X11 সার্ভারগুলিতে সুরক্ষা ঝুঁকিপূর্ণ কেন?

11

আমার মনে আছে পড়াটি মনে আছে যে সার্ভারগুলির একটি জিইউআই নেই কারণ এক্স 11 সুরক্ষা ঝুঁকিপূর্ণ। কেন?

xorg  security  xserver 
Orcris
সূত্র

উত্তর:

8

উবুন্টুর সম্প্রদায়ের ডকুমেন্টেশনগুলি প্রোডাকশন সার্ভার সিস্টেমে জিইউআই চালানোর জন্য সুপারিশ করা হয়নি তার আসল কারণগুলি ব্যাখ্যা করে :

বেশিরভাগ উবুন্টু সার্ভার বিকাশকারীরা কোনও সার্ভারে এক্স ইনস্টল করার পরামর্শ দেয় না । জিইউআই ইনস্টল না করার একাধিক কারণ রয়েছে।

জিইউআই ইনস্টল না করার কয়েকটি কারণগুলির মধ্যে রয়েছে:

  1. সুরক্ষা দুর্বলতা, আরও প্যাকেজগুলির জন্য আপডেটের প্রয়োজন এবং আরও সার্ভার ডাউনটাইম সাপেক্ষে আপনার কাছে আরও কোড থাকবে।
  2. এক্স 11 এবং ডেস্কটপ প্যাকেজগুলি এলটিএস সার্ভারের রিলিজের পুরো 5 বছরের লাইফসাইকেলের জন্য সমর্থিত নয়।
  3. কর্মক্ষমতা ক্ষতিগ্রস্থ হতে পারে কারণ জিইউআই দ্বারা সংস্থানগুলি (মেমরি, হার্ড ডিস্ক স্পেস, সিপিইউ ইত্যাদি) গ্রাস করা হবে।
  4. কেবলমাত্র একটি প্রোডাকশন সার্ভারে প্রয়োজনীয় সফ্টওয়্যার ইনস্টল করা ভাল অনুশীলন।
  5. জিইউআইতে অন্যান্য নেটওয়ার্ক পরিষেবাদি অন্তর্ভুক্ত থাকতে পারে যা কোনও সার্ভারের জন্য অনুপযুক্ত।
    1. উবুন্টু ডেস্কটপ সংস্করণের অন্যতম লক্ষ্য হ'ল ব্যবহারকারীদের লিনাক্স ব্যবহার করা সহজ করা। কিছু ডেস্কটপ এনভায়রনমেন্ট ইনস্টল করার সময়, পরিষেবাগুলি যা আপনি বিশেষভাবে না চান তা ইনস্টল করা হবে। উদাহরণস্বরূপ avahi-daemon , যা নেটওয়ার্কিং কনফিগার করতে সহায়তা হিসাবে ব্যবহৃত হয়, অন্য একটি উন্মুক্ত পোর্ট যুক্ত করে এবং একটি .local ডোমেনের সাথে অবাঞ্ছিত DNS সংঘাতের পরিচয় দিতে পারে।

তাই সর্বাধিক সুরক্ষিত সার্ভারের জন্য জিইউআই ইনস্টল না করা ভাল।

"উবুন্টু ডকুমেন্টেশন উইকিতে অবদানকারীদের" "সার্ভারজিইউআই", সিসি-বাই-এসএ 3.0 দ্বারা অনুমোদিত হিসাবে এখানে পুনরুত্পাদন করা হয়েছে

কিছুটা সাধারণ ভুল ধারণা পক্ষান্তরে, X11 একটি হচ্ছে সার্ভার সত্যিই হয়েছে কোন সম্পর্ক নেই কেন একটি প্রকাশনা সার্ভারে একটি GUI চলমান সঙ্গে একটি নিরাপত্তা দৃষ্টিকোণ থেকে অ আদর্শ বলে মনে করা হয়। কোনও অপারেটিং সিস্টেমে আর কোনও নেটওয়ার্কের অ্যাক্সেসযোগ্য হওয়ার জন্য এক্স 11 কার্যত কখনও ডিফল্টরূপে কনফিগার করা হয় না। উবুন্টুর কোনও সংস্করণে এক্স 11 কখনই ডিফল্ট কনফিগারেশনে নেটওয়ার্ক-অ্যাক্সেসযোগ্য সার্ভার চালায় নি। (টিসিপির মাধ্যমে উবুন্টুতে এক্স 11 এ্যাক্সেস করতে আপনাকে এসএসএইচ বা ম্যানুয়ালি সার্ভারটি পুনরায় কনফিগার করার পরে আপনাকে এটি ফরোয়ার্ড করতে হবে))

তদ্ব্যতীত, যদিও এক্স 11 কোনও নেটওয়ার্ক-অ্যাক্সেসযোগ্য সার্ভার চালিত করে , এটি কোনও প্রোডাকশন সার্ভার সিস্টেমে ইনস্টল না করার কোনও কারণ হবে না। যে কোনও প্রোডাকশন সার্ভার চালাচ্ছেন তারা সম্ভবত এটির প্রয়োজনগুলির জন্য এটি কনফিগার করতে এবং অবাঞ্ছিত পরিষেবাগুলি চলমান না তা নিশ্চিত করার জন্য এটির নিরীক্ষণ করতে সক্ষম। (তারা নয়, তাহলে করতে পারেন যে চেয়ে একটি GUI ইনস্টল থাকার দ্বারা নির্মিত হবে তাদের নিরাপত্তার জন্য অনেক বেশি হুমকি হবে।) এমনকি যদি ব্যবহারে X11 ছিল (ক শারীরিক নেটওয়ার্ক ইন্টারফেস উপর একটি বন্দর শোনা আছে যে ক্ষেত্রে নয় বন্দর), বিল্ট-ইনটি (বা একটি উচ্চ-স্তরের ফ্রন্ট্যান্ডের মতো ) netfilterব্যবহার করে সহজেই পুনরায় কনফিগার করে অবরুদ্ধ করা যেতে পারে ।iptablesufw

বিপরীতে, উপরে উল্লিখিত সমস্যাগুলি পুনরায় কনফিগারেশনের মাধ্যমে অতিক্রম করা এত সহজ নয়।

এলিয়াহ কাগন
সূত্র
1
10.04 এর সার্ভার বনাম ডেস্কটপ, 12.04 এবং পরে না করার জন্য একটি পৃথক সমর্থন জীবনকাল ছিল। এছাড়াও, একটি অলস গুই কোনও সিপু গ্রাস করে না এবং এটি ব্যবহার করা মেষটি অদলবদল হয়ে যাবে।
psusi
@ পিপুসী সমর্থন লাইফসাইকেল পরিবর্তনের বিষয়টি একটি ভাল। সিপিইউ এবং র‌্যাম সম্পর্কিত সমস্যাগুলির জন্য, (1) আমি অভিজ্ঞতার সাথে একমত নই যে নিষ্ক্রিয় জিইউআই কখনই সিপিইউ গ্রহণ করে না, এবং (২) যদি কোনও জিইউআই চলছে, তখন যখন কেউ লোকাল মেশিনে কাজ করছে, তারা সম্ভবত এটি ব্যবহার করছে কিনা, তারা চায় বা না চায় এবং এর ফলে এটি আরও সিপিইউ এবং মেমরির সংস্থান গ্রহণ করবে। যাইহোক, 1, 4 এবং 5 পয়েন্টগুলি সত্যই (এবং সম্ভবত সর্বদা ছিল) প্রোডাকশন সার্ভারে জিইউআই চালনা না করাকে বিবেচনা করার সবচেয়ে উল্লেখযোগ্য কারণ এবং সেগুলি লাইফসাইকেল বা সংস্থান ব্যবহারের বিষয়গুলি থেকে স্বতন্ত্র।
এলিয়াহ কাগন
আমি যুক্ত করতে পারি যে ডিফল্টভাবে এক্সওর্জিও রুট হিসাবে চালায়।
ওয়াদিহ এম।
5

প্রতিটি চলমান প্রক্রিয়া একটি সুরক্ষা ঝুঁকি। বিশেষত যাঁরা একটি নেটওয়ার্ক পোর্টে শুনেন (এক্স 11 করেন)।

সাধারণ ভাল অনুশীলন এমন কোনও সার্ভারে এমন কোনও কিছু চালানো নয় যা একেবারে থাকার দরকার নেই এবং এক্স 11 অবশ্যই কোনও সার্ভারে থাকা দরকার নেই যা আপনি এসএসএইচ করে যাবেন।

আমি সন্দেহ করি আপনি যে নিবন্ধটি পড়েছিলেন তা X11 এ একটি নির্দিষ্ট দুর্বলতার কথা বলছিলেন (এটি যদি ঠিক করা হত তবে দুর্বলতাগুলি দীর্ঘকাল ধরে ফিক্সড না করে ঝুলতে থাকে), বরং কেবল সাধারণ ভাল অভ্যাস।

সিজিয়াম
সূত্র
2
বেশিরভাগ আধুনিক লিনাক্স ডিস্ট্রিবিউশনে (উবুন্টুর মতো) ডিফল্টরূপে এক্স সার্ভারটি কোনও নেটওয়ার্ক পোর্টে শুনতে পায় না তবে কেবলমাত্র ডোমেন সকেটের মাধ্যমে স্থানীয় সংযোগ গ্রহণ করে।
ফ্লোরিয়ান ডিয়েচ
@ ফ্লোরিয়ানডিয়েশ এমনকি সার্ভার থেকে অ-কনফিগার করা একজনকে?
এমিথ কে কে
X11 একটি নেটওয়ার্ক সার্ভার উল্লেখ করার জন্য বড় +1।
স্টেফানো প্যালাজো
2
অমিত: হ্যাঁ xinit / startx -nolisten tcpডিফল্টরূপে ব্যবহার করে
ফ্লোরিয়ান ডিয়েচ
5

কারণ এটি সঠিকভাবে সুরক্ষিত না করা হলে এক্স উইন্ডো সিস্টেমটি একটি গুরুতর সুরক্ষা ঝুঁকি তৈরি করে। একটি এক্স 11 "ডিসপ্লে" হ'ল এক্স 11 সার্ভারটি আপনার ডেস্কটপে চলছে এবং এতে স্ক্রিন, কীবোর্ড এবং মাউস অন্তর্ভুক্ত রয়েছে। যদি আপনার এক্স 11 ডিসপ্লেটি নিরাপত্তাহীন হয় তবে এটি ইন্টারনেটের যে কোনও জায়গায় চলছে এমন কোনও প্রোগ্রামকে এটিতে সংযোগ স্থাপনের অনুমতি দেবে এবং সংযোগটি আপনার কাছে সম্পূর্ণ অদৃশ্য হয়ে যেতে পারে। একবার সংযুক্ত হয়ে গেলে, সেই প্রোগ্রামটি আপনার প্রদর্শনে সম্পূর্ণ অ্যাক্সেস পায়, যার অর্থ এটি করতে পারে:

  • স্ট্যান্ডার্ড এক্স 11 ইউটিলিটি প্রোগ্রামগুলি ব্যবহার করে আপনার স্ক্রিনের সামগ্রীগুলি দেখুন এবং অনুলিপি করুন;
  • আপনার কীস্ট্রোক পর্যবেক্ষণ করুন;
  • আপনার ডেস্কটপে কোনও নেটস্কেপ ব্রাউজার রিমোটলি নিয়ন্ত্রণ করুন এবং কীস্ট্রোকগুলি ফরজ করুন যেন আপনি সেগুলি নিজেরাই টাইপ করছেন (যদিও সমস্ত এক্স 11 অ্যাপ্লিকেশন এটির জন্য সংবেদনশীল নয়)।

একটি থাম্ব নিয়ম ব্যবহার করার জন্য নয় xhost +- এটি সম্পূর্ণরূপে আপনার প্রদর্শনটির সুরক্ষা অক্ষম করে।

এক্স ফরোয়ার্ড করার একটি ভাল উপায় হচ্ছে ssh

থেকে নেওয়া : http://www2.slac.stanford.edu/computing/security/xwindow/

অমিত কে কে
সূত্র
1
এই নিবন্ধটি 10 ​​বছরের পুরানো। তথ্য কি এখনও বৈধ?
স্টেফানো প্যালাজো
1
বেশিরভাগ ক্ষেত্রে, হ্যাঁ ... কারণ আফাইক আমাদের xhost +কমান্ডটি
এমিথ কে কে
xhost +-nolisten tcpযদিও ওভাররাইড করতে পারে না , কেবলমাত্র লোকালহোস্ট থেকে কোনও সংযোগের জন্য আপনাকে উন্মুক্ত করে।
অ্যালাঙ্ক
এই সমস্যাগুলি পৃথকভাবে প্রতিটি অ্যাপ্লিকেশনের জন্য একটি জেসারভার শুরু করে সমাধান করা হবে?
ফিলি 294
-6

আসল কারণ হ'ল প্রশাসকরা কমান্ড লাইন থেকে স্টাফ চালিয়ে নিজেকে সুপার স্মার্ট হিসাবে ভাবতে পারেন। উবুন্টু সার্ভারে জিইউআই চালানোর কোনও সুরক্ষা ঝুঁকি নেই।

ধনী স্ট্রাইকার
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.