Apa perbedaan antara ssh -Y
(penerusan X11 tepercaya) dan ssh -X
(penerusan X11 tak tepercaya)? Sejauh yang saya mengerti, itu ada hubungannya dengan keamanan, tetapi saya tidak memahami perbedaannya dan kapan menggunakannya.
sumber
Apa perbedaan antara ssh -Y
(penerusan X11 tepercaya) dan ssh -X
(penerusan X11 tak tepercaya)? Sejauh yang saya mengerti, itu ada hubungannya dengan keamanan, tetapi saya tidak memahami perbedaannya dan kapan menggunakannya.
Kedua opsi ada hubungannya dengan penerusan X11. Ini berarti jika Anda mengaktifkan ini, Anda dapat menggunakan klien grafis melalui sesi SSH Anda (misalnya, gunakan Firefox atau yang lainnya).
Jika Anda menggunakan ssh -X remotemachine
mesin jarak jauh diperlakukan sebagai klien yang tidak dipercaya. Jadi klien lokal Anda mengirim perintah ke mesin jarak jauh dan menerima output grafis. Jika perintah Anda melanggar beberapa pengaturan keamanan Anda akan menerima kesalahan sebagai gantinya.
Tetapi jika Anda menggunakan ssh -Y remotemachine
mesin jarak jauh diperlakukan sebagai klien tepercaya. Opsi terakhir ini dapat membuka masalah keamanan. Karena klien grafis (X11) lainnya dapat mengendus data dari mesin jarak jauh (membuat tangkapan layar, melakukan keylogging dan hal-hal buruk lainnya) dan bahkan dimungkinkan untuk mengubah data tersebut.
Jika Anda ingin tahu lebih banyak tentang hal-hal itu, saya sarankan membaca halaman manual Xsecurity atau spesifikasi ekstensi X Security . Selanjutnya, Anda dapat memeriksa opsi ForwardX11
dan ForwardX11Trusted
di /etc/ssh/ssh_config
.
-X
apakah tidak mungkin bagi klien lain untuk mengendus atau mengubah data?-Y
daripada-X
secara umum?-Y
) dan satu-satunya kasus yang saya pahami ini mungkin berguna adalah ketika kontrol keamanan di sisi server entah bagaimana tidak diterapkan / tidak kompatibel. Saya juga pernah membaca bahwa penerusan X11 pada umumnya adalah alat yang kuat dan berbahaya yang harus diperlakukan seperti itu.Gunakan baik ketika Anda tidak perlu menjalankan program X11 dari jarak jauh; gunakan
-X
saat Anda melakukannya; dan secara hipotesis gunakan-Y
jika program X11 yang Anda pedulikan berfungsi lebih baik dengan -Y daripada dengan -X. Tetapi saat ini (Ubuntu 15.10), -X identik dengan -Y, kecuali Anda mengeditssh_config
untuk mengatakanForwardX11Trusted no
. -X pada awalnya dimaksudkan untuk mengaktifkan ekstensi X Security tahun 1990-an, tetapi itu sudah tua dan tidak fleksibel, dan membuat beberapa program macet, sehingga diabaikan secara default.Baik ssh
-Y
dan-X
membiarkan Anda menjalankan program X11 pada mesin jarak jauh, dengan jendelanya muncul di monitor X lokal. Masalahnya adalah apa yang diizinkan untuk dilakukan oleh program pada jendela program lain, dan ke server X itu sendiri.Penerusan X11 tepercaya diaktifkan oleh
-Y
. Ini adalah perilaku historis. Program dengan akses ke tampilan, dipercaya dengan akses ke seluruh tampilan. Itu dapat screenshot, keylog, dan menyuntikkan input ke semua jendela program lain . Dan itu dapat menggunakan semua ekstensi X server, termasuk yang seperti grafik dipercepat, yang merupakan eksposur keamanan. Yang baik untuk berjalan dengan lancar, tetapi buruk untuk keamanan. Anda memercayai program jarak jauh seaman program lokal Anda.Penerusan X11 yang tidak terpercaya mencoba membatasi program jarak jauh untuk hanya mengakses jendela mereka sendiri , dan hanya menggunakan bagian-bagian X yang relatif aman. Kedengarannya bagus, tetapi saat ini tidak bekerja dengan baik dalam praktik.
Arti
-X
saat ini tergantung pada konfigurasi ssh Anda.Di Ubuntu 14.04 LTS, kecuali Anda mengedit
ssh_config
, tidak ada perbedaan antara-X
dan-Y
. "[B] karena terlalu banyak program yang macet dalam mode [tidak dipercaya]."Jika
ForwardX11Trusted no
, maka-X
memungkinkan penerusan yang tidak dipercaya . Kalau tidak,-X
diperlakukan sama seperti-Y
, percaya bahwa program jarak jauh dengan akses tampilan ramah.sumber
The
-X
pilihan memungkinkan X11 forwarding:Opsi
-Y
, yang sesuai dengan direktif ForwardX11Trusted di ssh_config (5), bahkan lebih tidak aman karena, menghapus kontrol ekstensi X11 SECURITY.Lebih aman digunakan
-x
sumber