'xhost local'（无冒号）是否允许恶意访问？

我正在设置一个新系统，并且需要授予 root 用户访问非 root 用户的 X 显示的权限，以便运行 GUI 实用程序。

这听起来像你想要xhost +si:localuser:root的。（这并非在所有 X 实现上都可用。 man Xsecurity还说它在某些实现上并不完全有效。但它似乎比 更好+local:）

此外，无论如何，您的 X 服务器可能无法直接从网络访问。例如，请参阅如何在没有 ssh 的情况下连接到远程 X 服务器？

我为此使用了 xhost 命令，但...似乎已允许访问远程服务器lb.usemaxserver.de

xhost +local查找主机名local，因此这取决于您在 DNS 搜索路径等中的内容。

$ xhost +local
xhost:  bad hostname "local"
$ dig local
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
...

听起来您的系统已解析local为几个不同的主机。相比：

$ xhost +smtp.gmail.com
smtp.gmail.com being added to access control list
$ xhost
access control enabled, only authorized clients can connect
INET6:wr-in-x6d.1e100.net
INET:wr-in-f108.1e100.net
INET:wr-in-f109.1e100.net
SI:localuser:alan
$ dig smtp.gmail.com
...
smtp.gmail.com.     104 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.108
gmail-smtp-msa.l.google.com. 104 IN A   108.177.15.109
...
$ dig AAAA smtp.gmail.com
smtp.gmail.com.     170 IN  CNAME   gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com. 271 IN AAAA    2a00:1450:400c:c0c::6c
$ dig -x 2a00:1450:400c:c0c::6c
c.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.0.c.0.c.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa. 300 IN PTR wr-in-x6c.1e100.net.