'xhost local‘(没有冒号)是否允许恶意访问？

Question

我正在设置一个新系统，需要授予根用户访问非根用户X显示的权限，以便运行GUI实用程序。为此，我使用了xhost命令，但是<#>错误地删除了冒号后缀，似乎允许访问远程服务器lb.usemaxserver.de.

  nonroot@host2:~  xhost -
access control enabled, only authorized clients can connect
  nonroot@host2:~  xhost local
local being added to access control list
  nonroot@host2:~  xhost
access control enabled, only authorized clients can connect
INET:lb.usemaxserver.de
INET:localhost

我用下面的方法移除它..。

  nonroot@host2:~  xhost -INET:lb.usemaxserver.de
lb.usemaxserver.de being removed from access control list

我解释得对吗？

如果是这样的话，lb.usemaxserver.de是如何设置local链接到那个地址的呢？

这是否需要在我的系统上已经有一些恶意的配置或软件？若然，有何建议可供参考？

Answer 1

我正在设置一个新系统，需要授予根用户访问非根用户X显示的权限，以便运行GUI实用程序。

听起来你想要xhost +si:localuser:root。(这并不适用于所有X实现。man Xsecurity还表示，它在某些实现上并不完全有效。但这似乎比+local:好)

另外，您的X服务器可能无法从网络直接访问。参见如何连接到远程X服务器_不带_ssh？

我如下所示使用了xhost命令，但是..。似乎允许访问远程服务器lb.usemaxserver.de。

xhost +local查找主机名local，因此它取决于您在DNS搜索路径中有哪些内容。

$ xhost +local
xhost:  bad hostname "local"
$ dig local
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
...

听起来您的系统将local解析为几个不同的主机。比较：

$ xhost +smtp.gmail.com
smtp.gmail.com being added to access control list
$ xhost
access control enabled, only authorized clients can connect
INET6:wr-in-x6d.1e100.net
INET:wr-in-f108.1e100.net
INET:wr-in-f109.1e100.net
SI:localuser:alan
$ dig smtp.gmail.com
...
smtp.gmail.com.     104 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.108
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.109
...
$ dig AAAA smtp.gmail.com
smtp.gmail.com.     170 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 271 IN AAAA    2a00:1450:400c:c0c::6c
$ dig -x 2a00:1450:400c:c0c::6c
c.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.0.c.0.c.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa. 300 IN PTR wr-in-x6c.1e100.net.