É 'xhost local' (sem dois pontos) permitindo acesso malicioso?

1

Estou configurando um novo sistema e preciso conceder à autoridade do usuário root para acessar a exibição X do usuário não raiz para executar os utilitários GUI. Eu usei o comando xhost para isso da seguinte maneira, mas erroneamente deixando o sufixo de dois pontos parece ter permitido acesso ao servidor remoto lb.usemaxserver.de

  nonroot@host2:~  xhost -
access control enabled, only authorized clients can connect
  nonroot@host2:~  xhost local
local being added to access control list
  nonroot@host2:~  xhost
access control enabled, only authorized clients can connect
INET:lb.usemaxserver.de
INET:localhost

Eu usei o seguinte para removê-lo ...

  nonroot@host2:~  xhost -INET:lb.usemaxserver.de
lb.usemaxserver.de being removed from access control list

Estou interpretando isso corretamente?

Em caso afirmativo, como lb.usemaxserver.de configurou algo para que local vinculasse a esse addess?

Isso requer que haja alguma configuração ou software mal-intencionado no meu sistema? Em caso afirmativo, alguma sugestão de onde procurar?

    
por DocSalvager 28.09.2018 / 01:14

1 resposta

2

I'm setting up a new system and need to grant the root user authority to access the nonroot user's X display in order to run GUI utilities.

Parece que você quer xhost +si:localuser:root . (Isso não está disponível em todas as implementações do X. man Xsecurity também diz que não é totalmente efetivo em algumas implementações. Mas parece melhor que +local: )

Além disso, o seu servidor X provavelmente não está diretamente acessível a partir da rede. Por exemplo. consulte Como posso conectar-se a um servidor X remoto _without_ ssh?

I used the xhost command for this as follows, but ... seems to have allowed access to the remote server lb.usemaxserver.de

xhost +local procura o nome do host local , portanto, depende do que você tem no caminho de pesquisa do DNS, etc.

$ xhost +local
xhost:  bad hostname "local"
$ dig local
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
...

Parece que seu sistema resolve local para alguns hosts diferentes. Comparar:

$ xhost +smtp.gmail.com
smtp.gmail.com being added to access control list
$ xhost
access control enabled, only authorized clients can connect
INET6:wr-in-x6d.1e100.net
INET:wr-in-f108.1e100.net
INET:wr-in-f109.1e100.net
SI:localuser:alan
$ dig smtp.gmail.com
...
smtp.gmail.com.     104 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.108
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.109
...
$ dig AAAA smtp.gmail.com
smtp.gmail.com.     170 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 271 IN AAAA    2a00:1450:400c:c0c::6c
$ dig -x 2a00:1450:400c:c0c::6c
c.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.0.c.0.c.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa. 300 IN PTR wr-in-x6c.1e100.net.
    
por 28.09.2018 / 01:21