SSH & ForwardX11 против ForwardX11Trusted -> вне моего понимания


19

Я на Ubuntu 14.04 и пытаюсь разобраться с ForwardX11против ForwardX11Trusted.

Мой ssh_config по умолчанию содержит следующие строки:

#   ForwardX11 no
#   ForwardX11Trusted yes

Далее man ssh_configговорит мне, что:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

и это ForwardX11.default == noи ForwardX11Trusted.default == yes.

Теперь мои вопросы:

  1. Я считать, что 1. имеет приоритет над 2. над 3. None указывается, что настройки по умолчанию должны быть применены, то есть ForwardX11Trusted == yes. Если я подключаю SSH к удаленной машине без опции -Yили -X, пересылка X11 не работает.

  2. Если я укажу -X, X11 переадресация работает, но, кажется, в доверенном режиме?

  3. Если я установлю

    ForwardX11 no
    ForwardX11Trusted no
    

    в /etc/ssh/ssh_config, теперь я могу выбрать режим правильно с -Xи -Yопциями командной строки. Но в то время как пересылка вызывает примерно 0,5 Мбит трафика в -Yрежиме, она требует 6-10 Мбит в -Xрежиме.

  4. Если я явно установить

    ForwardX11 yes
    

    SSH по-прежнему игнорирует ssh_configфайл. Мне еще нужно уточнить ssh -X [...].

  5. Почему SSH, похоже, игнорирует настройки по умолчанию и файл конфигурации?


Некоторые ответы на связанный вопрос unix.stackexchange.com/questions/107547/… . Интересен бонусный вопрос о том, что пересылка X11 тратит сотни килобит / сек сетевого трафика - может, стоит спросить отдельно?
Mcast

Ответы:


14

Согласно № 4, вы редактируете правильный файл? ~/.ssh/configФайл для изменения является один на клиенте (где клавиатура, как правило).

Что касается # 2 (и 3), помните, что ForwardX11Trusted не подразумевает ForwardX11 . ForwardX11Trusted просто означает, что если вы включите пересылку (будь то через файл конфигурации или командную строку), то перенаправленное соединение будет доверенным.

НТН.


Так в чем же разница между доверенным и ненадежным режимами?
Ройма

1
Хм, ваш первоначальный вопрос означает, что вы прочитали справочную страницу, так что вы видели описание ForwardX11Trusted в ssh_config (5). Возможно, это поможет понять, что доверенное клиентское приложение X11 имеет доступ не только к своему окну; это может повлиять на весь сервер X11 и читать данные, принадлежащие другим окнам. Рассмотрим, например, xdpyinfo или xkill. Тем не менее, я считаю различие фиктивным; Я никогда не мог использовать X11, кроме как с ForwardX11Trusted = yes. Различие является относительно недавним и IMO незрелым.
Джеймс К. Лоуден

7

Я нашел эту страницу полезной: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Это в основном отвечает на ваш вопрос № 2:

Если для ForwardX11Trusted установлено значение «yes», то команды ssh -X и ssh -Y функционально эквивалентны. Если для ForwardX11 и ForwardX11Trusted установлено значение «yes», то флаги команд не только эквивалентны, но и не нужны ...

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Если для ForwardX11 установлено значение «да», а для ForwardX11Trusted установлено значение «нет», то

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

К сожалению, я не понимаю ваших других наблюдений.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.