Se protéger contre les petits malins
Sommaire
Introduction
Cette page décrit deux mesures de protection de base, qui ont été fort utile dans le passé. Sur les machines actuelles, ces protections sont activées par défaut donc il n'est plus indispensable de les connaître.
Protection du serveur X
Par défaut, il est possible d'envoyer des fenetres (voire d'autres actions X11, comme xkill ...). Pour l'interdire :
xhost -
Qui devrait répondre ceci :
access control enabled, only authorized clients can connect
Pour remettre cette autorisation, c'est simplement xhost +
.
Protection permanente
Si vous voulez rendre ce xhost -
permanent, il suffit d'ajouter cette ligne dans votre fichier ~/.xsession
, avant la dernière ligne (celle qui lance votre window-manager). Ainsi, xhost -
sera exécutée à chaque fois que vous démarrerez une session graphique.
Le serveur caché
Bon alors il y a des petits malins qui ont découvert qu'en fait il y avait un second serveur X sur chaque TX. Apparemment, il sert au login mais reste actif (et donc pourrissable) une fois votre session lancée... ça c'est la mauvaise nouvelle ; la bonne c'est qu'apparemment, une fois loggé, vous avez les droits sur ce serveur ! Le truc pour vous protéger, cette fois-ci est le même qu'utilisent les autres pour vous pourrir : changer la valeur de la variable DISPLAY avant de lancer votre commande, en l'occurrence, xhost.
Et voici donc une modeste tentative de script pour vous aider :
DISPLAY="${DISPLAY%%:*}:1" xhost -
Protection contre les messages
Par défaut, on peut envoyer des messages sur les terminaux des autres en utilisant la commande "write". Pour l'interdire :
mesg n
(et pour le ré-autoriser, mesg y
)
Protection permanente
Cette fois-ci, il faut lancer la commande à chaque fois qu'on lance un terminal. C'est donc dans le fichier ~/.bashrc
qu'il faut placer mesg n
.