Атаки из сетиАтака на сервер Xdm

Август 19, 2010 → 18 Comments


Если на экран монитора выводится окно для ввода аутентификационных данных пользова­теля для входа в систему, значит, на этом компьютере запущен сервер Xdm. Этот сервер позво­ляет ввести свои имя пользователя и пароль, а затем запускает Х-сервер. Таким образом, не нужно осуществлять вход в систему с помощью текстового устройства TTY и затем вручную за­пускать команду startx.

Сервер Xdm — не единственная программа подобного рода. Например, для систем на основе Gnome используется Gdm, э для KDE-систем — Kde. Для этих серверов существуют те же потенциальные проблемы, которые устраняются подобным образом, и нужно только изменить полные имена файлов. Полными именами файлов серверов Gdm и Kdm традиционно яв­ляются /etc/x11/gdm и /etc/x11/kdm, соответственно. Как правило, эти серверы также запускают программы Xdm, поэтому внесение изменений в эти файлы не требуется.

На самом деле, Xdm предоставляет возможность входа в систему не только локальному пользователю. Например, рабочие станции X (компьютеры, на которых запущены только сер­веры X11) могут обращаться к удаленному Xdm-серверу и отображать полную информацию на мониторах своих бездисковых станций. Xdm-сервер не должен предоставлять экран ввода па­роля пользователям всего мира. В противном случае защищенный, на первый взгляд, компью­тер, где запущены службы, доступ к которым разрешен только доверенным хостам, с помощью Xdm может предоставлять возможность входа в систему любому удаленному пользователю.

Настройка сервера Xdm

Для запрета серверу Xdm возможности предоставления доступа внешним пользователям следует отредактировать конфигурационный файл /etc/X11/xdm/xdm-config этого сервера и добавить в него следующую строку.

DisplayManager.requestPort: 0

Затем нужно закомментировать все строки (добавив символ # в начало каждой строки) в файле, особенно те, в начале которых указан символ звездочки (*).

*                    # позволяет подключаться любому хосту

Это полностью запретит подключение к Xdm-серверу по сети. Локальный вход в систему останется без изменений.

Если необходимо предоставление Xdm-служб удаленным клиентам, следует установить фильтры пакетов, которые бы разрешали соединение только указанным клиентам. Сервер Xdm использует порт 177 (и TCP, и UDP), поэтому разрешение доступа по сети компьютеру с IP-адресом 192.168.1.229 и одновременное блокирование всех остальных компьютеров с помо­щью набора фильтров выглядит следующим образом.

/sbin/ipchains -A -p udp -s 192.168.1.229 —destination-port 177 –j

ACCEPT

/sbin/ipchains -A -p tcp -s 192.168.1.229 —destination-port 177 –j

ACCEPT

/sbin/ipchains -A -p udp —destination-port 177 -j DENY

/sbin/ipchains -A -p tcp —destination-port 177 -j DENY

При использовании утилиты netfilter фильтры будут такими.

/sbin/iptables -A -p udp -s 192.168.1.229 —destination-port 177 –j

ACCEPT

/sbin/iptables -A -p tcp -s 192.168.1.229 —destination-port 177 –j

ACCEPT

/sbin/iptables -A -p udp —destination-port 177 -j DROP

/sbin/iptables -A -p tcp —destination-port 177 -j DROP



Если Вам понравилась эта статья,
!

Comments

Newer Comments
  • http://www.alen-kar.ru/ Nikita

    спс за инфу, буду знать!

  • Бизнесмен

    А Gdm и Kde по конфигурации похожи на Xdm?

  • Александр

    Защита сервера — это самое важное дело. Пару раз сталкивался с проблемами защиты сервера по невнимательности.

  • http://parkour-blog.ru/ SportWorld

    Спасибо за статейку. Очень полезная ;)

  • pavel

    Спасибо за настройки!

  • http://hair.raptom.com Konstantin

    возьму на вооружение!

  • http://windsoft.at.ua/ Дмитрий

    Хм … Интересно-интересно, спасибо новое для себя узнал, многое …

  • патрик

    учтем спасибо

  • http://magicseo.net/ Vadim

    спс буду знать, а вообще люблю в линухе поковыряться!

  • Aleks-Gold

    Сервера раньше не так взламывали как сейчас. Может из за конкуренции в этой нише.

Newer Comments