IT Security Issueについて

Astec-Xによるホストアクセス制御

Astec-Xは(高いだけあって)便利なソフトウェアだが、デフォルトのままではPCのIPアドレスさえ分かればどこからでもXを飛ばすことができてしまう。運よくUCSDのIT担当の方がその脆弱性を指摘してくれたので、対策を施した。

  • 現状把握
    • 手元のPCでAstec-Xを起動した状態(ホストアクセス制御のチェックON/制御ファイル指定なし)で、外部のマシンから、 
      $ setenv DISPLAY XXXX.dynamic.ucsd.edu
$ gv (何でも良い。Xが飛ぶもの)
      とすると、確かに手元のPCに飛んでくる。ただ、どこかからXが開いた状態で、別のホストから同じことをやっても飛ばない。
  • 対策
    • ホストアクセス制御ファイルを記述し、Astec-Xのコントロールパネルにおいて指定する。 
      fuyu.ucsd.edu
xxx.xx.xx
      などという感じ。
      ただ、これまではログインしてDISPLAYを指定しなくてもXを飛ばせたが(DISPLAY=localhost:0.0でよかった)、今後はDISPLAYをきちんと指定する必要があるようだ。
      外部のホストには、きちんと "access denied" on port 6000 が返されているようです。

sshについて

  • パスワードなしのログイン
    • ログインのid_rsa.pubもしくはid_dsa.pubをログインのauthorized_hostsに追記する。