Re: xdmcp et /etc/hosts.allow

トップ ページ

このメッセージに返信
著者: Frédéric BOITEUX
日付:  
To: guilde
題目: Re: xdmcp et /etc/hosts.allow
Le jeu 02 fév 2006 09:01:00 CET, Patrice Karatchentzeff
<patrice.karatchentzeff@???> a écrit :

> Salut,
>
> Je suis en train de jouer avec Xnest et j'ai un petit soucis de
> configuration (de compréhension serait plus honnête).


Si tu as une gdm, il y a gdmflexiserver (orthographe non assurée !) qui peut
t'intéresser !

> Le gestionnaire de configuration (en l'occurence gdm) accepte les
> requêtes xdmcp. Si ma machine est grande ouverte (soit rien dans
> /etc/hosts.allow, soit ALL:ALL ce qui revient au même), je peux faire
> du Xnest entre les machines sans soucis...
>
> Bon, maintenant, je ne veux autoriser que le xdmcp comme port ouvert
> (disons, entre autre).
>
> # grep xdmcp /etc/services
> xdmcp           177/tcp                         # X Display Mgr. Control Proto
> xdmcp           177/udp

>
> Parfait, je colle cela dans mon /etc/hosts.allow
>
> xdmcp: ALL: ALLOW
>
> (pour le moment, je l'ouvre à tout le monde)


Euh, tu es sûr de la syntaxe ? ce ne serait pas simplement :
xdmcp: ALL


> et là, bernique, impossible de se connecter à la machine (message
> d"erreur classique (trad. approx. « impossible de se connecter à une
> machine qui ne le désire pas »).


Auparavant, tu as fait juste des tests en local, c'est ça ? Il me semble que le
serveur XDMCP (gdm donc) n'utilise pas les tcp-wrappers, donc
pas /etc/hosts.allow|deny... Je regarderais dans la config de GDM même !

>
> Qu'est-ce que j'oublie ?
>
> Corollaire : cela à l'air chouette pour tester une machine à distance
> donc je compte l'utiliser à travers Internet pour me connecter une
> machine éloignée. Est-ce que quelqu'un a fait cela ? Qu'est-ce que
> cela impacte en terme de sécurité surtout ?
>
> À la limite, je n'ouvrirai le port qu'à la demande, la machine n'ayant
> qu'un port ssh d'ouvert... et je le fermerai après emploi. C'est
> vraiment pour tester quelque chose sous X le cas échéant, pas pour
> administrer la machine...


1/ en terme de performances, c'est pas terrible, à moins de disposer de
connexions rapides :-P : des outils comme les VNC / FreeNX sont plus
indiqués

2/ en terme de sécu : comme tu le verras dans la config GDM, ce n'est pas très
sécurisé... En plus, dans ton exemple, tout le flux transiterait en clair,
c'est pas TOP (à moins d'avoir un tunnel SSH, facile à mettre en place...)

        Fred.