X windows security: VNC e X server vs xpra

Naviga le tue risposte
2

Ho un server CentOS che al momento non ha un server X su di esso. Sarà usato per fare scricchiolii statistici e fornire altri servizi (probabilmente tramite un'interfaccia web). La sicurezza principale per il box è fornita da VPN.

Alcuni utenti avranno bisogno di software che non può funzionare senza grafica. Preferirei non fare neanche un'installazione minima di un Xserver e un window manager, ma se lo facessi pensavo di installare X, un desktop leggero o anche solo un window manager e VNC. Gli utenti si collegherebbero alle sessioni VNC tramite tunnel ssh. Un grande vantaggio di questa soluzione è che se la connessione di rete si interrompe, qualsiasi cosa stia funzionando persiste invece di morire.

Per persistenza, le persone nelle operazioni mi hanno suggerito di cercare invece di usare xpra. Ho eseguito un'installazione a secco e installato un server X, quindi almeno sul suo volto non vedo alcun vantaggio per questo approccio, sia in termini di sicurezza che di semplicità.

C'è qualche motivo di sicurezza per preferire l'approccio xpra su VNC + Xserver + ssh tunneling?

    
posta user1071847 15.04.2016 - 20:28
fonte

1 risposta

4

Il modo "normale" per usare X11 remoto è far funzionare il server X11 non sul server, ma sulla macchina che è fisicamente di fronte all'utente. Quindi usa ssh per eseguire l'inoltro X11, in modo che l'applicazione sul server comunichi con il server X11 che gira sul computer client.

(Sì, la terminologia è un po 'confusa. "Il tuo server" è la macchina di cui stai parlando, e il "server X11" è il software che gestisce la visualizzazione grafica, chiamato "server" perché attende le applicazioni - i "clienti" - per parlarci.)

Capisco che tu voglia anche avere una sorta di "funzionalità di mobilità" che permetta agli utenti di roaming di disconnettersi e riconnettersi da diverse macchine client senza chiudere l'applicazione, nel qual caso il modello classico non è appropriato.

I soliti problemi di sicurezza percepiti con i server X11 sono che vengono eseguiti con privilegi elevati (perché devono accedere all'hardware grafico) e fanno uso di componenti la cui sicurezza è spesso considerata friabile (i driver per l'hardware grafico). Xpra utilizza Xdummy , che rimuove entrambi i problemi: in realtà non parla con l'hardware reale (quindi nessun driver nel loop ), e non viene eseguito come root ma sotto l'identità dell'utente chiamante. In questo senso, considererei Xpra "migliore" per la sicurezza di un semplice Xserver locale esportato tramite VNC.

(Concettualmente potresti eseguire Xdummy con VNC, ma in pratica è reinventare Xpra.)

Mi aspetto anche che Xpra renderà le cose molto più semplici, rispetto a un setup Xserver + VNC, quando si tratta di:

  1. supportando più utenti contemporaneamente;
  2. supporta varie dimensioni dello schermo sul lato client.

Dal lato opposto, Xpra è in fase di sviluppo molto attivo, che, pur garantendo un buon supporto, significa anche che il codice distribuito non è "rimasto" la prova del tempo ". Di solito, per la massima sicurezza, si desidera utilizzare un software che è ben supportato, ma si è comunque stabilizzato un po '. Questo non è un grosso problema, però.

    
risposta data 15.04.2016 - 20:51
fonte

Leggi altre domande sui tag

L'utilizzo di intestazioni PHP durante l'accesso rende il modulo vulnerabile agli attacchi? parole memorizzabili e risposte a domande di sicurezza durante il ripristino della password?