GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Sicherheitsbedenken bei der X11-Weiterleitung

Die Implikation der X11-Weiterleitung ist, dass sie einen Kanal vom Server zurück zum Client öffnet. In einer einfachen SSH-Sitzung ist der Client vertrauenswürdiger als der Server:Jeder, der die Kontrolle über den Client hat, kann Befehle auf dem Server ausführen (Shell-Zugriff vorausgesetzt), aber das Gegenteil gilt nicht. Mit der X11-Weiterleitung erhält der Server wahrscheinlich Shell-Zugriff auf den Client.

In einer Textsitzung gibt es einen begrenzten Kanal vom Server zurück zum Client:Der Server bestimmt die Ausgabe, die auf dem Client angezeigt wird, und kann insbesondere versuchen, Escape-Sequenzen in dem auf dem Client laufenden Terminal auszunutzen,

In einer X11-Sitzung kann der Server X11-Befehle an den Client zurücksenden. X11 wurde nicht im Hinblick auf Sicherheit entwickelt, es wurde mit der Idee entwickelt, dass alle Programme, die Sie anzeigen, von Ihnen ausgeführt werden und daher ohnehin vertrauenswürdig sind. Standardmäßig unterwirft SSH Befehle vom Server Einschränkungen durch die Erweiterung X11 SECURITY. Die SECURITY-Erweiterung deaktiviert einige offensichtliche Angriffe wie Keyboard Grabs und Key Injection, lässt aber andere wie Focus Stealing zu.


Nehmen wir an, ich öffne eine SSH-Verbindung zu someserver , mit aktivierter X11-Weiterleitung. Das Hauptrisiko besteht darin, dass wenn someserver bösartig ist, dann someserver kann alle möglichen fiesen Dinge mit den Fenstern/Anwendungen anstellen, die ich auf meinem eigenen Computer geöffnet habe.

Zum Beispiel someserver kann Fenster auf meinem Computer öffnen, kann andere Fenster schließen, die ich geöffnet habe, kann den Inhalt anderer Fenster ausspionieren, die ich geöffnet habe, kann die Tasten ausspionieren, die ich in andere Fenster tippe, kann gefälschte Tastenanschläge und Mausereignisse in andere Fenster einschleusen I geöffnet haben, und im Allgemeinen einfach mit jedem anderen Fenster herumspielen, das ich auf meinem Rechner geöffnet habe -- selbst wenn einige dieser anderen Fenster lokale Anwendungen sind, die lokal ausgeführt werden.


Linux
  1. So arbeiten Sie mit dem SFTP-Client unter Linux – 10 sftp-Befehle

  2. Ubuntu – X11 auf Server ohne Weiterleitung?

  3. Überwachen Sie einen Server mit Munin

  4. So scannen Sie Ihren Server mit dem cPanel Security Advisor

  5. Wie aktiviere ich die SSH X11-Weiterleitung über einen zusätzlichen Server?

Linux-Sicherheitsaudit mit Lynis

So registrieren Sie Clients bei SpaceWalk Server – CentOS / RHEL

Sicherheitsaudit mit Lynis

LDAP-Client

Sichern Sie Ihren Apache-Webserver mit Mod Security

Melden Sie sich mit einem privaten SSH-Schlüssel auf einem Windows-Client bei einem Linux-Server an