"xhost local"(콜론 제외)은 악의적인 액세스를 허용합니까?

"xhost local"(콜론 제외)은 악의적인 액세스를 허용합니까?

새 시스템을 설정 중인데 GUI 유틸리티를 실행하려면 루트가 아닌 사용자의 X 디스플레이에 루트 액세스 권한을 부여해야 합니다. 제가 사용한 명령어 xhost는 다음과 같습니다만,잘못콜론 접미사를 제거하면 원격 서버에 대한 액세스가 허용되는 것 같습니다 lb.usemaxserver.de...

  nonroot@host2:~  xhost -
access control enabled, only authorized clients can connect
  nonroot@host2:~  xhost local
local being added to access control list
  nonroot@host2:~  xhost
access control enabled, only authorized clients can connect
INET:lb.usemaxserver.de
INET:localhost

저는 아래 방법으로 제거했습니다..

  nonroot@host2:~  xhost -INET:lb.usemaxserver.de
lb.usemaxserver.de being removed from access control list

내 설명이 맞나요?

그렇다면 해당 주소에 링크 lb.usemaxserver.de되도록 설정하려면 어떻게 해야 합니까 ?local

이를 위해서는 내 시스템에 이미 일부 악의적인 구성이나 소프트웨어가 필요합니까? 그렇다면 어디를 봐야 할지 제안해 주실 수 있나요?

답변1

새 시스템을 설정 중인데 GUI 유틸리티를 실행하려면 루트가 아닌 사용자의 X 디스플레이에 루트 액세스 권한을 부여해야 합니다.

당신이 원하는 것 같아요 xhost +si:localuser:root. (이것은 모든 X 구현에서 사용할 수 없습니다. man Xsecurity또한 일부 구현에서는 완전히 유효하지 않음을 의미합니다. 그러나 보다 나은 것 같습니다 +local:.)

또한 어쨌든 X 서버는 네트워크에서 직접 액세스할 수 없습니다. 예를 들어SSH 없이 원격 X 서버에 어떻게 연결하나요?

이를 위해 아래와 같이 xhost 명령을 사용했는데... 원격 서버에 대한 접근을 허용한 것 같습니다.lb.usemaxserver.de

xhost +local호스트 이름을 조회 local하므로 DNS 검색 경로 등에 따라 달라집니다.

$ xhost +local
xhost:  bad hostname "local"
$ dig local
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
...

local시스템이 여러 다른 호스트로 확인되는 것 같습니다 . 비교하다:

$ xhost +smtp.gmail.com
smtp.gmail.com being added to access control list
$ xhost
access control enabled, only authorized clients can connect
INET6:wr-in-x6d.1e100.net
INET:wr-in-f108.1e100.net
INET:wr-in-f109.1e100.net
SI:localuser:alan
$ dig smtp.gmail.com
...
smtp.gmail.com.     104 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.108
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.109
...
$ dig AAAA smtp.gmail.com
smtp.gmail.com.     170 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 271 IN AAAA    2a00:1450:400c:c0c::6c
$ dig -x 2a00:1450:400c:c0c::6c
c.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.0.c.0.c.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa. 300 IN PTR wr-in-x6c.1e100.net.

관련 정보