Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Guía de Seguridad del Administrador de Linux - Sistema X Window
(7 opiniones)
Tutorial de
Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados:
Linux
42. Sistema X Window
El sistema X Window proporciona un método transparente a red de compartir datos gráficos, o más específicamente de exportar el display de un programa a un host remoto (o local). Utilizándolo se puede ejecutar un potente paquete de renderizado 3D de una SGI origin 2000 y mostrarlos en un 486. En esencia, es el abuelito de todos estos "delgados clientes" que se están haciendo bastante populares hoy en la actualidad. Se creó en el MIT, durante una época en la que la seguridad no era un asunto que preocupase demasiado. Esto, por supuesto, ha llevado a más de un bug desagradable. Peor incluso, el nivel de control que se le ha dado a X (maneja pulsaciones de teclado, movimientos de ratón, dibuja la pantalla, etc.) significa que si se compromete pueden ocurrir cosas muy desagradables. Estos datos, si se envían sobre la red (p. ej., el programa X que se ejecuta se está mostrando en un host remoto) se pueden registrar en logs con facilidad, de modo que la información sensible (como un xterm que esté siendo utilizado para hacer login en otro sistema remoto) es vulnerable. Además de estos problemas, el protocolo de autentificación que utiliza X es relativamente débil (aunque se ha mejorado). Ejecutarlo en una sesión gráfica de xemacs en un servidor situado 3 zonas horarias más lejos puede ser algo bastante útil.
El X es bastante predecible en cuanto al uso de puertos, casi todas las implementaciones
e instalaciones de X utilizan el puerto 6000 para la primera sesión, e incrementan en uno
para otras sesiones, lo cual lo hace bastante sencillo de escanear. Si no se va a utilizar el
X para mostrar un programa ejecutándose en sistemas remotos, sugeriría que se filtrase
el puerto 6000 con el cortafuegos.
ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 6000:6100
ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 6000:6100
ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 6000:6100
o
ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 6000:6100
ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 6000:6100
ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 6000:6100
El control sobre lo que está permitido ejecutar al servidor X se puede hacer de
diferentes formas.
xhost
El xhost te permite especificar a qué máquinas se le permite o no conectar al servidor X,
es un mecanismo de seguridad bastante simplicista, y no es apropiado en cualquier entorno moderno, sin embargo, si se utiliza en conjunción con otros mecanismos, puede ayudar. El comando es bastante simple: "xhost +nombredehost.com" añade nombredehost.com, "xhost –hostname.com" elimina nombredehost.com de la lista, es necesario especificar "xhost –" para activar la lista de control de accesos, o si no por defecto se le dejará entrar a cualquiera.
mkxauth
Definitivamente, el mkxauth es un paso adelante desde xhost. El mkxauth ayuda a crear ficheros ~/.Xauthority, y juntarlos, lo cual se utiliza para especificar nombres de hosts y las magic cookies relativas. Estas cookies se pueden utilizar para conseguir acceso a un host X remoto (en esencia, cada extremo tiene una copia de la cookie) y se transmiten bien en texto plano (inseguro) o cifrado con DES (bastante seguro). Utilizando este método se puede estar relativamente a salvo y seguro. Los ficheros Xauthority también se pueden utilizar en conjunción con Kerberos, eliminando la necesidad de copiar los ficheros Xauthority y manteniéndolos sincronizados. Los hosts se autentifican entre sí a través de un servidor central de llaves Kerberos de forma cifrada, este método es apropiado para la mayoría de grandes instalaciones/etc. El mkxauth tiene una página de manual excelente "man mkxauth" y se pueden obtener detalles generalizados disponibles en la página del manual del Xsecurity (no estoy seguro de lo común que es el nombre de esta página) "man Xsecurity".
El X es bastante predecible en cuanto al uso de puertos, casi todas las implementaciones
e instalaciones de X utilizan el puerto 6000 para la primera sesión, e incrementan en uno
para otras sesiones, lo cual lo hace bastante sencillo de escanear. Si no se va a utilizar el
X para mostrar un programa ejecutándose en sistemas remotos, sugeriría que se filtrase
el puerto 6000 con el cortafuegos.
ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 6000:6100
ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 6000:6100
ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 6000:6100
o
ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 6000:6100
ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 6000:6100
ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 6000:6100
El control sobre lo que está permitido ejecutar al servidor X se puede hacer de
diferentes formas.
xhost
El xhost te permite especificar a qué máquinas se le permite o no conectar al servidor X,
es un mecanismo de seguridad bastante simplicista, y no es apropiado en cualquier entorno moderno, sin embargo, si se utiliza en conjunción con otros mecanismos, puede ayudar. El comando es bastante simple: "xhost +nombredehost.com" añade nombredehost.com, "xhost –hostname.com" elimina nombredehost.com de la lista, es necesario especificar "xhost –" para activar la lista de control de accesos, o si no por defecto se le dejará entrar a cualquiera.
mkxauth
Definitivamente, el mkxauth es un paso adelante desde xhost. El mkxauth ayuda a crear ficheros ~/.Xauthority, y juntarlos, lo cual se utiliza para especificar nombres de hosts y las magic cookies relativas. Estas cookies se pueden utilizar para conseguir acceso a un host X remoto (en esencia, cada extremo tiene una copia de la cookie) y se transmiten bien en texto plano (inseguro) o cifrado con DES (bastante seguro). Utilizando este método se puede estar relativamente a salvo y seguro. Los ficheros Xauthority también se pueden utilizar en conjunción con Kerberos, eliminando la necesidad de copiar los ficheros Xauthority y manteniéndolos sincronizados. Los hosts se autentifican entre sí a través de un servidor central de llaves Kerberos de forma cifrada, este método es apropiado para la mayoría de grandes instalaciones/etc. El mkxauth tiene una página de manual excelente "man mkxauth" y se pueden obtener detalles generalizados disponibles en la página del manual del Xsecurity (no estoy seguro de lo común que es el nombre de esta página) "man Xsecurity".
Tabla de contenidos
- 1 - Cómo determinar qué asegurar y cómo asegurarlo
- 2 - Instalación segura de Linux
- 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
- 4 - Ficheros del sistema
- 5 - Seguridad de Ficheros / Sistema de ficheros
- 6 - PAM
- 7 - Seguridad Física / de Arranque
- 8 - Seguridad de contraseñas
- 9 - Almacenamiento de Contraseñas
- 10 - Seguridad basica de servicios de red
- 11 - Ficheros basicos de configuración de red
- 12 - TCP-IP y seguridad de redes
- 13 - Seguridad PPP
- 14 - Seguridad IP (IPSec)
- 15 - Cifrado de servicios / datos
- 16 - Rutado
- 17 - Software de Proxy
- 18 - Cortafuegos
- 19 - Telnet
- 20 - SSH
- 21 - FTP
- 22 - HTTP / HTTPS
- 23 - SMTP
- 24 - POP
- 25 - IMAPD
- 26 - DNS
- 27 - NNTP
- 28 - DHCPD
- 29 - RSH, REXEC, RCP
- 30 - NFSD
- 31 - TFTP
- 32 - BOOTP
- 33 - SNMP
- 34 - Finger
- 35 - Identd
- 36 - NTPD
- 37 - CVS
- 38 - rsync
- 39 - lpd
- 40 - Samba
- 41 - Servidores LDAP Linux
- 42 - Sistema X Window
- 43 - Conectividad SNA
- 44 - Software de Autoridad de Certificación para Linux
- 45 - El kernel de Linux
- 46 - Parches de seguridad del kernel y del compilador
- 47 - Herramientas administrativas
- 48 - Gestión de Software
- 49 - Herramientas de monitorización de Hosts
- 50 - Ficheros de Log y otros métodos de monitorización
- 51 - Limitación y monitorización de usuarios
- 52 - Lista de comprobación para la conexión a Internet
- 53 - Métodos de compartición de ficheros
- 54 - Lectores de correo basados en WWW
- 55 - Autentificación Basada en Red
- 56 - Software de Listas de correo
- 57 - Escaneo / herramientas de prueba de intrusos
- 58 - Herramientas de escaneo y detección de intrusos
- 59 - Sniffers de Paquetes
- 60 - Normas de comportamiento / integridad de ficheros
- 61 - Gestión de auditorías
- 62 - Copias de Seguridad
- 63 - Enfrentandose a los ataques
- 64 - Ataques de Negación de Servicio
- 65 - Ejemplos de ataques
- 66 - Virus, Caballos de Troya y Gusanos
- 67 - Distribuciones seguras de Linux
- 68 - Información específica por Distribuidor / Vendedor
- 69 - Información de contacto con vendedores
- 70 - Programación segura
- 71 - Apéndice A: Libros y Revistas
- 72 - Apéndice B: Otra documentación de seguridad sobre Linux
- 73 - Apéndice C: Documentación de seguridad en línea
- 74 - Apéndice D: Sitios de seguridad en general
- 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - Sistema X Window'
|
Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - Sistema X Window'
Si se encuentra con una pantalla con múltiples ventanas, colores o un cursor que sólo...
Más »
Este documento describe cómo usar el sistema de spooling para impresoras de líneas que provee...
Más »
El sistema inmune es el sistema de defensa que tienen los organismos superiores. Es un...
Más »
A lo largo de este trabajo se va a intentar hacer un repaso de los...
Más »
Este documento pretende ser el punto de entrada de los hispanohablantes al mundo Linux, intentando...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
