SSH & ForwardX11 vs ForwardX11Trusted -> poza moim zasięgiem

19

Jestem na Ubuntu 14.04 i próbując ominąć głowę ForwardX11vs ForwardX11Trusted.

Mój domyślny ssh_config zawiera następujące wiersze:

#   ForwardX11 no
#   ForwardX11Trusted yes

Ponadto man ssh_configmówi mi, że:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

i to ForwardX11.default == noi ForwardX11Trusted.default == yes.

Teraz moje pytania:

  1. Przyjmuję, że 1. ma pierwszeństwo przed 2. nad 3. Nie określono żadnego, dlatego należy zastosować ustawienia domyślne, tj ForwardX11Trusted == yes. Jeśli I SSH do zdalnego komputera bez opcji -Ylub -X, przekazywanie X11 nie działa.

  2. Jeśli podam -X, przekazywanie X11 działa, ale wydaje się, że działa w trybie zaufanym?

  3. Jeśli ustawię

    ForwardX11 no
    ForwardX11Trusted no
    

    za /etc/ssh/ssh_config, mogę teraz poprawnie wybrać tryb za pomocą opcji -Xi -Ywiersza poleceń. Ale podczas gdy przekazywanie powoduje w przybliżeniu 0,5 MBit ruchu w -Ytrybie, to w -Xtrybie o wartości 6-10 MBit .

  4. Jeśli wyraźnie ustawię

    ForwardX11 yes
    

    SSH nadal ignoruje ssh_configplik. Nadal muszę sprecyzować ssh -X [...].

  5. Dlaczego SSH wydaje się ignorować zarówno ustawienia domyślne, jak i plik konfiguracyjny?

Tomek
źródło
Niektóre odpowiedzi na pytanie dotyczące unix.stackexchange.com/questions/107547/... . Dodatkowe pytanie o przekazywanie X11 marnujące setki kilobitów na sekundę ruchu sieciowego jest interesujące - czy warto zadawać osobno?
mcast

Odpowiedzi:

14

Czy dla # 4 edytujesz odpowiedni plik? ~/.ssh/configPlik do zmiany jest jeden na kliencie (gdzie klawiatura jest zazwyczaj).

Jeśli chodzi o # 2 (i 3), pamiętaj, że ForwardX11Trusted nie oznacza ForwardX11 . ForwardX11Trusted oznacza po prostu, że jeśli włączysz przekazywanie (czy to przez plik konfiguracyjny czy wiersz poleceń), wtedy przekazane połączenie będzie zaufane.

HTH.

James K. Lowden
źródło
Jaka jest zatem różnica między trybami Zaufanymi i Niezaufanymi?
roaima
1
Hmm, twoje oryginalne pytanie wskazuje, że czytasz stronę podręcznika, więc widziałeś opis ForwardX11Trusted w ssh_config (5). Być może pomoże to zrozumieć, że zaufana aplikacja kliencka X11 ma dostęp do więcej niż tylko okna; może wpływać na cały serwer X11 i odczytywać dane należące do innych okien. Rozważmy na przykład xdpyinfo lub xkill. Uważam jednak, że to rozróżnienie jest fałszywe; Nigdy nie byłem w stanie używać X11, z wyjątkiem ForwardX11Trusted = yes. To rozróżnienie jest stosunkowo nowe, a IMO niedojrzałe.
James K. Lowden
7

Uważam tę stronę za przydatną: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Zasadniczo odpowiada na twoje pytanie nr 2:

Jeśli ForwardX11Trusted jest ustawiony na „tak”, wówczas polecenia ssh -X i ssh -Y są funkcjonalnie równoważne. Jeśli ForwardX11 i ForwardX11Trusted są ustawione na „tak”, to flagi poleceń są nie tylko równoważne, ale są niepotrzebne… to znaczy

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Jeśli ForwardX11 jest ustawiony na „tak”, a ForwardX11Trusted jest ustawiony na „nie”, to

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Niestety nie mam wglądu w twoje inne obserwacje.

chargeino
źródło