[Sa] x11vnc + unix_sockets

tie sa at morp.org
Sun Feb 19 12:37:08 EET 2012


On 02/19/2012 08:56 AM, Tocho Tochev wrote:
> 2012/2/19 tie<sa at morp.org>:
>> Както вече се видя, VNC портовете не са сигурни, дори и само на localhost да
>> са (а не всички са).
> Аз явно нещо пропуснах - защо x11vnc на localhost с парола не е сигурно?
> (приемаме че:
> 1) паролата е във 0600 файл, за да не може някой да си я вземе с ps aux
> 2) гледа се лога на x11vnc
> 3) x11vnc е настроено да приема само 1 връзка (default) и да излиза
> като си свърши работата
> 4) човек си прави ssh tunnel от своята машина)
>
> x11vnc поддържа и ssl (даже и client-side certificate verification,
> само дето повечето клиенти май не са направени за ssl :) ) така че
> може даже и без тунелирането.
>
> Единствения проблем е че някой може много лесно да направи DoS тъй
> като има max 1 client (по default).
>
> Аз доколкото си спомням (ще е голям резил ако съм в грешка) като
> обикновени потребители не може да си следим съдържанието на трафика
> един на друг, нали?
>
> Поздрави,
>    Точо

Първата причина да искам unixsocket е че достъпът до портовете не е 
ограничен за потребителите (като се изключи >1024). Всеки може да 
използва номер не порт който аз съм си избрал. Ако се вържеш към твоя 
порт, може и да стингеш до твоето приложение, а може и да стигнеш до 
някой rogue.

Втората причина е, че с портове се добавя един контрол на достъпа, който 
в случая е излишен. Ако имаш достъп до акаунта си (с SSH key) можеш да 
контролираш и vnc. От тази гледна точка аутентикация и при достъп до 
акаунта, и при vnc е излишна. Би било по-просто (и по-лесно за 
администрация) ако достъпът до SSH автоматично ти дава сигурен коридор 
за достъп до VNC, без да се занимаваш с допълнителни пароли.

Третата причина е че да изкараш този курс без да тунелираш unixsocket по 
ssh е като да отидеш в село Бисер и да не си намокриш краката :)

-- tie


More information about the Sa mailing list