X Window авторизация - X Window authorization
в X Window System, программы работают как клиенты X, и поэтому они подключаются к X сервер отображения, возможно, через компьютерная сеть. Поскольку сеть может быть доступна другим пользователи, необходим метод запрета доступа к программам, запускаемым пользователями, отличными от авторизованного.
Существует пять стандартных механизмов контроля доступа, которые определяют, может ли клиентское приложение подключаться к серверу X-дисплея. Их можно сгруппировать в три категории:
- доступ на основе хоста
- доступ на основе cookie
- доступ на основе пользователя
Кроме того, как и любое другое сетевое соединение, туннелирование может быть использован.
Доступ на основе хоста
Метод доступа на основе хоста заключается в указании набора хостов, которым разрешено подключаться к серверу X-дисплея. Эта система имеет худшую безопасность, поскольку позволяет каждому пользователю, имеющему доступ к такому хосту, подключаться к дисплею. В xhost
программа и три Основной протокол X Window System запросы используются для активации этого механизма, а также для отображения и изменения списка авторизованных хостов. Неправильное использование xhost
может непреднамеренно предоставить каждому хосту в Интернете полный доступ к X-дисплею.
Доступ на основе файлов cookie
Методы авторизации на основе файлов cookie основаны на выборе волшебное печенье (произвольный фрагмент данных) и передача его на сервер отображения X при его запуске; Затем каждый клиент, который может доказать, что знает об этом файле cookie, авторизуется для подключения к серверу.
Эти файлы cookie создаются отдельной программой и хранятся в файле. .Xauthority
по умолчанию в домашнем каталоге пользователя. В результате каждая программа, запускаемая клиентом на локальном компьютере, может получить доступ к этому файлу и, следовательно, к cookie, который необходим для авторизации на сервере. Если пользователь хочет запустить программу с другого компьютера в сети, файл cookie должен быть скопирован на этот другой компьютер. Способ копирования файла cookie зависит от системы: например, на Unix-подобный платформы, scp можно использовать для копирования файла cookie.
Две системы, использующие этот метод: MIT-MAGIC-COOKIE-1
и XDM-АВТОРИЗАЦИЯ-1
. В первом методе клиент просто отправляет cookie при запросе на аутентификацию. Во втором методе Секретный ключ также хранится в .Xauthority
файл. Клиент создает строку, объединяя текущее время, идентификатор, зависящий от транспорта, и файл cookie, шифрует полученную строку и отправляет ее на сервер.
В xauth приложение - это утилита для доступа к .Xauthority
файл. Переменная окружения XAUTHORITY
можно определить, чтобы переопределить имя и расположение этого файла cookie.
В Протокол межклиентского обмена (ICE) реализуется Библиотека межклиентского обмена для прямой связи между клиентами X11 используется тот же MIT-MAGIC-COOKIE-1
метод аутентификации, но имеет свой Iceauth утилита для доступа к собственному .ICEauthority
файл, расположение которого может быть изменено с помощью переменной окружения ICEAUTHORITY
. ЛЕД используется, например, DCOP и протокол X Session Management (XSMP).
Доступ на основе пользователей
Методы доступа на основе пользователей работают путем авторизации определенных пользователей для подключения к серверу. Когда клиент устанавливает соединение с сервером, он должен доказать, что он контролируется авторизованным пользователем.
Два метода, основанные на аутентификации пользователей с использованием сетевых систем управления идентификацией: СОЛНЦЕ-ДЕС-1
и MIT-KERBEROS-5
. Первая система основана на безопасном механизме ONC удаленный вызов процедуры система разработана в SunOS. Второй механизм основан на том, что и клиент, и сервер доверяют Kerberos сервер.
Третий метод ограничен локальными соединениями, используя системные вызовы, чтобы спросить ядро, какой пользователь находится на другом конце локального сокета. В xhost
программу можно использовать для добавления или удаления местный пользователь
и локальная группа
записи с этим методом.[1]
Туннелирование
В SSH утилита (при вызове с опцией -ИКС
или вариант Вперед X11
) туннелирует трафик X11 от удаленно вызванных клиентов на локальный сервер. Это делается путем установки на удаленном сайте ОТОБРАЖАТЬ
переменная окружения, указывающая на локальный TCP-сокет, открытый там с помощью sshd, который затем туннелирует связь X11 обратно к ssh. Затем Sshd также вызывает xauth, чтобы добавить на удаленном сайте строку MIT-MAGIC-COOKIE-1 в .Xauthority
там, который затем разрешает клиентам X11 доступ к локальному X-серверу пользователя ssh.
Соединения X11 между клиентом и сервером по сети также можно защитить с помощью других протоколов безопасного канала, таких как Kerberos /GSSAPI или же TLS, хотя такие параметры сейчас используются гораздо реже, чем SSH.
Рекомендации
- ^ "Типы аутентификации, интерпретируемые сервером" localuser "и" localgroup """. Фонд X.Org. Получено 16 января 2015.
внешняя ссылка
- Страница руководства по безопасности X (Xsecurity 7)