Почему X11 представляет угрозу безопасности на серверах?
Говоря с разработчиками Ubuntu, текущим значением по умолчанию является сохранение трех предыдущих версий привязки, чтобы при необходимости можно вернуться к предыдущей версии. Этот параметр по умолчанию не настраивается.
Вы можете использовать команду snap remove --revision=<an old one> snapname, чтобы удалить более старую ревизию привязки.
Они рассматривают, нужно ли иметь только текущую привязку в качестве файловая система цикла, но я не знаю ее статуса.
3 ответа
Каждый запущенный процесс представляет собой угрозу безопасности. В частности, те, которые прослушивают сетевой порт (X11 делает).
Общей хорошей практикой является не запуск чего-либо на сервере, который не обязательно должен быть там, и X11, конечно, не нужно на сервере, на котором вы будете SSH.
Я сомневаюсь, что в прочитанной вами статье речь шла об определенной уязвимости в X11 (при этом было бы исправлено, если это так, уязвимости не имеют тенденций зависать, длинный), а скорее просто общая хорошая практика.
-
1В большинстве современных дистрибутивов Linux (например, Ubuntu) X-сервер по умолчанию не прослушивает сетевой порт, а только принимает локальные подключения через сокеты домена. – Florian Diesch 6 February 2012 в 17:35
-
2@FlorianDiesch Даже на unconfigured один от сервера? – Amith KK 6 February 2012 в 17:55
-
3Big +1 за то, что X11 является сетевым сервером. – Stefano Palazzo♦ 6 February 2012 в 17:57
-
4Амит: Да. xinit / startx использует -nolisten tcp по умолчанию – Florian Diesch 6 February 2012 в 18:13
Это связано с тем, что система X Window представляет серьезную угрозу безопасности, если она не защищена должным образом. X11 «дисплей» - это сервер X11, работающий на вашем рабочем столе и включающий экран, клавиатуру и мышь. Если ваш дисплей X11 небезопасен, он позволит программе, работающей в любом месте в Интернете, подключиться к ней, и соединение может быть полностью невидимым для вас. После подключения эта программа имеет полный доступ к вашему дисплею, что означает, что она может:
Просматривать и копировать содержимое экрана, используя стандартные служебные программы X11; Контролируйте свои нажатия клавиш; Удаленно управляйте любым браузером Netscape на рабочем столе и нажатиями клавиш Forge, как если бы вы сами их вводили (хотя не все приложения X11 восприимчивы к этому).Правило большого пальца НЕ использовать xhost + - он полностью отключает защиту вашего экрана.
Хорошим способом является пересылка X через ssh
Снято с: http://www2.slac.stanford.edu/computing/security/xwindow/
-
1Эта статья составляет около 10 лет. Сохранена ли информация? – Stefano Palazzo♦ 6 February 2012 в 17:32
-
2
-
3xhost + не может переопределить -nolisten tcp, но просто откройте до любого соединения с localhost. – alanc 11 March 2013 в 02:06
-
4будут ли эти проблемы решены путем запуска xserver для каждого приложения отдельно? – Blauhirn 13 May 2018 в 19:50
Настоящая причина в том, что администраторы могут думать о себе как о супер-умном, запустив материал из командной строки. Нет угрозы безопасности при запуске GUI на сервере Ubuntu.