5.4. Asegurando el acceso al sistema X Window

Hoy en día, más y más empresas usan las terminales X cuando necesitan un servicio para muchas estaciones de trabajo, ésto puede ser peligroso porque necesita permitir que un servidor de archivos se conecte con los clientes (el servicio X, desde el punto de vista X. X intercambia la definición de cliente y servidor) Si sigue la (muy mala) sugerencia de muchos documentos, tecleé xhost + en su máquina. Esto permite conenctar con su sistema a cualquier cliente X. Para tener una seguridad ligeramente mejor, puede usar el comando xhost +hostname en vez de la anterior para permitir un acceso desde servidores específicos.

A much more secure solution, though, is to use ssh to tunnel X and encrypt the whole session. This is done automatically when you ssh to another machine. For this to work, you have to configure both the ssh client and the ssh server. On the ssh client, ForwardX11 should be set to yes in /etc/ssh/ssh_config. On the ssh server, X11Forwarding should be set to yes in /etc/ssh/sshd_config and the package xbase-clients should be installed because the ssh server uses /usr/X11R6/bin/xauth (/usr/bin/xauth on Debian unstable) when setting up the pseudo X display. In times of SSH, you should drop the xhost based access control completely.

Para mayor seguridad, si no necesita acceso a X desde otras máquinas, dehabilite el enlace con el puerto tcp 6000 tecleando simplemente: startx -- -nolisten tcp

$ startx -- -nolisten tcp

Este es el comportamiento original en XFree 4.0 (el servidor X suministrado en Debian 3.0). Si está usando XFree 3.3.6 (i.e. tiene un Debian 2.2 instalado) puede editar /etc/X11/xinit/xserverrcc para que tenga unas líneas como las siguientes:

#!/bin/sh
exec /usr/bin/X11/X -dpi 100 -nolisten tcp

If you are using XDM set /etc/X11/xdm/Xservers to: :0 local /usr/bin/X11/X vt7 -dpi 100 -nolisten tcp. If you are using Gdm make sure that the DisallowTCP=true option is set in the /etc/gdm/gdm.conf (which is the default in Debian). This will basically append -nolisten tcp to every X command line ^[36].

You can also set the default's system timeout for xscreensaver locks. Even if the user can override it, you should edit the /etc/X11/app-defaults/XScreenSaver configuration file and change the lock line:

*lock:                  False

(which is the default in Debian) to:

*lock:                  True

FIXME: Add information on how to disable the screensavers which show the user desktop (which might have sensitive information).

Lea mas sobre la seguridad X Window en http://www.linuxdoc.org/HOWTO/XWindow-User-HOWTO.html (/usr/share/doc/HOWTO/en-txt/XWindow-User-HOWTO.txt.gz).

ARREGLAME: Add info on thread of debian-security on how to change config files of XFree 3.3.6 to do this.

5.4.1. Revisar su administrador visual

Si usted solamente quiere tener un administrador visual instalado para el uso local (teniendo un bonito login grafico), asegurarse que el material seguro XDMCP (control de protocolo de administrador visual X) este inhabilitado. En XDM usted puede hacer esto con la siguiente linea. /etc/X11/xdm/xdm-config:

DisplayManager.requestPort: 0

For GDM there should be in your gdm.conf:

[xdmcp]
Enable=false

Normalmente, todos los administradores visuales estan configurados para no iniciar los servicios de XDMCP por defecto en Debian.

^[36] Gdm will not append -nolisten tcp if it finds a -query or -indirect on the command line since the query wouldn't work.