X11 - Sicherheitsproblem?

17/12/2007 - 00:05 von t.bartzick | Report spam
Hi!

Ich habe Fragen bzgl. X11-Weiterleitung und damit verbundenen
Sicherheitsfragen.

* Ist es möglich, daß mein aktuelles X11-Display ohne mein Wissen
exportiert wird (ich lasse es lokal laufen, und jemand greift heimlich
von außen darauf zu), also àhnlich wie bei div. Windows-Remote-Progs?
* Bzgl. allgemeiner Weiterleitung: Ist es sinnvoll das X11Forwarding
unter sshd_config zu deaktivieren?
* Wie schaut's mit der Sicherheit unter dem 'Über-Manager' gdm aus?
Reichen bzgl. Sicherheit die Standardeinstellungen des Managers für
rein lokal gedachten Betrieb als X-Window-Box?

Gruß,

Thomas
 

Lesen sie die antworten

#1 Jan Kandziora
17/12/2007 - 01:37 | Warnen spam
schrieb:
Hi!

Ich habe Fragen bzgl. X11-Weiterleitung und damit verbundenen
Sicherheitsfragen.

* Ist es möglich, daß mein aktuelles X11-Display ohne mein Wissen
exportiert wird > (ich lasse es lokal laufen, und jemand greift heimlich
von außen darauf zu),



X beinhaltet keine Funktionen, um einen Displayinhalt über das Netzwerk zu
verschicken. Der Displayinhalt wird von einem X-Server nur in einen
Grafikspeicher gerendert, sonst nichts.

Man kann allerdings mit zusàtzlicher Software (z.B. x11vnc) den
Grafikspeicher auslesen und an einen anderen Rechner schicken.


* Bzgl. allgemeiner Weiterleitung: Ist es sinnvoll das X11Forwarding
unter sshd_config zu deaktivieren?



Nein. Keinen ssh-Tunnel für X11 zu benutzen ist eindeutig die schlechtere
Option. Wenn du dir allerdings sicher bist, niemals ein X-Programm von
Ferne aufrufen und dessen *Fenster* (nur die Fensterinhalte dieses
Programms!) exportieren zu wollen...


* Wie schaut's mit der Sicherheit unter dem 'Über-Manager' gdm aus?
Reichen bzgl. Sicherheit die Standardeinstellungen des Managers für
rein lokal gedachten Betrieb als X-Window-Box?



Das kannst nur du selbst beurteilen. Wenn du allein an dem Rechner
arbeitest, reichen die Standardeinstellungen deiner Distribution sicher
aus -- üblicherweise wird kein Connect außer an localhost angeboten.

Wenn du außerdem noch von einem zweiten Rechner aus auf dem Rechner
arbeitest, solltest du aber überlegen, das Runterfahren/Rebooten nur Admins
zu erlauben, damit der Rechner nicht versehentlich runtergefahren wird.
Gegen Ausschalten hilft natürlich nix.

Mit freundlichem Gruß

Jan

Ähnliche fragen