On Fri, 25 Dec 1998 mmaureraks@st-wendel.de wrote:
On Tue, Dec 22, 1998 at 11:00:28AM +0100, Gerhard Sittig wrote:
wo finde ich irgendwelche Dokumentation ueber die Sicherheitsmechanismen bei SuSe zur Remotesession in einem X-Window ?
In der Dok zum X11. Fang an mit "man X" und suche nach "auth", das bringt Dich zur section "ACCESS CONTROL".
Richtig ... und damit in die voellig falsche Richtung. soweit war ich naemlich auch schon. In der gesamten Dokumentation wird fast ausnahmslos vorausgesetzt, dass XDM laeuft und damit ergibt sich ein voellig anderes Bild.
man xhost war das Stichwort ...
Zugriffssteuerung auf Host-Basis war nur eine von fuenf Varianten. Und xdm wird zwar oft erwaehnt, aber nicht unbedingt vorausgesetzt. Es macht halt nur ein paar Sachen automatisch, die man beim Start eines X-Servers selbst machen muesste. Beim schnellen Blick eben habe ich dann im oben zitierten "man X" und /auth noch die Verweise auf "man XSecurity xauth" gesehen. Der Spass an der Host-Autorisierung ist doch, dass das nicht auf User aufloest und damit meist witzlos ist. AFAIR wird irgendwo im startx Script ein ~/.Xauthority ausgewuerfelt (mit xauth) und per -auth dem X-Server mitgegeben. Clients (X-Programme), die Zugriff auf die Datei haben, koennen die Verbindung zum Server aufbauen, alle anderen nicht. Also laeuft alles darauf hinaus, dass die Datei der Dreh- und Angelpunkt ist und damit wieder auf einzelne User (i.d.R. den einen, der den Server gestartet hat) aufgeloest werden kann. Den Server kann man damit so gut zumachen, wie man die Zugriffsrechte auf Dateien regeln kann. Weil das aber alles furchtbar lange her ist und ich in den letzten vier Jahren keine X-Server mehr verrammelt habe, kann ich mich genausogut taeuschen. Wer mehr weiss, kann sich gerne melden. Und dann klingt im Manual noch an, dass die MIT MAGIC COOKIES in unsicheren Netzumgebungen auch nicht das Wahre sind. Bei lokaler Arbeit ist das sicher kein Problem. Ob das automatische Forwarden der X-Verbindung durch die ssh auch die cookies kodiert, moechte ich jetzt beinahe einmal annehmen (so wie hoffentlich der gesamte Verkehr zwischen X-Server und Clients kodiert und ggf komprimiert wird). Und wer in gestoerten Umgebungen mit blankem telnet arbeitet, dem ist sicher auch nicht mehr zu helfen. Unklar ist mir in dem Zusammenhang die Rolle von Netz-Filesystemen. Die sind bei Klartextuebertragung in "gesnifften" Netzen ja auch extrem angreifbar. Aber das ist dann ein generelles Problem ... Gerhard Sittig -- If you don't understand or are scared by any of the above ask your parents or an adult to help you. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux