Zitat
Original von geronimo
Was X anbelangt:
Ich hab immer irgendwo ne root-Session für spezielle Aufgaben (und sei es nur ein schnelles chmod) und hatte mich schon damit abgefunden, dass root keine X-Programme starten kann.
Wie sieht das denn aus Sicherheitsaspekten aus, wenn ich root den Zugriff auf X erlaube?
Besteht dann ein erhöhtes Infektionsrisiko, oder ist die Maßnahme "koscher"?
Eine root-Session permanent offenzuhalten beinhaltet natürlich ein gewisses Sicherheitsrisiko. Falls es einem böswilligem Programm gelingen sollte, diese Session zu hijacken, hast Du ein ernsthaftes Problem.
Root zu erlauben, auf dem X-Server eines Benutzers etwas anzuzeigen, ist auch nicht 100% koscher. Allerdings würde ich dieses nicht allzu kritisch bewerten. Falls es jemand möglich ist, mit root-Rechten Programme zu starten, stehen ihm eh alle Möglichkeiten offen. Schlimmer kann es dann auch nicht mehr werden. Ein theoretisches Sicherheitsproblem könnte noch darin bestehen, dass ein böswilliges Programm nur darauf warten, dass in einer X-Session etwas mit root-Rechten gestartet wird, um dieses dann dazu zu benutzen, Schaden anzurichten. Das erscheint mir im Moment aber nicht sehr warscheinlich.
Eine bessere Lösung für Dein Problem wäre wohl, einem Benutzer per sudo zu erlauben, einige ausgewählte Programme in Ausnahmefällen als root zu starten. Das können natürlich auch X-Programme sein, dann brauchst Du aber auch wieder eine Freigabe mit xhost.
Falls Du KDE benutzt, kannst Du auch mit
ein Programm mit root-Rechten starten, vorausgesetzt Du gibst das Root-Password ein.
Wie weit Dein persönliches Sicherheitsbedürfniss geht, musst Du natürlich selber entscheiden. Allzusehr würde ich mich auf einem reichen Arbeitsplatzrechner oder VDR allerdings nicht einschränken. Bei einem Rechner, über den kritische Daten transferiert werden, würde ich aber durchaus auch über den Einsatz von SELinux nachdenken, um u.a. auch noch die root-Rechte einzuschränken.
Grüsse,
EddieT