X11がサーバーのセキュリティリスクなのはなぜですか？

Ubuntuのコミュニティドキュメント 本当の理由の説明 実稼働サーバーシステムでGUIを実行することが推奨されない理由：

ほとんどのUbuntu Server開発者は、サーバーにXをインストールすることを推奨しません。 GUIをインストールしない理由はいくつかあります。

GUIをインストールしない理由には次のものがあります。

1. セキュリティの脆弱性の対象となるコード、更新が必要なパッケージ、およびサーバーのダウンタイムが増加します。
2. X11およびデスクトップパッケージは、LTSサーバーリリースの5年間のライフサイクル全体ではサポートされていません。
3. リソース（メモリ、ハードディスク容量、CPUなど）がGUIによって消費されるため、パフォーマンスが低下する可能性があります。
4. 実稼働サーバーに必要なソフトウェアのみをインストールすることをお勧めします。
5. GUIには、サーバーには不適切な他のネットワークサービスが含まれる場合があります。
   1. Ubuntu Desktop Editionの目標の1つは、ユーザーがLinuxを使いやすくすることです。一部のデスクトップ環境をインストールすると、特に必要のないサービスがインストールされます。たとえば、avahi-daemonは、ネットワークの構成に役立ち、別の開いているポートを追加し、.localドメインとの不要なDNS競合を引き起こす可能性があります。

したがって、最も安全なサーバーでは、GUIをインストールしないことが最善です。

^{「Ubuntuドキュメンテーションwikiへの貢献者」による「ServerGUI」、 CC-BY-SA 3.0で許可されているようにここで再現 。}

多少一般的な誤解に反して、X11はserverであるため、実際に何もすることがありません。実稼働サーバーでGUIを実行するのはなぜですかセキュリティの観点から理想的ではないと見なされます。 X11はvirtually neverであり、デフォルトでは、すべてのオペレーティングシステムで、ネットワークを介してアクセスできるように設定されています。 X11がデフォルト構成でネットワークアクセス可能なサーバーを実行したUbuntuのバージョンはありません。（TCPを介してUbuntuでX11にアクセスするには、SSH経由で転送するか、サーバーを手動で再構成する必要があります。）

さらに、X11がネットワークアクセス可能なサーバーを実行した場合でもであっても、実稼働サーバーシステムにインストールしない理由にはなりません。本番サーバーを実行している人は誰でも、必要に応じて構成し、それを監査して、望ましくないサービスが実行されていないことを確認することができます。 （できない場合、thatは、GUIをインストールして作成するよりもはるかに大きな脅威となります。）X11 hadがポートをリッスンする場合でも物理ネットワークインターフェイス（これは当てはまらない）、netfilter（またはiptablesのような上位レベルのフロントエンド）を使用して、組み込みのufwを再構成することにより、ポートを簡単にブロックできます。

対照的に、上記の問題は、再構成によって簡単に克服することはできません。