我一直在使用来自x11-xserver-utils 的xhost,但是看着package page 它说:
" - xhost,一个非常危险的程序,你永远不应该使用;"
我还没有为非入门者找到明确的答案:为什么xhost很危险?
我一直在使用它,所以我可以在 linux 的 docker 容器中运行带有图形用户界面的程序。我应该担心吗?我通常这样做:
xhost +
xhost local:root
docker run -it -v/tmp/.X11-unix -e DISPLAY=unix$DISPLAY image_name
有没有已知的安全替代方案?
【问题讨论】:
标签: docker x11 x11-forwarding
xhost 的全部目的是扩大对 X 服务器的访问(在基于现代 X 的系统中,这或多或少相当于桌面)。如果使用不慎,您可以授予对您无法控制的进程(可能是入侵者拥有的进程)的访问权限,以便在您的显示器上显示内容并与之交互。例如,这种交互可能相当于弹出虚假的身份验证对话框。有可能会消耗击键。
我怀疑xhost 在基于 X 的系统是真正的多用户时风险更大;也就是说,当多个 X 终端连接到单个小型计算机时。现在,对 X 服务器的访问可能取决于对计算机的访问—— X 桌面默认情况下不允许远程(网络)登录。
我仍然在我的个人计算机上一直使用xhost,但我不愿意在任何类型的生产环境中使用它。
关于您的docker 示例——我不认为这有很大的风险。但是,我不时使用的另一种方法是在docker 图像中嵌入 VNC 服务器,并使用 VNC 查看器访问它。您实际上是在为图像提供私有 X 桌面,避免共享。但是,这设置起来很繁琐,而且外观不如直接与桌面交互。
【讨论】: