X管理
X 的使用使计算机网络锦上添花。它除了提供友好的图形用户截面,还可以使用户通过网络在本机上调用远程节点的 X 程序。同时,也由于 X 的广泛应用,物美价廉的X终端才得以倍受欢迎。
X 产生的宗旨原本就是通过client/server 模型,使用户的本地界面可以显示网络上任何其它系统的 X 客户程序;反过来,本机 X 客户程序也可以在网络上任何其它系统上显示。 X 的设计本身就是针对并构件与计算机网络之上的。然而在它给广大用户带来方便的同时,也正由于它的网络属性带来了不可避免的网络安全问题。
下面将推荐几项措施,以保障你的 X 系统的基本安全:
1、设置 X 访问控制。
X 提供了基于节点的访问控制的基本手段。
(1)/etc/X0.hosts 文件的正确设置。
该文件列出了可以访问本X服务器的一系列节点名。即名单上的系统的 X 客户程序可以随时访问本地 X 服务器。这个文件应有系统管理员根据实际情况合理设定。从安全角度出发,建议此文件中尽可能地少设入口。
例如,PCWS2上/ETC/X0.hosts文件内容为:
PCWS0.RedFlag linux.com.cn
PCWS1.RedFlag linux.com.cn
…
PCXT1.RedFlag linux.com.cn
PCXT2.RedFlag linux.com.cn
即PCWS0 上的 X 客户程序(如 XV,ghostview)被授权可以访问PCWS2的X服务器,即PCWS0可以向 PCWS2 上送显示内容。
(2) xhost 客户程序。
Xhost 客户程序可以交互地设置节点访问控制。例如,允许PCXT1上的 X 客户访问PCWS0 的Xserver,则应该在PCWS0 上输入”xhost+PCXT1″,那么就会产生下列信息:
PCXT1 added to access control list
“xhost+”则会解除访问控制,允许任何节点的Xclient 访问本地X服务器,从安全的角度讲,这无疑是大开城门,存在着许多潜在的危险。因此,强烈建议用户不要使用这样的命令。
2、麻省理工魔术蛋糕(MIT-MAGIC-COOKIE1)
上面的措施只限制到节点,即使所有其它节点均处于访问控制之下,也仍存在着一个很大的漏洞,即任何连接到本机节点上的用户都有权访问本机 X 服务器。
为了解决这一点,有些xhost 支持基于用户的访问控制,即 xhost+username@domain,而普遍采取的方法是MIT-MAGIC-COOKIE-1。
(1) HOME/.Xauthority 文件。
如果你的系统提供MIT-MAGIC-COOKIE-1 服务,你就会在你的主目录下发现一个.Xauthority 文件。这个文件装有机器可识别代码(代码被称为魔术蛋糕),相当于进入 X 服务器的密码。一个 X 客户机程序在被允许与 X 连接前,必须首先能够从.Xauthority文件中获得密码,被 X 服务器核实后,才能获得其访问权。因此,为了确保你自己可以访问你的X 显示,你必须将.Xauthority文件保管好,只允许你本人可读或修改此文件。即”.Xauthority”的文件保护应设置为”-rw—— “。
(2) xauth 命令。
用户通常希望自己在网络上无论哪个节点帐户的 X 客户程序均可以访问魔术蛋糕,这样,不仅可以很方便地使用 X 的网络功能,又保证了安全性。当然,如果你的”.Xauthority”是由你的几个节点帐户共享的(如用 NFS 系统),那么你这几个节点的 X 客户程序可以方便地访问各 X 服务器。但如果是两个互不关联的系统,这时 xauth 命令可以解决这个问题。
xauth 命令用于将一个节点上的魔术蛋糕传送给另一个节点,例如将节点 PCWS2 魔术蛋糕传送给 PCXT1,可以使用下面的命令:
$xauth extract - PCWS2:0|rsh PCXT1 xauth merge -
这样,只要是用户本人使用这两个节点的 X 资源,就不需要在做任何 X 访问控制的设置。
3、保护 Xterm。
xterm 是 X 模拟字符终端提供的用户窗口,用户可以在命令提示符下键入各种命令。为了防止他人偷窥你在 xterm 输入的内容,xterm 专门提供了 xterm 保护功能,即在 xterm 的主菜单下(同时按ctrl 和第一个鼠标键)选”Securekeyboard”一项,这时xterm 的底色应该变黑。如果没有变色,则很有可能某个人正在监视你的xterm。一般建议用户在输入敏感信息时,将其 xterm 设保护。
Post a Comment