XDMCP
XDMCP

XDMCP und Sicherheit

Zugangskontrolle bei XDMCP

1. Beim klassischen XDM

Beim "alten" xdm spielen für den Netzwerkzugriff zwei Dateien eine Rolle:
  1. /etc/X11/xdm/Xaccess :   Hier wird eingestellt, welche IP-Adressen bzw. Rechnernamen überhaupt vom X-Display-Manager (xdm) bedient werden. Eine pauschale Freigabe sieht folgendermaßen aus:
    *                                       #any host can get a login window

    *               CHOOSER BROADCAST       #any indirect host can get a chooser

    Die zweite Zeile erlaubt den Zugriff auf den "Chooser" für das XDMCP-Indirect-Verfahren. In der Regel finden sich in dieser Datei ausführliche Kommentare mit Erklärungen und Beispielen.
  2. /etc/X11/xdm/xdm-config :  Diese Datei enthält eine Reihe von Grundeinstellungen für xdm. Unter Umständen fatal für den Netzwerkzugriff kann die letzte Zeile sein:
    DisplayManager.requestPort:     0
    Die Port-Angabe 0 bewirkt, dass xdm überhaupt nicht auf das Netzanfragen "hört". Das ist - aus Sicherheitsgründen - die Default-Einstellung bei vielen neueren Linux-Distributionen! Abhilfe schafft hier die Angabe des richtigen Ports:
    DisplayManager.requestPort:     177
    oder ein einfaches Auskommentieren der Zeile.

2. Bei KDE

Die KDE-Distribution enthält einen eigenen X-Display-Manager, den kdm. In den KDE-Versionen kleiner 3 greift kdm hinsichtlich der Zugangskontrolle auf die oben genannten Konfigurationsdateien des xdm zu. Es gilt für diese Versionen das oben Gesagte also eins-zu-eins für kdm.
Ab KDE-Version 3 regelt den Netzwerkzugriff eine kdm-spezifische Konfigurationsdatei:
/opt/kde3/share/config/kdm/kdmrc
Relevant sind darin die Zeilen
[Xdmcp]
Enable=true
Willing=/etc/X11/xdm/Xwilling
Xaccess=/etc/X11/xdm/Xaccess
Nach der Installatioin steht hier in der Regel  Enable=false; das muss natürlich in true geändert werden. Ansonsten gelten hier die Angaben in /etc/X11/xdm/Xaccess.

3. Bei gnome

Auch die gnome-Distribution verfügt über einen eigenen X-Display-Manager, den gdm, der von Anfang an den Netzwerkzugriff über eine eigene Konfigurationsdatei gesteuert hat:
/etc/opt/gnome/gdm/gdm.conf
Interessant sind hier die Zeilen
[xdmcp]
# Distributions: Ship with this off.  It is never a safe thing to leave
# out on the net.  Alternatively you can set up /etc/hosts.allow and
# /etc/hosts.deny to only allow say local access.
Enable=false
HonorIndirect=true

Natürlich muss auch hier   Enable=true  gesetzt werden, um überhaupt Zugriff über das Netzwerk zu bkommen.

4. Bei CDE

Auf Linux eher selten, dafür aber der Standatd-X-Desktop auf allen gängigen kommerziellen UNIXen: der CDE. Die Zugangskontrolle erledigt hier die Datei
/usr/dt/config/Xaccess
deren Syntax identisch mit der Xaccess-Datei für xdm auf Linux ist.
XDMCP
     ©2005, 2007 Andreas Gottwald
XDMCP und Sicherheit