Seguridad de Windows X: servidor VNC y X vs xpra

Navega tus respuestas
1

Tengo un servidor CentOS que actualmente no tiene ningún servidor X en él. Se utilizará para realizar cálculos estadísticos y proporcionar otros servicios (probablemente a través de una interfaz web). La seguridad principal de la caja es proporcionada por VPN.

Algunos de los usuarios necesitarán un software que no funcione sin gráficos. Preferiría no realizar una instalación mínima de un servidor X y un administrador de ventanas, pero si lo hago, planeaba instalar X, un escritorio liviano o incluso solo un administrador de ventanas y VNC. Los usuarios se conectan a las sesiones de VNC a través de ssh tunneling. Una gran ventaja de esta disposición es que si la conexión de red se cae, lo que se está ejecutando persiste en lugar de morir.

Para la persistencia, las personas en las operaciones me sugirieron que considerara usar xpra en su lugar. Hice una instalación en seco de una instalación e instala un servidor X, por lo que al menos no veo ninguna ventaja en este enfoque, ni en términos de seguridad ni de simplicidad.

¿Hay alguna razón de seguridad para preferir el enfoque xpra sobre el túnel VNC + Xserver + ssh?

    
pregunta user1071847 15.04.2016 - 20:28
fuente

1 respuesta

3

La forma "normal" de usar el X11 remoto es hacer que el servidor X11 se ejecute no en su servidor, sino en la máquina que está físicamente frente al usuario. Luego use ssh para hacer el reenvío de X11, de modo que la aplicación en su servidor se comunique con el servidor X11 que se ejecuta en la máquina cliente.

(Sí, la terminología es un poco confusa. "Su servidor" es la máquina de la que está hablando, y el "servidor X11" es el software que administra la pantalla gráfica, llamada "servidor" porque espera las aplicaciones: los "clientes" - para hablar con él.)

Comprendo que también desea tener una especie de "función de movilidad" que permita a los usuarios de itinerancia desconectarse y volver a conectarse desde varias máquinas cliente sin cerrar la aplicación, en cuyo caso el modelo clásico no es apropiado.

Los problemas de seguridad que se perciben habitualmente con los servidores X11 es que se ejecutan con altos privilegios (porque deben acceder al hardware gráfico) y utilizan componentes cuya seguridad a menudo se considera escamosa (los controladores del hardware gráfico). Xpra utiliza Xdummy , que elimina ambos problemas: en realidad no habla con hardware real (por lo que no hay controladores en el bucle ), y no se ejecuta como root sino bajo la identidad del usuario llamante. En ese sentido, consideraría que Xpra es "mejor" para la seguridad que ejecutar un servidor X local simple exportado a través de VNC.

(Conceptualmente, podrías ejecutar Xdummy con VNC, pero eso es básicamente reinventar Xpra.)

También espero que Xpra haga las cosas mucho más fáciles, en comparación con una configuración de Xserver + VNC, cuando se trata de:

  1. admitir varios usuarios simultáneamente;
  2. admite varios tamaños de pantalla en el lado del cliente.

Por el lado de los contras, Xpra se encuentra en desarrollo muy activo, lo que, a la vez que garantiza un buen soporte, también significa que el código implementado no se "mantuvo La prueba del tiempo ". Por lo general, para mayor seguridad, usted desea utilizar un software que esté bien soportado pero que, sin embargo, se haya estabilizado un poco. Sin embargo, esto no es un gran problema.

    
respondido por el Tom Leek 15.04.2016 - 20:51
fuente

Lea otras preguntas en las etiquetas

Olfateando los datos a mi alrededor palabra memorable y respuestas a preguntas de seguridad al restablecer la contraseña?