 |
|
|
|
|
| WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
|
|
|
|
|
|
| WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
Безопасность и настройка
X-сервера X Window System сетевое средство для совместного использования графических
данных, или более конкретно для экспорта дисплея программы на удаленный (или
локальный) хост. Используя это Вы можете выполнять мощный 3d rendering пакет
на SGI origin 2000 и отображать его на 486. По существу это аналог тех
'thin client' (тощих клиентов) о которых в последнее время столько
разговоров. Это средство было создано в MIT, когда защита была не столь важна
как сейчас. Защита исков слабая: копии экрана и данные о нажатиях клавиш на
клавиатуре и перемещениях мыши можно легко перехватить, что может привести к
крупным проблемам, например при входе на другую систему через xterm. X в большинстве случаев использует для первого сеанса порт 6000, а затем
для каждого нового сеанса использует порт на единичку выше. Если Вы не
собираетесь работать с иксами на удаленных системах (хотя это иногда удобно),
поставьте firewall на порт 6000. или Имеется ряд методов гарантировать безопасный доступ к X-серверу. xhost просто позволяет Вам определять, какие машины могут, а какие нет,
соединяться с сервером. Конечно, это очень просто, в современных сетях само
по себе помогает мало, но часто может пригодиться. Команда проста:
'xhost +example.org' добавляет example.org, 'xhost -example.org' удаляет
example.org из списка допущенных, Вы должны также определить 'xhost -' чтобы
включить список управления доступом. mkxauth представляет собой хорошее дополнение к xhost. mkxauth создает
файлы ~/.Xauthority, которые используются, чтобы определить hostnames и
связанные магические cookies (маркер, используемый чтобы получить доступ).
Эти cookies могут затем использоваться, чтобы получить доступ к удаленному
X-хосту (Вы по существу имеете копию cookie на каждом конце) и передаются
как текст (опасно) или зашифрованными по DES (совершенно безопасно). При
использовании этого метода Вы можете быть в относительной безопасности. Файлы
Xauthority могут также использоваться вместе с Kerberos. mkxauth отлично
описан на man-странице 'man mkxauth' и много деталей можно почерпнуть на
man-странице Xsecurity. SSH или OpenSSH может использоваться, чтобы создать туннель между хостами
(или между двумя X-серверами), шифруя канал, обеспечивая авторизацию и вообще
делая работу более безопасной. Следующая web-страница объясняет это подробно
http://csociety.ecn.purdue.edu/~sigos/projects/ssh/forwarding. Written by Kurt Seifried
X Window System
Обзор
ipfwadm -I -a accept -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 6000:6100
ipfwadm -I -a accept -P tcp -S some.trusted.host -D 0.0.0.0/0 6000:6100
ipfwadm -I -a deny -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 6000:6100
ipchains -A input -p tcp -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 6000:6100
ipchains -A input -p tcp -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 6000:6100
ipchains -A input -p tcp -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 6000:6100
Безопасность и настройка
X-сервера
xhost
mkxauth
SSH tunnel
| Найди своих коллег! |