web-dev-qa-db-fra.com

Pourquoi X11 pose-t-il un risque pour la sécurité des serveurs?

Je me souviens de lire que les serveurs n’ont pas d’interface graphique, car X11 représente un risque pour la sécurité. Pourquoi?

xorgsecurityxserver
11
Orcris

Documentation de la communauté Ubuntu explique les vraies raisons pourquoi il n'est pas recommandé d'exécuter une interface graphique sur un système de serveur de production:

La plupart des développeurs de Ubuntu Server ne recommandent pas d'installer X sur un serveur. Il y a plusieurs raisons pour ne pas installer une interface graphique.

Certaines des raisons de ne pas installer une interface graphique incluent:

  1. Vous aurez plus de code sujet à des vulnérabilités de sécurité, plus de paquets nécessitant une mise à jour et plus de temps d'arrêt du serveur.
  2. Les packages X11 et Desktop ne sont pas pris en charge pendant le cycle de vie complet de 5 ans de la version du serveur LTS.
  3. Les performances peuvent en souffrir car les ressources (mémoire, espace disque, CPU, etc.) seront utilisées par l'interface graphique.
  4. Il est recommandé d’installer uniquement les logiciels nécessaires sur un serveur de production.
  5. L’interface graphique peut inclure d’autres services réseau inappropriés pour un serveur.
    1. L'un des objectifs d'Ubuntu Desktop Edition est de faciliter l'utilisation de Linux par les utilisateurs. Lors de l'installation de certains environnements de bureau, les services que vous ne souhaitez pas spécifiquement seront installés. Par exemple avahi-daemon , utilisé pour vous aider à configurer la mise en réseau, ajoute un autre port ouvert et peut introduire des conflits DNS non désirés avec un domaine .local.

Donc, pour le serveur le plus sécurisé, il est préférable de ne pas installer d'interface graphique.

"ServerGUI" by "Contributeurs au wiki de la documentation Ubuntu", reproduit ici comme autorisé par CC-BY-SA 3. .

Contrairement à une idée fausse assez répandue, X11 étant un serveur n’a vraiment rien à faire avec pourquoi exécuter une interface graphique sur un serveur de production est considéré comme non idéal du point de vue de la sécurité. X11 est pratiquement jamais configuré par défaut pour être accessible sur un réseau, sur n’importe quel système d’exploitation. Aucune version d’Ubuntu n’a jamais vu X11 exécuter un serveur accessible au réseau dans la configuration par défaut. (Pour accéder à X11 sur Ubuntu via TCP, vous devez le transférer via SSH ou le reconfigurer manuellement. le serveur.)

De plus, même si X11 exécutait un serveur accessible au réseau , cela ne constituerait pas une raison pour ne pas l'avoir installé sur un système serveur de production. Toute personne utilisant un serveur de production est probablement capable de le configurer pour ses besoins et de l’auditer pour s’assurer que des services indésirables ne sont pas en cours d’exécution. (S'ils ne le peuvent pas, , cela constituera une menace beaucoup plus grande pour leur sécurité que ne le créerait une interface graphique installée.) Même si X11 avait pour avoir un port en écoute sur une interface réseau physique (, ce qui n'est pas le cas ), le port pourrait facilement être bloqué en reconfigurant le netfilter intégré à l'aide de iptables ( ou une interface de niveau supérieur comme ufw).

En revanche, les problèmes énumérés ci-dessus ne sont pas faciles à résoudre par la reconfiguration.

8
Eliah Kagan

Chaque processus en cours est un risque de sécurité. Particulièrement ceux qui écoutent sur un port réseau (X11 le fait).

La bonne pratique générale consiste à ne pas exécuter quoi que ce soit sur un serveur qui n’a pas nécessairement besoin d’être présent, et X11 n’a certainement pas besoin d’être sur un serveur sur lequel vous allez SSH.

Je doute que l’article que vous avez lu parlait d’une vulnérabilité spécifique dans X11 (elle aurait été corrigée si tel était le cas, les vulnérabilités n’ont pas tendance à rester longtemps non résolues), mais plutôt à une bonne pratique générale.

5
Caesium

Cela est dû au fait que le système X Window pose un risque grave pour la sécurité s’il n’est pas correctement sécurisé. Un "display" X11 est le serveur X11 en cours d'exécution sur votre bureau. Il comprend l'écran, le clavier et la souris. Si votre écran X11 n'est pas sécurisé, il permettra à un programme exécuté n'importe où sur Internet de s'y connecter et la connexion risque d'être totalement invisible pour vous. Une fois connecté, ce programme a un accès complet à votre écran, ce qui signifie qu'il peut:

  • Affichez et copiez le contenu de votre écran à l'aide des programmes utilitaires X11 standard.
  • Surveillez vos frappes au clavier;
  • Contrôlez à distance les navigateurs Netscape sur votre bureau et les frappes au clavier Forge comme si vous les saisissiez vous-même (même si toutes les applications X11 ne sont pas sensibles à cela).

Une règle du pouce NE DOIT PAS utiliser xhost + - Elle désactive complètement la sécurité de votre affichage.

Un bon moyen est de transmettre X est à travers ssh

Extrait de : http://www2.slac.stanford.edu/computing/security/xwindow/

5
Amith KK