Re: root y X

[Enrique Zanardi <ezanardi@ull.es>]

On Mon, Feb 08, 1999 at 10:21:58AM +0100, Emilio Castrillejo wrote:
> Hola a todos.
> 
> No se como autorizar a root a abrir ventanas en mi instancia de servidor
> X:
> 
> - Hago login con mi usuario (emilio)
> - Abro un xterm (realmente un kvt, pero da igual)
> - Ejecuto su (para convertirme en root)
> - Cualquier programa x que intente ejecutar no puede usar el servidor X.
> 
> ¿Qué puedo hacer? He buscado en los manuales por "security" y cosas
> similares y no encuentro nada.

# export XAUTHORITY=~emilio/.Xauthority

Lo que sucede es que en Debian se usa el método de seguridad X basado en
la galletita del MIT (MIT-MAGIC-COOKIE-1). Cuando un usuario arranca las
X se genera una contraseña que se guarda en el fichero .Xauthority
en el directorio de ese usuario, o en el fichero que hayamos definido en
la variable XAUTHORITY, con permiso de lectura y escritura sólo
para ese usuario. Cada aplicación que quiera abrir una ventana tendrá que
usar esa contraseña. Así, sólo las aplicaciones de ese usuario tendrán
acceso, a menos que el usuario le de la contraseña a otros.

Como el superusuario puede leer cualquier fichero del disco, lo que
hacemos con el export de ahí arriba es decirle a las X que la contraseña
para las ventanas que vamos a abrir como root la saque del fichero
~emilio/.Xauthority .

Este método es mucho más seguro que el xhost, ya que permite el acceso
sólo a los usuarios que nosotros autoricemos, no a todos los usuarios de
una máquina. Pero las contraseñas se transmiten "en abierto", así que
si estamos abriendo ventanas desde una máquina remota, cualquiera que nos 
"pinche" la linea puede robarnos la contraseña.

Más información en "man Xsecurity" (paquete xmanpages), "man X", sección
ACCESS CONTROL, "man xauth" y "man mcookie".
 
 	Saludos,
--
Enrique Zanardi					   ezanardi@ull.es