"Michael Lootz" <mlootz@lucent.com> schrieb:
From: "Thomas Föcking" <suse@thomas-foecking.de>
Heißt es, wenn ich den Port 6000/tcp vom X11 aufhabe, jeder von aussen (wenn ich eine direkte Anbindung habe) Programme bei mir anzeigen/ausführen kann? (natürlich nach einem xhost +)
Davon würde ich ausgehen. Ich weiss jetzt nicht, welche Ports genau benötigt werden (Also ob es genau Port 6000 ist!), aber das mit dem xhost ist eine böse Falle. Denn das Protokoll kann deutlich mehr, als nur mal eben so "neue Fenster öffnen". Man kann auch gezielt Fenster schliessen (So als kleines Beispiel!). (Das war damals in der Uni von einigen Idioten das tolle Spiel: Einem einfach das xsession Fenster zu machen und ausgelogt war man. Also Attacken sind total easy, warum ich ein xhost - nur jedem ans Herz legen kann!)
SuSE schlägt selbst in der Hilfe vor, dass man als normaler User arbeit und grafische Programme mit Rootrechten folgendermaßen aufrufen soll: xhost + su programm exit xhost -
Warum denn noch solche Konstrukte? Warum z.B. nicht eine Lösung per SSH? ssh -l root localhost programm Evtl. noch ein -X, aber das hängt von den verwendeten Standards ab. Und statt localhost kann man natürlich jeden anderen Server nutzen.
ja. Das Programm muß halt die Möglichkeit haben, daß Fenster zu öffnen. Schalte ich mit xhost - dies vorher wieder aus - also Programm aufrufen bevor das Fenster da ist - dann klappt das eben nicht.
Es reicht doch, wenn ich nur localhost Zugriff gestatte, und auch nur solange, bis das Programm beendet ist
Es kommt eben darauf an, was man machen möchte.
Naja - diese Lösung mit dem xhost + und xhost - sind etwas kritisch. Ein generelles xhost + würde ich immer vermeiden wollen. Die SSH Lösung sollte eigentlich recht flexibel sein, oder sehe ich das falsch? Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53