RH x HP-UX x ORACLE
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pátek Červen 7 02:38:40 CEST 2002
On Thu, 6 Jun 2002, Vladimír Náprstek wrote:
> 4) pokud obdržíte hlášku o tom, že nelze se připojit na RH, zkuste na
> RH dát xhost +.
Jezisikriste, uz je to tady zase. "Pokud vam nejde elektrika, zkuste
premostit pojistku hodne tlustym dratem." Pouziti xhost + je ekvivaletni
nastaveni prazdneho hesla na prislusny uzivatelsky ucet. Kdokoli se muze
pripojit na ten displej (a neni uplna lama) muze ziskat kontrolu nad vsim,
co na tom displeji je, coz v praxi znamena kontrolu nad uzivatelskym
uctem, pod kterym bezi cela seance, a pripadne i dalsimi ucty, na ktere
je ten uzivatel zrovna prihlaseny. (*)
Kdyz se clovek nekam prihlasuje pres ssh, tak ma pouzit X11 forwarding
v ssh a zadne kejkle s $DISPLAY nebo nedejboze s xhost + nejsou potreba
(pokud neni neco fubar). Navic vsechno chodi skrz ssh zasifrovane.
Pokud nejde pouzit forwarding v ssh, pak existuje jeste moznost zkopirovat
na cilovy system cookie. Tj. na puvodnim systemu spustit "xauth list
$DISPLAY", coz zobrazi treba neco jako "blabla/unix:0
MIT-MAGIC-COOKIE-1 89d0059a54f74d6bb099694fe01d4537", a na cilovem
systemu spustit "xauth add ....", kde ... je vysledek xauth list, akorat
je treba prvni polozku zmenit na $DISPLAY pouzity na cilovem systemu.
Tohle neni tak sqele jako ssh, protoze to lze odposlechnout a pak se na
ten displej stejne pripojit -- aspon pokud to nemate chranene nejakym
IPsecem, ale aspon nemate dvere otevrene uplne dokoran.
(*) Argumenty, ze je to na interni siti, kde jsou vsichni hodni a tak, si
s prominutim strcte nekam. Uz jsme videli i "interni site", ktere byly ve
skutecnosti pristupne rovnou z Internetu.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux