Re: X11 für Java-Programme erlauben
On 11.Sep 2003 - 00:55:02, Thorsten Haude wrote:
> Moin,
>
> * Andreas Pakulat <ap125@informatik.uni-rostock.de> [2003-09-10 22:29]:
> >On 10.Sep 2003 - 20:38:36, Thorsten Haude wrote:
> >> * Andreas Pakulat <ap125@informatik.uni-rostock.de> [2003-09-10 19:53]:
> >> >xhost +
> >> >
> >> >xhost +local
> >> >
> >> >xhost +local:$USER
> >> >
> >> >helfen alle nichts.
> >>
> >> Sollten sie in dieser Form auch nicht.
> >
> >Wieso?
>
> Vor allem, weil ich diese Form nicht kannte, ich hätte 'localhost'
> geschrieben. Jetzt habe ich es aber nachgelesen.
Nun mit localhost, brauche ich aber tcp, denn dann gehts über genau
das. Mit local gehts über Unix-Sockets (AFAIK).
> >Das ist AFAIK doch, solange tcp nolisten an ist, eine Möglichkeit
> >anderen Nutzern auf meinem Rechner zu erlauben X11-Apps zu starten -
> >bzw. mir unter einer anderen UserID.
>
> Es gibt da schon ein paar interessante Sicherheitsprobleme, da würde
> ich besser nicht schludern. So schwierig sind MIT-Cookies nicht zu
> bedienen.
Schick mir mal ne URL zu den Sicherheitsproblemen, wenn mein
iptables alles ausser ssh blockt, root sich nicht per ssh
einloggen darf, der X11-Server nur per Unix-Sockets kommuniziert und
im Lan ein Win-Rechner der einzige Partner ist.
> >> Andernfalls kannst Du auch SSH benutzen.
> >
> >Naja ein ssh localhost -X ist irgendwie schon ein wenig umständlich
> >nur damit ich eine X11-App zum laufen krieg.
>
> alias foo='ssh -X -l user localhost x11app'
>
> Authentifizierung mit Schlüsseln, dann macht das keine Arbeit mehr.
Ja ist schon klar, nur ist das trotzdem irgendwie nicht so richtig
toll, ausserdem will ich meinem sshd ungern X11Forward erlauben, da
ich den im INet bereitstelle.
Andreas
--
Man idealisiert jeden, den man zum ersten Male sieht - entweder auf-
oder abwärts.
-- Jean Paul
Reply to: