X oyna avtorizatsiyasi - X Window authorization
In X oyna tizimi, dasturlar X mijozlari sifatida ishlaydi va shuning uchun ular X ga ulanadi ko'rsatish serveri, ehtimol a orqali kompyuter tarmog'i. Tarmoq boshqalarga kirish imkoniyatiga ega bo'lishi mumkinligi sababli foydalanuvchilar, tizimga kirganidan boshqacha foydalanuvchilar tomonidan boshqariladigan dasturlarga kirishni taqiqlash usuli zarur.
Mijoz dasturining X displeyli serverga ulanishini boshqaradigan beshta standart kirishni boshqarish mexanizmlari mavjud. Ular uchta toifaga birlashtirilishi mumkin:
- xost asosida kirish
- cookie-fayllarga asoslangan kirish
- foydalanuvchiga asoslangan kirish
Bundan tashqari, boshqa barcha tarmoq ulanishlari singari, tunnel foydalanish mumkin.
Xostga asoslangan kirish
Xostga asoslangan kirish usuli X displey serveriga ulanishga ruxsat berilgan xostlar to'plamini belgilashdan iborat. Ushbu tizim past darajadagi xavfsizlikka ega, chunki u bunday xostga kirish huquqiga ega bo'lgan har bir foydalanuvchiga displeyga ulanish imkoniyatini beradi. The xhost dastur va uchta X Window System asosiy protokoli so'rovlar ushbu mexanizmni faollashtirish va vakolatli xostlar ro'yxatini ko'rsatish va o'zgartirish uchun ishlatiladi. Ning noto'g'ri ishlatilishi xhost tasodifan Internetdagi har bir xostga X displey serveriga to'liq kirish huquqini berishi mumkin.
Cookie-fayllarga asoslangan kirish
Cookie-fayllarga asoslangan avtorizatsiya usullari a ni tanlashga asoslangan sehrli pechene (o'zboshimchalik bilan ma'lumotlar qismi) va uni ishga tushirilganda X displey serveriga yuborish; ushbu cookie-fayllarni bilishini isbotlaydigan har bir mijozga serverga ulanish huquqi beriladi.
Ushbu cookie-fayllar alohida dastur tomonidan yaratilgan va faylda saqlanadi .Xakolat sukut bo'yicha foydalanuvchining uy katalogida. Natijada, mahalliy kompyuterda mijoz tomonidan boshqariladigan har bir dastur ushbu faylga va shuning uchun server tomonidan ruxsat berilishi uchun zarur bo'lgan cookie-faylga kira oladi. Agar foydalanuvchi tarmoqdagi boshqa kompyuterdan dasturni ishga tushirishni xohlasa, cookie faylini o'sha boshqa kompyuterga nusxalash kerak. Cookie-ni qanday nusxalash tizimga bog'liq muammo: masalan, yoqilgan Unixga o'xshash platformalar, scp cookie-faylni nusxalash uchun ishlatilishi mumkin.
Ushbu usuldan foydalanadigan ikkita tizim MIT-MAGIC-COOKIE-1 va XDM-MAKTURLASH-1. Birinchi usulda mijoz autentifikatsiya qilishni so'raganda shunchaki cookie faylini yuboradi. Ikkinchi usulda, a maxfiy kalit da saqlanadi .Xakolat fayl. Mijoz joriy vaqtni, transportga bog'liq identifikatorni va cookie-fayllarni birlashtirib, mag'lubiyatni yaratadi, natijada olingan qatorni shifrlaydi va uni serverga yuboradi.
The xauth dastur - bu kirish uchun yordamchi dastur .Xakolat fayl. Atrof-muhit o'zgaruvchisi XAUTHORITY ushbu cookie faylining nomi va joylashishini bekor qilish uchun belgilanishi mumkin.
The Mijozlararo almashinuv (ICE) protokoli tomonidan amalga oshirilgan Mijozlararo almashinuv kutubxonasi X11 mijozlari o'rtasida to'g'ridan-to'g'ri aloqa uchun xuddi shunday foydalaniladi MIT-MAGIC-COOKIE-1 autentifikatsiya usuli, lekin o'ziga xosdir muzqaymoq o'z-o'zidan kirish uchun yordamchi dastur .Mualliflik joylashuvi atrof-muhit o'zgaruvchisi bilan bekor qilinishi mumkin bo'lgan fayl ICEAORITY. ICE masalan, tomonidan ishlatiladi DCOP va X sessiyani boshqarish protokoli (XSMP).
Foydalanuvchiga asoslangan kirish
Foydalanuvchilarga asoslangan kirish usullari ma'lum foydalanuvchilarga serverga ulanish huquqini berish orqali ishlaydi. Mijoz serverga ulanish o'rnatganida, u vakolatli foydalanuvchi tomonidan boshqarilishini isbotlashi kerak.
Tarmoq identifikatsiyasini boshqarish tizimlaridan foydalangan holda foydalanuvchilarning autentifikatsiyasiga asoslangan ikkita usul SUN-DES-1 va MIT-KERBEROS-5. Birinchi tizim. Ning xavfsiz mexanizmiga asoslangan ONC masofaviy protsedura chaqiruvi tizim ishlab chiqilgan SunOS. Ikkinchi mexanizm ham mijozga, ham serverga ishonishga asoslangan Kerberos server.
Uchinchi usul mahalliy ulanishlar bilan cheklangan bo'lib, tizim qo'ng'iroqlaridan foydalanib yadrodan lokal rozetkaning boshqa uchida qanday foydalanuvchi borligini so'raydi. The xhost dastur qo'shish yoki olib tashlash uchun ishlatilishi mumkin mahalliy foydalanuvchi va mahalliy guruh ushbu usul bilan yozuvlar.[1]
Tunnel qilish
The SSH yordam dasturi (parametr bilan chaqirilganda -X yoki variant Oldinga X11) masofadan chaqirilgan mijozlardan mahalliy serverga X11 trafigini tunnellari. Buni uzoqdagi saytga o'rnatish orqali amalga oshiradi DISPLAY u erda sshd tomonidan ochilgan mahalliy TCP soketiga ishora qiluvchi muhit o'zgaruvchisi, keyin X11 aloqasini ssh ga qaytaradi. Sshd shuningdek, xauth-ni uzoqdagi saytga MIT-MAGIC-COOKIE-1 qatorini qo'shish uchun chaqiradi. .Xakolat u erda X11 mijozlariga ssh foydalanuvchining mahalliy X-serveriga kirish huquqini beradi.
Tarmoq orqali mijoz va server o'rtasidagi X11 ulanishlarni boshqa xavfsiz kanal protokollari yordamida ham himoya qilish mumkin, masalan Kerberos /GSSAPI yoki TLS, garchi hozirda bunday variantlar SSHga qaraganda ancha kam qo'llaniladi.
Adabiyotlar
- ^ "Localuser" va "localgroup" tomonidan server tomonidan talqin qilingan autentifikatsiya turlari"". X.Org jamg'armasi. Olingan 16 yanvar 2015.
Tashqi havolalar
- X xavfsizlik qo'llanmasi sahifasi (Xsecurity 7)
| Arxitektura |  | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kengaytmalar | |||||||||||||||
| Komponentlar va diqqatga sazovor amalga oshirish |
| ||||||||||||||
| Standartlar | |||||||||||||||
| Ilovalar | |||||||||||||||