为什么“`xhost`”被认为是危险的？

Question

我一直在使用来自x11-xserver-utils的x11-xserver-utils，但是看看包页，它说：

“- xhost，一个你不应该使用的非常危险的程序；”

我还没有找到一个明确的答案：为什么危险？

我一直在使用它，这样我就可以在linux中的docker容器中运行带有图形用户界面的程序。我该担心吗？我通常这样做：

xhost +
xhost local:root

docker run -it -v/tmp/.X11-unix -e DISPLAY=unix$DISPLAY image_name

有什么安全的办法可以替代吗？

Answer 1

xhost的全部目的是扩大对X服务器的访问(这或多或少相当于现代基于X的系统中的桌面)。如果不小心使用，您可以授权访问您不控制的进程--可能是入侵者拥有的进程--在显示器上显示事物并与之交互。例如，这种交互可能相当于弹出虚假的身份验证对话框。有可能消耗击键。

我怀疑，当基于X的系统真正具有多用户时，xhost更有风险；也就是说，当多个X终端连接到一台微型计算机时。如今，对X服务器的访问可能取决于对计算机的访问--目前X桌面默认不允许远程(网络)登录。

我仍然在我的个人电脑上使用xhost，但是我不愿意在任何类型的生产环境中使用它。

关于你的docker例子--我不认为这有很大的风险。但是，我经常使用的另一种方法是将VNC服务器嵌入到docker映像中，并使用VNC查看器访问它。您本质上是提供一个私人X桌面图像，避免了共享的需要。然而，这是非常繁琐的设置，外观并不像直接与桌面交互那样好。