Por que o X11 é um risco de segurança em servidores?

11

Lembro-me de ler que os servidores não têm uma GUI porque o X11 é um risco de segurança. Por quê?

    
por Orcris 06.02.2012 / 12:20

4 respostas

7

A documentação da comunidade do Ubuntu explica as razões reais por que não é recomendado executar uma GUI em um sistema de servidor de produção:

  

A maioria dos desenvolvedores do Ubuntu Server não recomenda instalar o X em um   servidor. Existem vários motivos para não instalar uma GUI.

     

Alguns motivos para não instalar uma GUI incluem:

     
  1. Você terá mais código sujeito a vulnerabilidades de segurança, mais pacotes que precisam ser atualizados e mais tempo de inatividade do servidor.
  2.   
  3. Os pacotes X11 e desktop não são suportados para o ciclo de vida completo de 5 anos da versão do servidor LTS.
  4.   
  5. O desempenho pode sofrer porque os recursos (memória, espaço no disco rígido, CPU, etc.) serão consumidos pela GUI.
  6.   
  7. A melhor prática é instalar apenas o software necessário em um servidor de produção.
  8.   
  9. A GUI pode incluir outros serviços de rede inadequados para um servidor.   
    1. Um dos objetivos do Ubuntu Desktop Edition é facilitar o uso do Linux pelos usuários. Ao instalar alguns ambientes de desktop,   serviços que você talvez não queira especificamente serão instalados. Para   exemplo avahi-daemon , que é usado para ajudar a configurar redes,   adiciona outra porta aberta e pode introduzir conflitos DNS indesejados com um   domínio .local.
    2.   
  10.   

Portanto, para o servidor mais seguro, é melhor não instalar uma GUI.

"ServerGUI" por "Colaboradores da wiki de documentação do Ubuntu", reproduzido aqui conforme permitido pelo CC-BY-SA 3.0 .

Ao contrário do equívoco comum, o X11 é um servidor realmente não tem nada a ver com a razão pela qual a execução de uma GUI em um servidor de produção é considerada não ideal de um perspectiva de segurança. X11 é praticamente nunca configurado por padrão para ser acessível em uma rede, em qualquer sistema operacional. Nenhuma versão do Ubuntu já teve o X11 executando um servidor acessível por rede na configuração padrão. (Para acessar o X11 no Ubuntu via TCP, você deve encaminhá-lo através do SSH ou reconfigurar manualmente o servidor). / p>

Além disso, mesmo se o X11 executasse um servidor acessível pela rede , isso não seria uma razão para não tê-lo instalado em um sistema de servidor de produção. Qualquer pessoa que execute um servidor de produção é presumivelmente capaz de configurá-lo para suas necessidades e de auditá-lo para garantir que serviços indesejáveis não estejam em execução. (Se não puderem, isso representará uma ameaça muito maior à sua segurança do que seria criado com uma GUI instalada.) Mesmo que o X11 tivesse para ter uma porta em escuta uma interface de rede física ( que não é o caso ), a porta pode ser facilmente bloqueada reconfigurando o netfilter usando iptables (ou um frontend de nível superior como ufw ) .

Por outro lado, os problemas listados acima não são tão fáceis de serem superados pela reconfiguração.

    
por Eliah Kagan 04.07.2012 / 18:15
5

Todo processo em execução é um risco de segurança. Particularmente aqueles que ouvem em uma porta de rede (o X11 faz).

A boa prática geral é não executar qualquer coisa em um servidor que não precise estar lá, e o X11 certamente não precisa estar em um servidor no qual você vai usar o SSH.

Eu duvido que o artigo que você leu estava falando sobre uma vulnerabilidade específica no X11 (ele teria sido corrigido em caso afirmativo, as vulnerabilidades não tendem a ficar fixas por muito tempo), mas sim apenas boas práticas gerais.

    
por Caesium 06.02.2012 / 12:24
5

Isso ocorre porque o sistema X Window apresenta um sério risco de segurança se não estiver adequadamente protegido. Um "display" X11 é o servidor X11 em execução na sua área de trabalho e inclui a tela, o teclado e o mouse. Se o seu monitor X11 estiver inseguro, ele permitirá que um programa em execução em qualquer lugar da Internet se conecte a ele e a conexão fique completamente invisível para você. Uma vez conectado, esse programa tem acesso total ao seu monitor, o que significa que ele pode:

  • Visualize e copie o conteúdo da tela usando o utilitário X11 padrão programas;
  • Monitore suas combinações de teclas;
  • Controle remotamente qualquer Netscape navegador na sua área de trabalho e forjar teclas digitadas como se você estivesse digitando você mesmo (embora nem todas as aplicações X11 sejam suscetíveis a isso).

Uma regra básica NÃO é usar xhost + - Desativa completamente a segurança do seu monitor.

Uma boa maneira é encaminhar X através de ssh

Extraído de : link

    
por Amith KK 06.02.2012 / 12:27
-6

A verdadeira razão é que os administradores podem pensar em si mesmos como super inteligentes, executando coisas da linha de comando. Não há risco de segurança de executar uma GUI no servidor Ubuntu.

    
por Rich Striker 10.01.2016 / 15:52