dockerが答えです!!」と言って上下にジャンプしています。確かに、あなたのためのブラウニーポイント。 Docker自体はセキュリティの強化を意図したものではありませんが（@SvenSlootwegに感謝）、現在のLinuxアーキテクチャと互換性のあるフォワードとしてコンテナー化や仮想化を使用することを示しています。

プロセス間分離を念頭に置いて構築された2つの注目すべきLinuxディストリビューション：

Qubes OSこれは、仕事、銀行、Webブラウジングなどの「セキュリティドメイン」に分離された複数のVM内でユーザーレベルのアプリを実行します。

Androidこれは、各アプリを個別の低特権ユーザーとしてインストールして実行することで、アプリ間でプロセスレベルの分離とファイルシステムの分離（各アプリは独自のホームディレクトリに限定されます）を実現します。

ボトムライン：エンドユーザーの観点から見ると、LinuxがWindowsと同じように動作することを期待することは不合理ではありませんが、これは、その方法について少し理解する必要があるケースの1つです。基礎となるシステムが機能し、そのように設計された理由。パスワードプロンプトの実装を変更するだけでは、それがユーザーが所有するプロセスによって所有されている限り、何も起こりません。 LinuxがシングルユーザーGUIワークステーションのコンテキストでWindowsと同じセキュリティ動作を得るには、OSの大幅な再設計が必要になるため、起こりそうにありませんが、Dockerなどの方法により、より多くのLinux-ネイティブの方法。

この場合の重要な違いは、Linuxは低レベルでマルチユーザーサーバーとして設計されており、ユーザーが自分からユーザーを保護しないことを決定するのに対し、Windowsはシングルユーザーワークステーションとして設計されていることです。そのため、ログインセッション内でプロセス間保護を行う必要があります。また、WindowsではGUIがOSの一部であるのに対し、LinuxではGUIがユーザーレベルのアプリケーションの1つにすぎないことも重要です。