Нехай Xorg слухає на TCP, але тільки до localhost?

У мене є якась клієнтська програма X, якій потрібен доступ до X-сервера. Доступ до X-сервера має лише TCP, а не іншими методами, такими як сокети домену Unix. Він буде працювати на тому ж хості, що і сервер, щоб полегшити роботу.

Отже, як я можу змусити мій сервер Xorg слухати на порту TCP 6000, але тільки для з'єднань з localhost?

Я знайшов Як змусити X.org слухати віддалені з'єднання на порту 6000? , що пояснює, як дозволити доступ для віддалених хостів, але я не дуже хочу віддалений доступ (в основному з міркувань безпеки).

Я думав про те, щоб якось переслати транспорт за замовчуванням на TCP, але я не знайшов інформації про те, що таке транспорт за замовчуванням.

(Тут я використовую kdm як мій диспетчер дисплеїв, але, думаю, я можу передати рішення для менеджера дисплеїв, або навіть переключити менеджер дисплеїв.)

Будь-які ідеї?

Це 11.04 на змішаній установці Kubuntu-Ubuntu-XUbuntu (спочатку Kubuntu, але я додав ubuntu-desktop і xubuntu-desktop. Під час завантаження зараз йдеться про Xubuntu 11.04). Зараз я використовую класичний робочий стіл gnome, я думаю, від KDM.

Схоже, вирішення буде корисним socat. Ось командний рядок, який, здається, працює, якщо сервер X ще не працює на TCP:

socat -d -d TCP-LISTEN:6000,fork,bind=localhost UNIX-CONNECT:/tmp/.X11-unix/X0

Тоді я можу зробити

xlogo -display localhost:0

Як не дивно, це, здається, не працює, якщо я дозволю його слухати на 6001, а потім вказати дисплей localhost:1замість localhost:0- я отримую No protocol specified. Здається, мені доведеться прочитати протокол X ще раз. (І над JSch він потім перестає працювати Invalid MIT-MAGIC-COOKIE-1 key, але це вже інша проблема.)

Код Xorg на даний момент не має можливості контролювати інтерфейси для прослуховування. Додавати це не важко, але ще простіше просто налаштувати брандмауер для блокування вхідних з'єднань до порту 6000 з інших машин.

Просто деякі інші думки ...

1. Дозволити це, але заблокувати за допомогою xhost (та / або мережевої фільтрації)

Традиційний спосіб зробити це - для X-сервера прослуховувати сокет TCP і використовувати xhost, щоб визначити, з якими хостами можна підключитися. Дивіться сторінку чоловіка для xhost (1). (Додатково, звичайно, тут допоможуть і IP-адреси та фільтрація портів, як уже зазначалось у попередніх пропозиціях.)

1. Слухайте лише в локальному інтерфейсі

За коментарем alanc вище, коду зараз там немає, але майже!

Пам’ятайте, що (майже) всі хости мають принаймні два інтерфейси, інтерфейс зворотного циклу lo0 (завжди 127.0.0.1) та звичайний ethernet eth0 (або wlan0 чи що завгодно, що скажемо, 192.168.0.128) та багато інших. Зазвичай TCP / IP-сервери (тобто X-сервер) дозволять вводити з'єднання з будь-якою їх IP-адресою на будь-якому їх інтерфейсі, але більшість програмного забезпечення дозволить вам вказати IP-адресу, якщо ви хочете. Фактична робота виконується шляхом прив’язки (2), яка приймає або INADDR_ANY (0.0.0.0), або реальну IP-адресу.

Сервер Xorg реалізує локальну адресу -name, але, на жаль, це лише для XDMCP (див. Файл os / xdmcp.c, який реалізує його правильно, наскільки я знаю.) Фактичне підключення до протоколу X, я вважаю, здійснює SocketINETCreateListener у файлі /usr/include/X11/Xtrans/Xtranssock.c, який встановлює адресу INADDR_ANY і потім пов'язує з нею без подальшої обробки. Що потрібно, це прапор -from (який обробляється os / xdmcp.c як FromAddress), щоб якось підключитися до змінної 'sockname' перед SocketCreateListener () в Xtranssock.c. Проблема, звичайно, полягає в тому, що всі транспортні речі справді робляться транспортно-нейтральними способами, тому трохи важко отримати інформацію на Xtranssock.c.

Шлях до файлів тощо може бути різним, було розглянуто в Ubuntu 10.04 LTS, і зауважте, що назви функцій у Xtranssock.c змінювались макросом TRANS. http://cgit.freedesktop.org/xorg/xserver/tree/os/xdmcp.c

Сподіваюся, що це приносить користь.

З повагою

Джонатан.