9.5.3. Перенаправление трафика X11
Другой формой перенаправдения, обеспечиваемого протоколом соединений SSH, является перенаправление для протокола X11. При нарушении системы безопасности конечной точки перенаправление X11 может открыть возможность для атаки на сервер X11. Пользователям и администраторам следует применять соответствующие механизмы обеспечения безопасности X11 для предотвращения несанкционированного доступа к серверам X11. Разработчикам, администраторам и пользователям, желающим повысить уровень безопасности X11 рекомендуется прочесть документ [SCHEIFLER] и проанализировать известные проблемы для случаев использования SSH пересылки с X11 в бюллетенях CERT VU#363181 и VU#118892 [CERT].
X11-дисплей, использующий пересылку SSH сам по себе не может решить проблем, связанных с безопасностью X11 [VENEMA]. Однако пересылка X11 с использованием SSH (или иного безопасного протокола) в комбинации с псевдодисплеями, принимающими соединения только через локальные механизмы IPC, использующими авторизацию или списки контроля доступа (ACL), могут решить большинство проблем с безопасностью X11, если для MAC не используется режим "none". Разработчикам дисплеев X11 рекомендуется по умолчанию разрешать отображение только через локальные IPC. Разработчикам серверов SSH, поддерживающих перенаправление X11 рекомендуется по умолчанию разрешать соединения только через локальные IPC. На однопользовательских системах может оказаться разумным открывать по умолчанию также соединения через TCP/IP.
Разработчикам протоколов перенаправления X11 следует реализовать для контроля доступа механизм magic cookie, описанный в [SSH-CONNECT], в качестве дополнительного средства предотвращения несанкционированного использования прокси-сервера.