Jump to content

X Window авторизация

В X Window системе программы запускаются как X-клиенты и поэтому подключаются к X -дисплею-серверу , возможно, через компьютерную сеть . Поскольку сеть может быть доступна другим пользователям , необходим метод запрета доступа к программам, запускаемым пользователями, отличными от того, кто вошёл в систему.

Существует пять стандартных механизмов контроля доступа, которые контролируют, может ли клиентское приложение подключаться к X-серверу отображения. Их можно сгруппировать в три категории:

  1. доступ на основе хоста
  2. доступ на основе файлов cookie
  3. доступ на основе пользователя

Кроме того, как и любое другое сетевое соединение, туннелирование можно использовать .

Доступ на основе хоста

[ редактировать ]

Метод доступа на основе хоста заключается в указании набора хостов, которым разрешено подключение к X-серверу отображения. Эта система имеет меньшую безопасность, поскольку позволяет каждому пользователю, имеющему доступ к такому хосту, подключиться к дисплею. xhost Программа и три запроса основного протокола X Window System используются для активации этого механизма, а также для отображения и изменения списка авторизованных хостов. Неправильное использование xhost может непреднамеренно предоставить каждому хосту в Интернете полный доступ к X-дисплей-серверу.

[ редактировать ]

Методы авторизации на основе файлов cookie основаны на выборе волшебного файла cookie (произвольного фрагмента данных) и его передаче на сервер отображения X при его запуске; каждый клиент, который может доказать, что знает об этом файле cookie, затем авторизуется для подключения к серверу.

Эти файлы cookie создаются отдельной программой и сохраняются в файле. .Xauthority по умолчанию в домашнем каталоге пользователя. В результате каждая программа, запускаемая клиентом на локальном компьютере, может получить доступ к этому файлу и, следовательно, к файлу cookie, необходимому для авторизации на сервере. Если пользователь хочет запустить программу с другого компьютера в сети, файл cookie необходимо скопировать на этот другой компьютер. Способ копирования файла cookie зависит от системы: например, на Unix-подобных платформах scp для копирования файла cookie можно использовать .

Две системы, использующие этот метод: MIT-MAGIC-COOKIE-1 и XDM-AUTHORIZATION-1. В первом методе клиент просто отправляет файл cookie при запросе аутентификации. Во втором методе секретный ключ также хранится в .Xauthority файл. Клиент создает строку путем объединения текущего времени, идентификатора, зависящего от транспорта, и файла cookie, шифрует полученную строку и отправляет ее на сервер.

Приложение xauth — это утилита для доступа к .Xauthority файл. Переменная среды XAUTHORITY может быть определено для переопределения имени и местоположения этого файла cookie.

Протокол межклиентского обмена (ICE), реализованный библиотекой межклиентского обмена для прямой связи между клиентами X11, использует тот же MIT-MAGIC-COOKIE-1 метод аутентификации, но имеет собственную утилиту Iceauth для доступа к собственным .ICEauthority файл, местоположение которого можно переопределить с помощью переменной среды ICEAUTHORITY. ICE используется, например, DCOP и протоколом управления сеансами X (XSMP).

Пользовательский доступ

[ редактировать ]

Методы доступа на основе пользователей работают путем авторизации определенных пользователей для подключения к серверу. Когда клиент устанавливает соединение с сервером, он должен доказать, что им управляет авторизованный пользователь.

Два метода, основанные на аутентификации пользователей с использованием сетевых систем управления идентификацией: SUN-DES-1 и MIT-KERBEROS-5. Первая система основана на защищенном механизме системы удаленного вызова процедур ONC, разработанном в SunOS . Второй механизм основан на доверии как клиента, так и сервера серверу Kerberos .

Третий метод ограничен локальными соединениями и использует системные вызовы, чтобы узнать у ядра, какой пользователь находится на другом конце локального сокета. xhost программу можно использовать для добавления или удаления localuser и localgroup записи с помощью этого метода. [1]

Туннелирование

[ редактировать ]

Утилита SSH (при вызове с опцией -X или вариант ForwardX11) туннелирует трафик X11 от удаленно вызываемых клиентов на локальный сервер. Это достигается путем установки на удаленном сайте DISPLAY переменная среды, указывающая на локальный TCP-сокет, открытый там sshd, который затем туннелирует связь X11 обратно в ssh. Затем Sshd также вызывает xauth, чтобы добавить на удаленном сайте строку MIT-MAGIC-COOKIE-1 в .Xauthority там, который затем разрешает клиентам X11 доступ к локальному X-серверу пользователя ssh.

Соединения X11 между клиентом и сервером по сети также можно защитить с помощью других протоколов защищенного канала, таких как Kerberos / GSSAPI или TLS , хотя такие варианты сейчас используются гораздо реже, чем SSH.

Ссылки

[ редактировать ]
  1. ^ «Интерпретируемые сервером типы аутентификации «localuser» и «localgroup» » . Фонд X.Org . Проверено 16 января 2015 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=X_Window_authorization&oldid=1022399483"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 653a534266eb5f7b40a4b8fb8b25595c__1620626100
URL1:https://arc.ask3.ru/arc/aa/65/5c/653a534266eb5f7b40a4b8fb8b25595c.html
Заголовок, (Title) документа по адресу, URL1:
X Window authorization - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)