Saltar al contenido

¿Por qué X11 es un riesgo de seguridad en los servidores?

Solución:

La documentación de la comunidad de Ubuntu explica las verdaderas razones por las que no se recomienda ejecutar una GUI en un sistema de servidor de producción:

La mayoría de los desarrolladores de Ubuntu Server no recomiendo instalar X en un servidor. Hay varias razones para no instalar una GUI.

Algunas razones para no instalar una GUI incluyen:

  1. Tendrá más código sujeto a vulnerabilidades de seguridad, más paquetes que deben actualizarse y más tiempo de inactividad del servidor.
  2. Los paquetes de escritorio y X11 no son compatibles durante el ciclo de vida completo de 5 años de la versión del servidor LTS.
  3. El rendimiento puede verse afectado porque la GUI consumirá recursos (memoria, espacio en el disco duro, CPU, etc.).
  4. Es una buena práctica instalar solo el software necesario en un servidor de producción.
  5. La GUI puede incluir otros servicios de red que son inapropiados para un servidor.
    1. Uno de los objetivos de Ubuntu Desktop Edition es facilitar a los usuarios el uso de Linux. Al instalar algunos entornos de escritorio, se instalarán los servicios que quizás no desee específicamente. Por ejemplo avahi-demonio, que se utiliza para ayudar a configurar la red, agrega otro puerto abierto y puede introducir conflictos de DNS no deseados con un dominio .local.

Entonces, para el servidor más seguro, es mejor no instalar una GUI.

“ServerGUI” de “Colaboradores de la wiki de documentación de Ubuntu”, reproducido aquí según lo permitido por CC-BY-SA 3.0.

Contrariamente a una idea errónea algo común, X11 es un servidor realmente tiene Nada que hacer con la razón por la que ejecutar una GUI en un servidor de producción no se considera ideal desde una perspectiva de seguridad. X11 es virtualmente nunca configurado por defecto para ser accesible a través de una red, en cualquier sistema operativo. Ninguna versión de Ubuntu ha hecho que X11 haya ejecutado un servidor accesible en red en la configuración predeterminada. (Para acceder a X11 en Ubuntu a través de TCP, debe reenviarlo a través de SSH o reconfigurar manualmente el servidor).

Es más, incluso si X11 ejecutó un servidor accesible a la red, esta no sería una razón para no tenerlo instalado en un sistema de servidor de producción. Cualquiera que ejecute un servidor de producción es presumiblemente capaz de configurarlo para sus necesidades y auditarlo para asegurarse de que no se estén ejecutando servicios no deseados. (Si no pueden, ese representará una amenaza mucho mayor para su seguridad que la que se crearía al tener una GUI instalada) .Incluso si X11 tenía tener un puerto escuchando en una interfaz de red física (Que no es el caso), el puerto podría bloquearse fácilmente reconfigurando el netfilter utilizando iptables (o una interfaz de nivel superior como ufw).

Por el contrario, los problemas enumerados anteriormente no son tan fáciles de superar mediante la reconfiguración.

Cada proceso en ejecución es un riesgo de seguridad. Particularmente aquellos que escuchan en un puerto de red (X11 lo hace).

Una buena práctica general es no ejecutar nada en un servidor que no necesite estar allí absolutamente, y X11 ciertamente no necesita estar en un servidor en el que usará SSH.

Dudo que el artículo que leíste hablara de una vulnerabilidad específica en X11 (de ser así, se habría solucionado, las vulnerabilidades no tienden a quedarse sin corregir por mucho tiempo), sino más bien una buena práctica general.

Esto se debe a que el sistema X Window representa un grave riesgo de seguridad si no está debidamente protegido. Una “pantalla” X11 es el servidor X11 que se ejecuta en su escritorio e incluye la pantalla, el teclado y el mouse. Si su pantalla X11 no es segura, permitirá que un programa que se ejecute en cualquier lugar de Internet se conecte a ella y la conexión puede ser completamente invisible para usted. Una vez conectado, ese programa tiene acceso completo a su pantalla, lo que significa que puede:

  • Vea y copie el contenido de su pantalla, utilizando programas de utilidad estándar X11;
  • Controle sus pulsaciones de teclas;
  • Controle de forma remota cualquier navegador en su escritorio y presione las teclas como si las estuviera escribiendo usted mismo (aunque no todas las aplicaciones X11 son susceptibles a esto).

Una regla de pulgar es NO usar xhost + – Deshabilita por completo la seguridad de su pantalla.

Una buena forma es adelantar X a través de ssh.


Tomado de : http://www2.slac.stanford.edu/computing/security/xwindow/

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *