SSH & ForwardX11 vs ForwardX11Trusted -> poza moim zasięgiem


19

Jestem na Ubuntu 14.04 i próbując ominąć głowę ForwardX11vs ForwardX11Trusted.

Mój domyślny ssh_config zawiera następujące wiersze:

#   ForwardX11 no
#   ForwardX11Trusted yes

Ponadto man ssh_configmówi mi, że:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

i to ForwardX11.default == noi ForwardX11Trusted.default == yes.

Teraz moje pytania:

  1. Przyjmuję, że 1. ma pierwszeństwo przed 2. nad 3. Nie określono żadnego, dlatego należy zastosować ustawienia domyślne, tj ForwardX11Trusted == yes. Jeśli I SSH do zdalnego komputera bez opcji -Ylub -X, przekazywanie X11 nie działa.

  2. Jeśli podam -X, przekazywanie X11 działa, ale wydaje się, że działa w trybie zaufanym?

  3. Jeśli ustawię

    ForwardX11 no
    ForwardX11Trusted no
    

    za /etc/ssh/ssh_config, mogę teraz poprawnie wybrać tryb za pomocą opcji -Xi -Ywiersza poleceń. Ale podczas gdy przekazywanie powoduje w przybliżeniu 0,5 MBit ruchu w -Ytrybie, to w -Xtrybie o wartości 6-10 MBit .

  4. Jeśli wyraźnie ustawię

    ForwardX11 yes
    

    SSH nadal ignoruje ssh_configplik. Nadal muszę sprecyzować ssh -X [...].

  5. Dlaczego SSH wydaje się ignorować zarówno ustawienia domyślne, jak i plik konfiguracyjny?


Niektóre odpowiedzi na pytanie dotyczące unix.stackexchange.com/questions/107547/... . Dodatkowe pytanie o przekazywanie X11 marnujące setki kilobitów na sekundę ruchu sieciowego jest interesujące - czy warto zadawać osobno?
mcast

Odpowiedzi:


14

Czy dla # 4 edytujesz odpowiedni plik? ~/.ssh/configPlik do zmiany jest jeden na kliencie (gdzie klawiatura jest zazwyczaj).

Jeśli chodzi o # 2 (i 3), pamiętaj, że ForwardX11Trusted nie oznacza ForwardX11 . ForwardX11Trusted oznacza po prostu, że jeśli włączysz przekazywanie (czy to przez plik konfiguracyjny czy wiersz poleceń), wtedy przekazane połączenie będzie zaufane.

HTH.


Jaka jest zatem różnica między trybami Zaufanymi i Niezaufanymi?
roaima

1
Hmm, twoje oryginalne pytanie wskazuje, że czytasz stronę podręcznika, więc widziałeś opis ForwardX11Trusted w ssh_config (5). Być może pomoże to zrozumieć, że zaufana aplikacja kliencka X11 ma dostęp do więcej niż tylko okna; może wpływać na cały serwer X11 i odczytywać dane należące do innych okien. Rozważmy na przykład xdpyinfo lub xkill. Uważam jednak, że to rozróżnienie jest fałszywe; Nigdy nie byłem w stanie używać X11, z wyjątkiem ForwardX11Trusted = yes. To rozróżnienie jest stosunkowo nowe, a IMO niedojrzałe.
James K. Lowden

7

Uważam tę stronę za przydatną: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Zasadniczo odpowiada na twoje pytanie nr 2:

Jeśli ForwardX11Trusted jest ustawiony na „tak”, wówczas polecenia ssh -X i ssh -Y są funkcjonalnie równoważne. Jeśli ForwardX11 i ForwardX11Trusted są ustawione na „tak”, to flagi poleceń są nie tylko równoważne, ale są niepotrzebne… to znaczy

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Jeśli ForwardX11 jest ustawiony na „tak”, a ForwardX11Trusted jest ustawiony na „nie”, to

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Niestety nie mam wglądu w twoje inne obserwacje.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.