XServer pristupny pro ruzne uzivatele

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Únor 25 03:31:46 CET 2001


On Thu, 22 Feb 2001, David Janko wrote:

> Jako  ten user co spustil Xka spust:
> xhost +
> tim se povoli connect vsem ostatnim ...

A az se nekdo zepta, jak uvolnit misto na disku, tak mu poradite, aby
udelal rm -rf /? :)

xhost + povoli pristup vsem, co se mohou na X server pripojit. Pokud mate
pocitac zapojeny v siti (a nespoustite X server s -nolisten tcp nebo tak
nejak), pak je to vec krajne nebezpecna (de facto davate komukoli kontrolu
nad svym uctem).

Spravnejsi postup je ten, ze pouzijete program xauth(1). Prikazem xauth
list $DISPLAY vypisete autorizacni data pro svuj displej (nejcasteji tzv.
cookie), ktera pak na cilovem ucte pridate do souboru .Xauthority pomoci
xauth add (a pak odstranite pomoci xauth remove). PAM modul pam_xauth
tohle AFAIK automatizuje.

Nebo misto su apod. pouzijete ssh s forwardovanim X11. Sifrovani pres
loopback je sice do znacne miry vyhazovani vykonu procesoru oknem ven, ale
ssh jednak vyse uvedeny postup take automatizuje, jednak zajisti to, ze
cilovy ucet dostane pouze falesnou nahrazku za skutecne cookie, takze je
ponekud omezeno riziko, ze by nekdo jiny majici kontrolu nad cilovym
uctem, mohl ziskat pristup k displeji pote, co se z toho ciloveho uctu
odlogujete.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."




Další informace o konferenci Linux