限制哪些本地用户可以连接到X11显示器

我的机器上运行了一个X.org服务器（没有PAM，PolicyKit等的Gentoo Linux），使用-nolisten tcp禁用传入的TCP连接。

是否可以建立白名单，指定允许哪些本地用户在该X11显示器上打开窗口？

编辑： 我用这个systemd单元启动我的X服务器：

[Unit]
Description=X Window System
Requires=systemd-user-sessions.service
After=systemd-user-sessions.service

[Service]
ExecStart=/usr/bin/xinit ${HOME}/.xinitrc -- -nolisten tcp vt09
User=myuser
Environment=SHELL=/bin/bash

[Install]
Alias=display-manager.service

编辑2： 我把它改成了......

ExecStart=/usr/bin/xinit ${HOME}/.xinitrc -- -auth ${HOME}/.Xauthority -nolisten tcp vt09

...创建$ {HOME} /。Xauthority ...

mcookie | sed -e 's/^/add :0 . /' | xauth -q

...并重新启动X服务器。瞧，授权现在默认拒绝。为了授予特定用户访问权限，我将.Xauthority复制到了他们的主目录。

没有使用xhost命令。

使用Xorg - 是的，通过使用一种特殊的“服务器解释”地址：

xhost +SI:localuser:root
xhost +SI:localuser:jim

或者，您可以为每个用户提供您用于的Xauthority文件的副本 Xorg -auth …。

但是，X11不适用于访问同一显示器的多个用户，并且每个客户端基本上都具有完全访问权限，因此您通过这样做引入了一个巨大的安全漏洞 - 任何用户都可以监视整个屏幕，运行键盘记录器，授予其他人访问或撤消现有用户的访问权限。