SSH & ForwardX11 проти ForwardX11Trusted -> поза моїми уявленнями

19

Я на Ubuntu 14.04 і намагається отримати мою голову навколо ForwardX11проти ForwardX11Trusted.

Мій ssh_config за замовчуванням містить такі рядки:

#   ForwardX11 no
#   ForwardX11Trusted yes

Далі, man ssh_configкаже мені, що:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

і те, ForwardX11.default == noі те ForwardX11Trusted.default == yes.

Тепер мої запитання:

  1. Я вважаю, що 1. має перевагу над 2. над 3. Не вказано жодного, тому слід застосувати параметри за замовчуванням, тобто ForwardX11Trusted == yes. Якщо я SSH у віддалену машину без опції -Yабо -Xопція, переадресація X11 не працює.

  2. Якщо я вказую -X, X11 переадресація працює, але, здається, вона перебуває в надійному режимі?

  3. Якщо я встановлю 

    ForwardX11 no
ForwardX11Trusted no

    в /etc/ssh/ssh_config, тепер я можу вибрати режим правильно з -Xі -Yопціями командного рядка. Але, хоча переадресація спричиняє приблизно .5 Мбіт трафіку в -Yрежимі, він завищує 6-10 Мбіт в -Xрежимі.

  4. Якщо я чітко встановив 

    ForwardX11 yes

    SSH все ще ігнорує ssh_configфайл. Мені ще потрібно уточнити ssh -X [...].

  5. Чому, здається, SSH ігнорує і налаштування за замовчуванням, і конфігураційний файл?

ssh  xforwarding 
Том
джерело
Деякі відповіді на відповідне запитання unix.stackexchange.com/questions/107547/… . Бонусне питання про переадресацію X11, що витрачає сотні кілобітів на секунду мережевого трафіку, цікавий - можливо, варто запитати окремо?
mcast

Відповіді:

14

За №4 ви редагуєте правильний файл? ~/.ssh/configФайл для зміни є один на клієнті (де клавіатура, як правило).

Що стосується №2 (і 3), пам’ятайте, що ForwardX11Trusted не передбачає ForwardX11 . ForwardX11Truted просто означає, що якщо увімкнути переадресацію (будь то через конфігураційний файл чи командний рядок), то переадресованому з'єднанню буде довірено.

HTH.

Джеймс К. Лоуден
джерело
Тож у чому полягає різниця між довіреними та невіреними режимами?
roaima
1
Хм, ви оригінальним запитанням означає, що ви прочитали сторінку чоловіка, тому ви побачили опис ForwardX11Trusted в ssh_config (5). Можливо, це допоможе зрозуміти, що довірена клієнтська програма X11 має доступ до більш ніж просто свого вікна; це може впливати на весь сервер X11 і читати дані, що належать до інших вікон. Розглянемо, наприклад, xdpyinfo або xkill. Я вважаю, що це відмінність є хибним; Я ніколи не міг використовувати X11, за винятком ForwardX11Trusted = так. Відмінність є відносно недавньою та ІМО незрілою.
Джеймс К. Лоуден
7

Я вважаю цю сторінку корисною: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sesions-over-ssh/

Це в основному відповідає на ваше запитання №2:

Якщо для ForwardX11Trusted встановлено значення «так», то команди ssh -X і ssh -Y функціонально еквівалентні. Якщо для ForwardX11 і ForwardX11Trusted обидва встановлені на "так", значки команди не тільки еквівалентні, але й непотрібні ... тобто

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Якщо для ForwardX11 встановлено значення "так", а для ForwardX11Trusted встановлено значення "ні", то

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

На жаль, я не маю уявлення про ваші інші спостереження.

чаргіно
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.