Xephyr -ac 危险吗？

如果您不使用该-auth auth-file选项，则Xephyr :1已经允许来自同一主机的任何人连接到它，即使没有该-ac选项。尝试这个：

hinz$ Xephyr :1 &

然后，作为另一个用户

kunz$ xclock -display :1

这也适用于任何X 服务器，而不仅仅是Xephyr; 如果您查看您的常规Xorg服务器，您会看到该-auth选项是显式传递的：

$ pgrep -ai Xorg第

2347章

根据Xserver(1)手册页（强调我的）：

X 服务器还使用基于主机的访问控制列表来决定是否接受来自特定机器上的客户端的连接。 如果没有使用其他授权机制，则此列表最初包含运行服务器的主机以及文件中列出的任何机器。/etc/Xn.hosts

正如在另一个答案中已经提到的那样，一些 Xorg 服务器（例如 Xwayland）不支持任何身份验证机制，除了检查谁通过以下方式打开了 unix 套接字getsockopt(SO_PEERCRED)——“本地用户和本地组服务器解释的访问类型” Xsecurity(7)；此外，像 Debian 这样的发行版通过xsessionxhost +si:localuser:$(id -un)脚本断开了常规的 Xorg 服务器。由于可以传递套接字 fd 并且客户端可以由诸如 之类的程序代理xscope，因此这是非常愚蠢的事情。

该怎么办

如果您想阻止其他用户连接到您的 X 服务器，您必须使用某种形式的身份验证。

创建一个授权文件，通过-auth选项将其传递给X服务器，然后让客户端在连接服务器时使用它。

   # create a MIT-COOKIE authfile
$ xauth -f ~/.xauth-junk add :1 . "$(hexdump -n 16 -e '4/4 "%08x"' /dev/urandom)"
xauth:  file /home2/ahq/.xauth-junk does not exist # it will be created

$ Xephyr :1 -auth ~/.xauth-junk &

然后将其合并到您常用的$XAUTHORITY文件中（~/.Xauthority如果未在环境中覆盖）

$ xauth merge - < ~/.xauth-junk
$ xclock -display :1

或者在XAUTHORITY环境变量中显式传递：

$ XAUTHORITY=~/.xauth-junk xclock -display :1

-auth您可以通过尝试连接伪造的身份验证文件来检查该选项是否真的有任何效果：

$ XAUTHORITY=/dev/null xdpyinfo -display :1 >/dev/null 2>&1 && echo OOPS, anybody can connect!
$