From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 27 Mar 2016 22:38:01 +0300 From: Michael Shigorin To: sisyphus@lists.altlinux.org Message-ID: <20160327193801.GA21971@imap.altlinux.org> Mail-Followup-To: sisyphus@lists.altlinux.org References: <56F814EA.5090008@gmail.com> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <56F814EA.5090008@gmail.com> User-Agent: Mutt/1.5.23.88.hg577987ca2d02 (2014-03-12) Subject: Re: [sisyphus] =?koi8-r?b?9yDV09TBzs/Xz97Oz80g08vSydDUxSDQwcvF1MEg?= =?koi8-r?b?ZnJlZW54LXNlcnZlciDawcjB0sTLz9bFziDLzMDeIFNTSA==?= X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 27 Mar 2016 19:38:02 -0000 Archived-At: List-Archive: List-Post: On Sun, Mar 27, 2016 at 10:14:18PM +0500, Stas wrote: > Устанавливаю сервер freenx и обнаружил весёлую "дыру". [...] > IMHO это серьёзный баг и нужно исключить использование такого ключа. Это документированный способ (вместе со сменой ключа выделенного псевдопользователя nx), только если сменить его в пакетах freenx и, скажем, opennx (плюс nxclient в ветках, где ещё была совместимая с ним freetype2) -- то достучаться до типичного сервера на альте с _других_ ОС после штатной установки клиента попросту не получится. Также рекомендую обратить внимание на начало /var/lib/nxserver/home/.ssh/authorized_keys2: no-port-forwarding,no-agent-forwarding,command="/usr/bin/nxserver" Т.е. по сути это право запуска данного bash-скрипта от имени пользователя nx любому, кого пустит sshd. Соответственно в поисках багов лучше уделить вминание этому скрипту. --  ---- WBR, Michael Shigorin / http://altlinux.org   ------ http://opennet.ru / http://anna-news.info