web-dev-qa-db-ja.com

'xhost local'(コロンなし)は悪意のあるアクセスを許可していますか?

新しいシステムをセットアップしていて、GUIユーティリティを実行するために、rootユーザーに非rootユーザーのXディスプレイにアクセスする権限を付与する必要があります。これには次のようにxhostコマンドを使用しましたが、誤ってコロンのサフィックスを省略したようですリモートサーバーへのアクセスを許可lb.usemaxserver.de.。

  nonroot@Host2:~  xhost -
access control enabled, only authorized clients can connect
  nonroot@Host2:~  xhost local
local being added to access control list
  nonroot@Host2:~  xhost
access control enabled, only authorized clients can connect
INET:lb.usemaxserver.de
INET:localhost

私はそれを削除するために以下を使用しました...

  nonroot@Host2:~  xhost -INET:lb.usemaxserver.de
lb.usemaxserver.de being removed from access control list

私はこれを正しく解釈していますか?

もしそうなら、どのようにlb.usemaxserver.delocalがそのアドレスにリンクするように何かを設定しますか?

これには、システムに悪意のある構成またはソフトウェアがすでに存在している必要がありますか?もしそうなら、どこを見るべきかについての提案はありますか?

2
DocSalvager

新しいシステムをセットアップしていて、GUIユーティリティを実行するために、rootユーザーに非rootユーザーのXディスプレイにアクセスする権限を付与する必要があります。

xhost +si:localuser:rootが必要なようです。 (これはすべてのX実装で利用できるわけではありません。man Xsecurityは、一部の実装では完全に効果的ではないことも示しています。ただし、+local:よりも優れているようです)

また、Xサーバーはおそらくネットワークから直接アクセスできませんでした。例えば。 sshなしでリモートXサーバーに接続するにはどうすればよいですか? を参照してください。

これには次のようにxhostコマンドを使用しましたが、...リモートサーバーへのアクセスを許可したようですlb.usemaxserver.de

xhost +localはホスト名localを検索するため、DNS検索パスなどに何があるかによって異なります。

$ xhost +local
xhost:  bad hostname "local"
$ Dig local
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
...

システムがlocalをいくつかの異なるホストに解決しているようです。比較:

$ xhost +smtp.gmail.com
smtp.gmail.com being added to access control list
$ xhost
access control enabled, only authorized clients can connect
INET6:wr-in-x6d.1e100.net
INET:wr-in-f108.1e100.net
INET:wr-in-f109.1e100.net
SI:localuser:alan
$ Dig smtp.gmail.com
...
smtp.gmail.com.     104 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.108
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.109
...
$ Dig AAAA smtp.gmail.com
smtp.gmail.com.     170 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 271 IN AAAA    2a00:1450:400c:c0c::6c
$ Dig -x 2a00:1450:400c:c0c::6c
c.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.0.c.0.c.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa. 300 IN PTR wr-in-x6c.1e100.net.
3
sourcejedi