¿Cómo mitigar el riesgo de reenvío de X?

5

Quiero usar el reenvío X en mi trabajo porque algunas tareas son más fáciles con GUI. Confío en que los administradores no sean maliciosos, pero no confío en su competencia en seguridad (casi nula). Por lo tanto, las máquinas en las que estoy seguro no son tan confiables.

Entonces, ¿qué medidas puedo tomar para minimizar el riesgo de reenvío X, excepto para no usarlo?

    
pregunta Siyuan Ren 05.11.2014 - 14:32
fuente

2 respuestas

2

Hay una medida bastante extrema que debería funcionar: ejecute una máquina virtual de su lado. Esa máquina alimentará algunos sistemas Linux mínimos con X11. Usted hace el ssh de esa máquina. De esa manera, si sucede lo peor, las personas malvadas en la máquina remota pueden comprometer su máquina virtual, pero solo la máquina virtual.

(Tenga cuidado con las "incorporaciones de invitados" de la máquina virtual: este es el tipo de extensión incluida en el sistema de invitados para que cosas como copiar y pegar funcionen entre el host y el invitado; este sistema puede ayudar a un huésped comprometido X11 a obtener información de el host X11. No instale dichas extensiones. Para mayor seguridad, desactive la compatibilidad con las adiciones de invitados en el motor de la máquina virtual.)

Una versión más liviana incluye Xnest : es un servidor X11 que utiliza para mostrar una ventana dentro de un servidor X11 externo. . Esto será suficiente para proteger sus otras aplicaciones de ataques basados en X11 (por ejemplo, enviar eventos sintéticos), pero no si el atacante logra comprometer el servidor X11 conectado a través de un desbordamiento de búfer o un agujero similar.

    
respondido por el Tom Leek 05.11.2014 - 20:27
fuente
0

La respuesta de Tom es acertada, pero agregaré un fragmento alternativo para ti. En lugar de ejecutar una X completa, ejecute solo la aplicación que necesita, por ejemplo:

ssh -X yourserver / usr / bin / gimp yourpicture.jpg

O

ssh -X yourserver / usr / bin / jdk / eclipse yourscript.jar

    
respondido por el munkeyoto 05.11.2014 - 21:11
fuente

Lea otras preguntas en las etiquetas