Spousteni apps v Xkach pres 'su' jako root
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Říjen 16 00:18:31 CEST 2002
On Mon, 14 Oct 2002, Zdenek Pytela wrote:
> Pavel Kankovsky píše:
> > S "Host *" je "ForwardX11 yes" totez, jako kdyz se -X da prakticky
> > pokazde. To znamena, ze at se prihlasim kamkoli, vsude dostanou pristup
> > na muj displej. A to je vec nedobra -- aspon ja se tedy obcas prihlasim
> > z pocitace Q pres SSH na nejaky pocitac P, kteremu neduveruju natolik,
> > abych chtel riskovat, ze se nekdo, kdo se nabori na P (at uz uplne, nebo
> > jen na muj ucet na P), dostane i na muj ucet na Q. Jak se mi totiz nekdo
> > dostane do me seance v X11, tak jsem 0wn3d.
> A kde je tam to riziko nebo úzké hrdlo? Přístup může mít jenom ten,
> kdo má přístup k té ssh seanci přece.
Takze polopaticky:
0. zly uzivatel Marvin naboril pocitac P nebo aspon muj ucet tam
1. ja se prihlasim z Q na P, pricemz mam povolene forwardovani X11
2. SSH klient na Q vyrobi "proxy cookie", posle ji demonovi na P,
ten ji pres xauth ulozi do .Xauthority
3. Marvin otevira muj soubor .Xauthority na P, cte si proxy cookie,
s touto znalosti ziska po dobu trvani seance Q->P pristup na muj
displej na Q
4. Marvin prave uspesne zuzitkoval pristup k displeji k ziskani
kontroly nad mym uctem na Q
5. ja zatim nic netusim a odhlasuji se z P...ale uz je pozde
Jde o ten krok c. 0. Ja proste nechci pro obecne P (napr. nejaky vice ci
mene verejny server s desitkami ci stovkami uzivatelu) riskovat, ze kdyz
se tam nekdo nabori, tak bude mit otevrene dvere i na Q (napr. moje
soukrome PC).
--Pavel Kankovsky aka Peak
"Welcome to the Czech Republic. Bring your own lifeboats."
Další informace o konferenci Linux