prilis zabezpeceny XServer

Leos Literak literakl na centrum.cz
Středa Květen 31 18:50:05 CEST 2000 

> From: Pavel Kankovsky <peak na argo.troja.mff.cuni.cz>

> > mam problem s XWindows. 
> Za trest napisete stokrat "X Window System Version 11 Release 6.3". :) 

X Window System Version 11 Release 6.3
X Window System Version 11 Release 6.3
X Window System Version 11 Release 6.3
X Window System Version 11 Release 6.3
 
mam pokracovat v mackani prostredniho tlacitka? :-)

> > AUDIT: Tue May 30 18:15:44 2000: 712 X: client 15 rejected from local 
> > Pritom mezi bezicimi aplikacemi kppp figuruje. 
> To muze bud znamenat, ze to bud ukazuje blbe, nebo si kppp naslo jinou 
> cestu, jak se pripojit, nebo ze je kppp ve skutecnosti vic (aspon 2) X 
> klientu najednou a nepripojil se jen jeden z nich. 

uzivatel literakl spusti kppp, ten vyzada heslo roota skrze dialog,
pak nejak zmeni svuj uid na roota. jenze spustene okno kppp se
neobjevi,
protoze jej odmitne .. mozna xlib. prestoze se tedy nevytvori graficke
rozhrani, kppp bezi pod rootem, coz potvrdi vypis bezicich procesu

> Zkuste si precist rpm -q --changelog XFree86. 
nic zajimaveho
 
> Vtip muze byt v tom, ze su spusti pam_xauth, ktery AFAIK udela to, ze 
> prekopiruje relevantni zaznam mezi .Xauthority zucastnenych uzivatelu. 

hmm, to je mozne. jakym zpusobem se ale meni vlastnik kppp? pres su
asi ne. v terminalu totiz posloupnost su, kppp funguje.

> > Jenze zarazejici je, ze nekdy ani toto nepomuze a nekdy 
> > se dokonce nespousteji ani moje vlastni programy! 
> To jako spoustite "moje vlastni programy" pod rootem, nebo jak to mame 
> chapat? A "nekdy" znamena zcela nahodile, nebo (aspon lokalne) 

mel jsem na mysli, ze jsem nemohl spustit zadnou aplikaci jako
literakl
at jsem klikl na cokoliv, nic se nespustilo, jen na konzoli se objevil
dalsi radek Audit: .. "Moje vlastni" rovna se procesy spoustene
prihlasenym
uzivatelem. nenasel jsem zadnou zakonitost. pomohlo uplne odhlaseni z
KDE
a nove prihlaseni.

pamatuju si, jak pred par lety si nekteri uzivatele v ucebne na
univerzite
"hrali" a spousteli aplikace na pocitacich svych kamaradu. kdyz vam
nekdo 
otevre sto oken xeyes na vasi pracovni stanici, tak to nastve. horsi
by bylo,
kdyby napsal aplikaci, ktera by cetla uhozy do klavesnice a zapisovala
by je nekam do souboru. neznam moc xlib, ale pokud by takova aplikace
nemela
okno, byla by idealni na kradeni hesel. takze toto je podle mne duvod,
proc
se tak zprisnila pravidla a cizi uzivatele nesmi spoustet aplikace na
jinem
displayi. 

> deterministicky? V kazdem pripade nic nezkazite, kdyz pouzijete vhodny 
> trasovaci nastroj a zjistite, cim se vlastne ten nefungujici klient snazi 
> prokazat sve opravneni. 

pouziva to program /usr/sbin/userhelper, coz ma byt nejaky interface
k pam. trochu jsem si hral s promennou session v /etc/pam.d/kppp, ale
nepomohlo
to.

		LL

-- Leos Literak   http://www.penguin.cz/~literakl/
-- Email          literakl na centrum.cz  literakl na penguin.cz
-- Linux Hardware http://hardware.penguin.cz/

Další informace o konferenci Linux