Hoje pela manhã perguntei sobre as mudanças de não se ter o
/etc/X11/xorg.conf à moda antiga, como era o costume.
Ainda tenho mais dúvidas relaivas à segurança do X Window System.
O que gostaria de saber era como melhorar a segurança do X para uso
local. Para que nenhum engraçadinho consiga interferir no protocolo,
nem usar o xkb* (teclado via remota, não sei mais o nome) ou use o
mouse também.
Seu problema maior é roubo de identidade. Ou a do usuário, ou a do root. Nesses dois casos, se ocorrerem ou por distração do usuário, como perda da senha, ou por exploração de alguma falha de segurança, como estouro de heap, não tem muito o que fazer.
Se não houver tal problema, não existe forma de pegar o que foi enviado ao servidor X, a menos que se use xdmcp em aberto, no estilo de conectar com telnet e mandar um "export DISPLAY" pro IP de origem. Não fazendo isso, e usando ssh, já mitiga o problema the man-in-the-middle.
E o daemon precisa rodar como root pelo fato de acessar hardware dedicado, que é a placa de vídeo. Quase o mesmo acontece com o ping, que é setuid. Mas assim como o ping, logo após o inicio da sessão, o X baixa o nível de prioridade pro do usuário que o iniciou, pra mitigar escalação de privilégios.