| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Es importante asegurar su salida gráfica para prevenir que los atacantes hagan cosas como: grabar sus claves mientras las introduce, sin que lo sepan, leer documentos o información que tiene en la pantalla, o incluso usar un agujero para obtener acceso de superusuario. La ejecución remota de aplicaciones X sobre la red también puede ser llenada con peligro, permitiendo que los espías (sniffers) vean toda su interacción con el sistema remoto.
X tiene cierto número de mecanismos de control. El más simple es el basado en el host. Puede usar xhost para especificar a qué hosts se les acceder a su display. Esto no es muy seguro de todas formas. Si alguien tiene acceso a su máquina puede hacer xhost + su máquina y entrar fácilmente. También, si tiene que permitir acceso de una máquina insegura cualquiera puede comprometer su display.
Cuando use (x display manager) para entrar al sistema, tiene un método mucho mejor de acceso: MIT-MAGIC-COOKIE-1. Se genera un cookie de 128bit y se almacena en su fichero .Xauthorty. Si necesita permitir acceder a su display a una máquina remota, puede usar el el comando xauth y la información de fichero .Xauthority para proporcionar acceso a esa conexión. Vea el mini-howto Remote-X-Apps disponible en http://sunsite.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.
También puede usar ssh (vea ssh arriba) para permitir conexiones X seguras. Esto tiene la ventaja de ser también transparente al usuario final, y significa que no circulan por la red datos descifrados.
Mire la página de manual de Xsecurity para mas información sobre la seguridad en X. La mejor apuesta es usar xdm para conectarse a su consola y entonces ssh para ir a los sitios remotos en los que quiere ejecutar aplicaciones.
Los programas de SVGAlib son típicamente SUID-root para poder acceder a todo su hardware de video de su máquina Linux. Esto los hace muy peligrosos. Si fallan, típicamente necesita reiniciar su máquina para tener una consola utilizable. Esté seguro de que cualquier programa SVGA que ejecuta es auténtico, y que al menos se puede confiar. Incluso mejor, no los ejecute.
El proyecto Linux GGI está intentando resolver varios problemas con los interfaces de video sobre Linux. GGI moverá una pequeña parte del código de video al núcleo de Linux y entonces controlar el acceso al sistema de video. Esto significa que GGI podrá restaurar su consola en cualquier momento a un estado bueno conocido. También permitirá una clave de atención segura para que pueda estar seguro que no hay ningún caballo de Troya de login ejecutándose en su consola. http://synergy.caltech.edu/~ggi/
| <<< Previous | Home | Next >>> |
| 5.15 CFS - Cryptographic File System y TCFS - transparent cryptographic File System | 6. Seguridad del Núcleo |