Por que o X11 é um risco de segurança em servidores?

A documentação da comunidade do Ubuntu explica as razões reais por que não é recomendado executar uma GUI em um sistema de servidor de produção:

  

A maioria dos desenvolvedores do Ubuntu Server não recomenda instalar o X em um   servidor. Existem vários motivos para não instalar uma GUI.

     

Alguns motivos para não instalar uma GUI incluem:

     

1. Você terá mais código sujeito a vulnerabilidades de segurança, mais pacotes que precisam ser atualizados e mais tempo de inatividade do servidor.
  
2. Os pacotes X11 e desktop não são suportados para o ciclo de vida completo de 5 anos da versão do servidor LTS.
  
3. O desempenho pode sofrer porque os recursos (memória, espaço no disco rígido, CPU, etc.) serão consumidos pela GUI.
  
4. A melhor prática é instalar apenas o software necessário em um servidor de produção.
  
5. A GUI pode incluir outros serviços de rede inadequados para um servidor.   
   1. Um dos objetivos do Ubuntu Desktop Edition é facilitar o uso do Linux pelos usuários. Ao instalar alguns ambientes de desktop,   serviços que você talvez não queira especificamente serão instalados. Para   exemplo avahi-daemon , que é usado para ajudar a configurar redes,   adiciona outra porta aberta e pode introduzir conflitos DNS indesejados com um   domínio .local.
     
  

Portanto, para o servidor mais seguro, é melhor não instalar uma GUI.

^{"ServerGUI" por "Colaboradores da wiki de documentação do Ubuntu", reproduzido aqui conforme permitido pelo CC-BY-SA 3.0 .}

Ao contrário do equívoco comum, o X11 é um servidor realmente não tem nada a ver com a razão pela qual a execução de uma GUI em um servidor de produção é considerada não ideal de um perspectiva de segurança. X11 é praticamente nunca configurado por padrão para ser acessível em uma rede, em qualquer sistema operacional. Nenhuma versão do Ubuntu já teve o X11 executando um servidor acessível por rede na configuração padrão. (Para acessar o X11 no Ubuntu via TCP, você deve encaminhá-lo através do SSH ou reconfigurar manualmente o servidor). / p>

Além disso, mesmo se o X11 executasse um servidor acessível pela rede , isso não seria uma razão para não tê-lo instalado em um sistema de servidor de produção. Qualquer pessoa que execute um servidor de produção é presumivelmente capaz de configurá-lo para suas necessidades e de auditá-lo para garantir que serviços indesejáveis não estejam em execução. (Se não puderem, isso representará uma ameaça muito maior à sua segurança do que seria criado com uma GUI instalada.) Mesmo que o X11 tivesse para ter uma porta em escuta uma interface de rede física ( que não é o caso ), a porta pode ser facilmente bloqueada reconfigurando o netfilter usando iptables (ou um frontend de nível superior como ufw ) .

Por outro lado, os problemas listados acima não são tão fáceis de serem superados pela reconfiguração.

Todo processo em execução é um risco de segurança. Particularmente aqueles que ouvem em uma porta de rede (o X11 faz).

A boa prática geral é não executar qualquer coisa em um servidor que não precise estar lá, e o X11 certamente não precisa estar em um servidor no qual você vai usar o SSH.

Eu duvido que o artigo que você leu estava falando sobre uma vulnerabilidade específica no X11 (ele teria sido corrigido em caso afirmativo, as vulnerabilidades não tendem a ficar fixas por muito tempo), mas sim apenas boas práticas gerais.

Isso ocorre porque o sistema X Window apresenta um sério risco de segurança se não estiver adequadamente protegido. Um "display" X11 é o servidor X11 em execução na sua área de trabalho e inclui a tela, o teclado e o mouse. Se o seu monitor X11 estiver inseguro, ele permitirá que um programa em execução em qualquer lugar da Internet se conecte a ele e a conexão fique completamente invisível para você. Uma vez conectado, esse programa tem acesso total ao seu monitor, o que significa que ele pode:

• Visualize e copie o conteúdo da tela usando o utilitário X11 padrão programas;
• Monitore suas combinações de teclas;
• Controle remotamente qualquer Netscape navegador na sua área de trabalho e forjar teclas digitadas como se você estivesse digitando você mesmo (embora nem todas as aplicações X11 sejam suscetíveis a isso).

Uma regra básica NÃO é usar xhost + - Desativa completamente a segurança do seu monitor.

Uma boa maneira é encaminhar X através de ssh

Extraído de : link

A verdadeira razão é que os administradores podem pensar em si mesmos como super inteligentes, executando coisas da linha de comando. Não há risco de segurança de executar uma GUI no servidor Ubuntu.