在X Window系统,程序作为X的客户端运行,因此它们可能通过计算机网络连接到X display server。由于其他用户也可能通过网络连接,禁止用户访问其他登录用户运行的程序是必须的。
有5种控制客户端是否可以连接X display server的访问控制机制。它们可以分成三类:
- 基于主机的访问
- 基于cookie的访问
- 基于用户的访问
此外,像其他的网络连接,隧道都可以使用。
基于主机的访问
基于主机的访问方法包括指定被授权连接到X display server一组主机。该系统被认为是过时, [被谁?] ,因为它允许任何可以访问这样的主机的用户连接到display上。 xhost的程序和X Window系统的核心协议请求被用于启动这一机制,并显示和更改授权的主机列表。不正确地使用xhost可以在不经意间给互联网上每一个主机完全访问X display server的权限。
基于cookie的访问
基于cookie的授权方法是基于选择一个神奇的cookie (任意一块数据),并在服务器启动时把它传递给服务器;每一个客户端,可以证明有这个cookie的知识,然后授权连接到服务。
这些cookies是由一个单独的程序创建并存储在文件中。默认情况下,.Xauthority在用户的主目录下。结果是,每一个在本地计算机上运行的客户端程序可以访问这个文件,因此这个cookie必须被服务器授权 。如果用户想从网络上的另一台计算机启动应用,该Cookie已被复制到这台计算机。如何被复制的是一个与系统相关的问题:比如,在类Unix平台, SCP可以用来复制的cookie 。
使用这种方法的两个系统是MIT-MAGIC - COOKIE - 1和XDM-AUTHORIZATION- 1 。在第一种方法中,当请求进行认证,客户机简单地发送该cookie。在第二种方法中,秘密密钥也被存储在.Xauthority文件。客户端通过串联的当前时间、与传输相关的标识符核cookie来创建一个字符串,加密生成的字符串,并将其发送到服务器。
xauth应用程序是用于访问. Xauthority文件的工具。
基于用户的访问
基于用户的接入方法通过授权特定用户连接到服务器。当客户端建立到服务器的连接时,它必须证明由授权用户所控制。
基于验证用户身份的两种方法是SUN- DES- 1和MIT - Kerberos-5 。第一个系统是基于在SunOS上开发的安全远程过程调用机制。第二个机制是基于客户端和服务器都信任的Kerberos服务。
隧道
客户端和服务器之间的网络连接通过使用安全的隧道协议,如SSL或SSH进行保护。
扫一扫
718
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
