Come mitigare il rischio di inoltro X?

5

Voglio utilizzare l'inoltro X nel mio lavoro perché alcune attività sono più semplici con la GUI. Confido che gli amministratori non siano maliziosi, ma non mi fido delle loro competenze in materia di sicurezza (quasi nulla). Quindi le macchine in cui sono ssh non sono così affidabili.

Quindi quali misure posso prendere per minimizzare il rischio di inoltro X, ad eccezione del non utilizzo?

    
posta Siyuan Ren 05.11.2014 - 14:32
fonte

2 risposte

2

Esiste una misura piuttosto estrema, che dovrebbe funzionare: lanciare una macchina virtuale dalla tua parte. Quella macchina alimenterà qualche sistema Linux minimale con X11. Fai il ssh da quella macchina. In questo modo, se accade il peggio, i malvagi sul computer remoto potrebbero compromettere la tua macchina virtuale, ma solo la macchina virtuale.

(Attenzione alle "aggiunte guest" dalla VM: questo è il tipo di estensione inclusa nel sistema guest in modo che cose come il lavoro di copia-incolla tra host e guest, tale sistema può aiutare un ospite compromesso X11 ottenere informazioni da l'host X11 Non installare tali estensioni Per maggiore sicurezza, disattivare il supporto per le aggiunte guest nel motore VM.)

Una versione più leggera coinvolge Xnest : è un server X11 che utilizza per la sua visualizzazione una finestra all'interno di un server X11 esterno . Ciò sarà sufficiente per proteggere le altre applicazioni dagli attacchi basati su X11 (ad esempio, l'invio di eventi sintetici), ma non se l'autore dell'attacco riesce a compromettere il server X11 connesso attraverso un buffer overflow o un buco simile.

    
risposta data 05.11.2014 - 20:27
fonte
0

La risposta di Tom è azzeccata, ma aggiungerò uno snippet alternativo per te. Invece di eseguire X in piena esecuzione, esegui solo l'applicazione necessaria, ad esempio:

ssh -X server / usr / bin / gimp yourpicture.jpg

O

ssh -X server / usr / bin / jdk / eclipse yourscript.jar

    
risposta data 05.11.2014 - 21:11
fonte

Leggi altre domande sui tag