Segurança no X.org
Olá.
Hoje pela manhã perguntei sobre as mudanças de não se ter o
/etc/X11/xorg.conf à moda antiga, como era o costume.
Ainda tenho mais dúvidas relaivas à segurança do X Window System.
O que gostaria de saber era como melhorar a segurança do X para uso
local. Para que nenhum engraçadinho consiga interferir no protocolo,
nem usar o xkb* (teclado via remota, não sei mais o nome) ou use o
mouse também.
Isto inclui autenticação MIT-MAGIC-COOKIE-1 e iptables.
O problema é exatamente como melhorar, fechar quais portas, já que
fechar 100% o loopback não dá certo.
Quanto ao MIT-MAGIC-COOKIE-1, sei que o uso com SSH para acesso de X
remoto cai na LPIC. Então como SSH não está neste caso mais simples, a
dificuldade é menor.
Até onde sei, o MIT-MAGIC-COOKIE-1 é criado com o xauth e é representado
pelo arquivo .Xauthority. Ele é imprescindível se não for usado um
gerenciador de sessão.
A recomendação é a de colocá-lo como permissão
600, mas pode-se abusar deixando-o como root.user (user é um qualquer)
e permissão 060 dentro do próprio /home/user? Parece-me que o sistema
muda a permissão do nada.
À propósito, o X roda somente como id=0? Não é possível rodá-lo com
permissão com menos poder ou colocá-lo numa gaiola? Sei de algo por
cima com Apache, então não sei direito o que seria 'tapear' o sistema.
Quanto menos daemons com id=0 e menos portas abertas, melhor, não é?
Se me equivoquei em algo, peço desculpas. Não encontrei material que me
explicasse estas questões e o manual de segurança do Debian não fala
muito do X.
Desde já agradeço.
Reply to: