OBSD X11 como no root?

(Hablo aquí más genéricamente que en el caso específico de OpenBSD.)

X11 necesita algún acceso directo al hardware subyacente, algo que requiere algunos privilegios adicionales que no se otorgan a cualquier proceso (estos privilegios pueden usarse para entrometerse con las transferencias de memoria, por ejemplo, entre la memoria del sistema y los discos duros). Por lo tanto, debe haber alguna raíz o equivalente involucrada en algún momento. Sin embargo, una vez que se han otorgado dichos privilegios, nada dice que el proceso que ejecuta el servidor X debe seguir siendo root. Por supuesto, si se subvierte un servidor X sin acceso de root pero con hardware, todavía puede ganar, en teoría, un fuerte acceso a la máquina a través de manipulaciones de DMA, pero esto no parece fácil en absoluto.

(Además, puede haber servidores X11 totalmente sin privilegios que utilizan una interfaz de framebuffer, aunque esto no suele ser muy compatible con la compatibilidad con gráficos acelerados).

Ejecutar X.org como no root es ahora posible a partir del 22 de febrero de 2014 ( mi énfasis):

  

En OpenBSD-current, después de esto, los usuarios de los gráficos Intel y ATI Radeon que admiten la configuración del modo de kernel (casi todos) pueden volver a configurar machdep.allowaperture en 0 en la configuración /etc/sysctl.conf y seguir ejecutando X servidor.

     

Esto significa que el servidor X no requiere ningún privilegio especial para acceder directamente a la memoria del kernel o los dispositivos de E / S y, gracias al código de separación de privilegios, que la mayoría del código en el El servidor X tampoco se ejecutará como root.   Mantener este acceso directo especial al hardware a través del controlador de apertura fue uno de los principales inconvenientes de la separación de privilegios en X, como lo señaló un artículo de Loic Duflot en CANSECWEST 2006.