Spousteni apps v Xkach pres 'su' jako root

[Pavel Kankovsky]

On Mon, 14 Oct 2002, Zdenek Pytela wrote:

> Pavel Kankovsky píše:
> > S "Host *" je "ForwardX11 yes" totez, jako kdyz se -X da prakticky
> > pokazde. To znamena, ze at se prihlasim kamkoli, vsude dostanou pristup
> > na muj displej. A to je vec nedobra -- aspon ja se tedy obcas prihlasim
> > z pocitace Q pres SSH na nejaky pocitac P, kteremu neduveruju natolik,
> > abych chtel riskovat, ze se nekdo, kdo se nabori na P (at uz uplne, nebo
> > jen na muj ucet na P), dostane i na muj ucet na Q. Jak se mi totiz nekdo
> > dostane do me seance v X11, tak jsem 0wn3d.
> 	A kde je tam to riziko nebo úzké hrdlo? Přístup může mít jenom ten,
> kdo má přístup k té ssh seanci přece.

Takze polopaticky:

0. zly uzivatel Marvin naboril pocitac P nebo aspon muj ucet tam
1. ja se prihlasim z Q na P, pricemz mam povolene forwardovani X11
2. SSH klient na Q vyrobi "proxy cookie", posle ji demonovi na P,
   ten ji pres xauth ulozi do .Xauthority
3. Marvin otevira muj soubor .Xauthority na P, cte si proxy cookie,
   s touto znalosti ziska po dobu trvani seance Q->P pristup na muj
   displej na Q
4. Marvin prave uspesne zuzitkoval pristup k displeji k ziskani
   kontroly nad mym uctem na Q
5. ja zatim nic netusim a odhlasuji se z P...ale uz je pozde

Jde o ten krok c. 0. Ja proste nechci pro obecne P (napr. nejaky vice ci
mene verejny server s desitkami ci stovkami uzivatelu) riskovat, ze kdyz
se tam nekdo nabori, tak bude mit otevrene dvere i na Q (napr. moje
soukrome PC).

--Pavel Kankovsky aka Peak
"Welcome to the Czech Republic. Bring your own lifeboats."