Se protéger contre les petits malins

De Ensiwiki
Aller à : navigation, rechercher

Introduction

Cette page décrit deux mesures de protection de base, qui ont été fort utile dans le passé. Sur les machines actuelles, ces protections sont activées par défaut donc il n'est plus indispensable de les connaître.

Protection du serveur X

Par défaut, il est possible d'envoyer des fenetres (voire d'autres actions X11, comme xkill ...). Pour l'interdire :

 xhost -

Qui devrait répondre ceci :

 access control enabled, only authorized clients can connect

Pour remettre cette autorisation, c'est simplement xhost +.

Protection permanente

Si vous voulez rendre ce xhost - permanent, il suffit d'ajouter cette ligne dans votre fichier ~/.xsession, avant la dernière ligne (celle qui lance votre window-manager). Ainsi, xhost - sera exécutée à chaque fois que vous démarrerez une session graphique.

Le serveur caché

Bon alors il y a des petits malins qui ont découvert qu'en fait il y avait un second serveur X sur chaque TX. Apparemment, il sert au login mais reste actif (et donc pourrissable) une fois votre session lancée... ça c'est la mauvaise nouvelle ; la bonne c'est qu'apparemment, une fois loggé, vous avez les droits sur ce serveur ! Le truc pour vous protéger, cette fois-ci est le même qu'utilisent les autres pour vous pourrir : changer la valeur de la variable DISPLAY avant de lancer votre commande, en l'occurrence, xhost.

Et voici donc une modeste tentative de script pour vous aider :

DISPLAY="${DISPLAY%%:*}:1" xhost -

Protection contre les messages

Par défaut, on peut envoyer des messages sur les terminaux des autres en utilisant la commande "write". Pour l'interdire :

 mesg n

(et pour le ré-autoriser, mesg y)

Protection permanente

Cette fois-ci, il faut lancer la commande à chaque fois qu'on lance un terminal. C'est donc dans le fichier ~/.bashrc qu'il faut placer mesg n.