El archivo .Xauthority
es generado por el programa xauth
. Se trata de un
sistema de autenticación para las aplicaciones gráficas. Esto permite evitar que otras personas
envíen imágenes, otras ventanas en tu pantalla - pero igualmente que otras personas
puedan "ver" lo que hay en tu pantalla.
El principio es dar una clave de identificación, en hexadecimal con un numero par de caracteres.
Lanza xauth
y haz :
add MaMachine:0 MIT-MAGIC-COOKIE-1 MiCodigo add MaMachine/unix:0 MIT-MAGIC-COOKIE-1 MiCodigo
Para la maquina, es en realidad "hostname:NoDisplay
".
Una vez lanzado, tu servidor X prohibe toda conexión, salvo si la aplicación :
xhost +toto
por
ejemplo.
Nota : ciertas versiones obligan lanzar el servidor X con el comando :
xinit -- -auth $HOME/.Xauthority
Solo xdm
asegura un control de sección X Window correcto. La directiva
DontZap
, en la sección ServerFlags
del archivo de configuración de Xfree86
limita las posibilidades de equivocarse. Para prohibirle, a los malintencionados, la utilización de
las teclas de "bascula" de las consolas virtuales (Alt-F1, ALT-F2 ...) solo tienes que
poner en /etc/profile
la linea siguiente :
alias x='(startx >/dev/null &);clear;logout'Y luego invocar
x
en lugar de startx
.
La distribución Slackware contiene ciertas fallas. Tu puedes consultar la lista en la siguiente dirección :
http://bach.cis.temple.edu/pub/linux/linux-security/Linux es, de manera general, muy solido porque toda falla descubierta es inmediatamente referenciada y corregida...Es la ventaja de las fuentes publicas. Mas sin embargo, ciertas fallas importantes existen en las distribuciones y es muy importante corregirlas. Un documento WEB propone una lista de problemas :
http://bach.cis.temple.edu/pub/linux/linux-security/<bf/Linux/-Security-FAQ/
Una solución para evitar las conexiones externas es utilizar TCP/Wrappers. Es muy muy recomendado recompilarlo !
La instalación es bastante intuitiva. En resumen, solo necesitas indicar el nombre de las
maquinas autorizadas en el archivo /etc/hosts.allow
y las maquinas prohibidas en
/etc/hosts.deny
. Puedes permitir el envío de correo cuando una maquina intente
conectarse aunque haga parte de las maquinas impedidas, poniendo en el archivo
/etc/hosts.deny
:
wu.ftpd: ALL: twist = /usr/sbin/real-daemon-dir/safe_finger -l @%h | /bin/mail -s %d-%h root(En una sola linea :-)).
Si quieres mas detalles, puedes leer el siguiente documento :
ftp.win.tue.nl:/pub/security/tcp_wrapper.ps.Z
.
En Francia, el servidor ftp.urec.fr
contiene numerosos utilitarios relativos a la
seguridad en informática.
Dos listas de difusión consagradas a la difusión de informaciones relacionadas con los
problemas de seguridad bajo Linux : linux-security@tarsier.cv.nrao.edu
y
linux-alert@tarsier.cv.nrao.edu