X11, SVGA en beeldschermbeveiliging

X11 Het is belangrijk dat je je grafische beeldscherm beveiligt om te voorkomen dat aanvallers je wachtwoord inpikken terwijl je het intypt, documenten of andere informatie die op je scherm staat lezen of zelfs een lek gebruiken om root toegang te verkrijgen. Het uitvoeren van remote X applicaties over het netwerk kan ook vol gevaar zijn, doordat het snuffelaars mogelijk wordt gemaakt om al je interactie met het remote systeem te zien. X heeft een aantal manieren voor toegangsbeheer. De eenvoudigste van deze is host-gebaseerd: je gebruikt xhost om alle hosts die toegang mogen hebben tot je beeldscherm te specificeren. Dit is absoluut niet veilig, want als iemand toegang heeft tot je machine, kan het commando xhost + hun machine gegeven worden en men komt gemakkelijk binnen. Bovendien, als je toegang vanaf een niet vertrouwde machine toe moet staan, kan iedereen daar je beeldscherm compromitteren. Als je xdm (X Display Manager) gebruikt om in te loggen, krijg je een veel betere toegangsmethode: MIT-MAGIC-COOKIE-1. Een 128-bit "cookie" wordt gegenereerd en opgeslagen in je .Xauthority bestand. Als je een remote machine toegang moet verschaffen tot je beeldscherm, kun je het xauth commando en de informatie in je .Xauthority bestand gebruiken om toegang te verschaffen voor alleen die verbinding. Zie de Remote-X-Apps mini-HOWTO, beschikbaar op . Je kunt ook ssh gebruiken (zie , hierboven) om veilige X verbindingen mogelijk te maken. Dit heeft als voordeel dat het ook duidelijk is voor de eindgebruiker en houdt in dat er geen ongecodeerde gegevens over het netwerk verzonden worden. Bekijk de Xsecurity man pagina voor meer informatie over X beveiliging. De meest veilige gok is het gebruik van xdm om in te loggen op je console en vervolgens ssh te gebruiken om naar remote sites te gaan waarop je X programma's wilt uitvoeren.

SVGA SVGAlib programma's zijn kenmerkend SUID-root, ten einde al de video hardware van je Linux machines te kunnen benaderen. Dit maakt ze erg gevaarijk. Als ze crashen, zul je kenmerkend je machine opnieuw moeten opstarten om een bruikbare console terug te krijgen. Let er op dat elk SVGA programma dat je uitvoert authentiek en op z'n minst enigszins vertrouwd is. Nog beter, voer ze helemaal niet uit.

GGI (Generic Graphics Interface project) Het Linux GGI project probeert verschillende van de problemen met video interfaces onder Linux op te lossen. GGI zal een klein stukje van de video code naar de Linux kernel verplaatsen en vervolgens de toegang tot het videosysteem beheren. Dit betekent dat GGI in staat is om op elk moment je console in een bekende, goede staat te herstellen. Het voorziet ook in een beveiligings-waarschuwingssleutel, zodat je zeker weet dat er geen Trojan horse login programma op je console draait.