next up previous index
Következő: 10.7.1 xhost Fel: 10. X Window System Előző: 10.6 Indítás   Index


10.7 A grafikus felület védelme

A képernyőre nem csak az előtte ülő felhasználó, hanem mások is küldhetnek ablakokat. Ennek elkerülésére a grafikus képernyőt védett módban kezeli a rendszer. Több formája van a védelemnek, amelyek keverhetőek egymással. Az egyik szabvány védelem (xhost), az ablakot megnyitó felhasználó gépének nevén alapul. Mindenki, aki a velünk megegyező gépen dolgozik, engedélyt kap arra, hogy hozzáférjen a képernyőnkhöz. Más gépek engedélyezéséhez fel sorolnunk a kívánt gépek nevét, azonban a felhasználók nevét nem adhatjuk meg. A rendszergazda a /etc/Xn.hosts (ahol n a képernyő száma) fájlban megadhat gépeket, amelyek hozzáférhetnek a megadott képernyőhöz. Az xhost-alapú védelem szigorú értelemben véve nem tekinthető biztonságosnak, mert nem tud válogatni a távoli gép felhasználói között. Létezik egy SUN-DES-1 nevű, a Sun RPC protokollján alapuló módszer. Ez az xhost továbbfejlesztésének is felfogható, mivel ennél a felhasználói név és a gépnév együttes megadásával lehet beállítani az engedélyeket.

A másik féle védelem (xauth vagy MIT-MAGIC-COOKIE-1) egy fájlban (.Xauthority) tárolja a hozzáférési kulcsot, ami egy hosszú hexadecimális szám, és akinek meg akarjuk engedni a hozzáférést, ahhoz el kell juttatnunk ezt a kulcsot. Az X program automatikusan gondoskodik arról, hogy az ablakot nyitni kívánó program - az ablak megnyitása előtt - ezt az információt elküldje a képernyőkezelő programnak. A .Xauthority fájl helyes beállításnál csak a tulajdonosa számára írható és olvasható. Az xauth program szolgál arra, hogy a ,,magic cookie''-t eljuttassuk egyik géptől a másikig.

xauth extract - $DISPLAY | rsh távoli_gép xauth merge -
xauth extract - debian:0 | rsh molos xauth merge -

Az xauth módszer kódolatlanul küldi a kulcsot a hálózaton keresztül, így nem elég biztonságos. Növelhetjük a rendszer biztonságát, ha a távoli gépnek valamilyen titkosító algoritmus felhasználásával küldjük el a kódot (például ssh - 5.9.6. fejezet). Viszont a kulcs továbbra is kódolatlanul tárolódik a gépünkön egy fájlban.

Az xauth esetében a felhasználónak kell fejbentartani, hogy kinek engedélyezte, hogy hozzáférjen a képernyőjéhez, xhost esetében pedig lehetőség van a lekérdezésre.




next up previous index
Következő: 10.7.1 xhost Fel: 10. X Window System Előző: 10.6 Indítás   Index

1999-09-17