Execute o Xephyr com a opção -nolisten tcp
, caso contrário, ele poderá ser acessado por todos na sua rede, talvez até mesmo de fora.
Além disso, use cookies com a opção -auth cookiefile
. Tente executar DISPLAY=:0 xterm
no Xephyr para verificar se você pode acessar sua exibição principal.
xhost
não é recomendado para o controle de acesso, só pode permitir, mas não restringir o acesso de outras pessoas. As configurações do xhost não são persistentes, eu não conheço nenhum arquivo de configuração para ele.
No seu exemplo, você executa o Xephyr como usuário do host e somente o startlxde como um usuário diferente.