SSH & ForwardX11 vs ForwardX11Trusted -> di luar jangkauan saya

19

Saya di Ubuntu 14.04 dan mencoba untuk mendapatkan kepala saya sekitar ForwardX11vs ForwardX11Trusted.

Ssh_config default saya berisi baris-baris berikut:

#   ForwardX11 no
#   ForwardX11Trusted yes

Selanjutnya, man ssh_configberi tahu saya bahwa:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

dan itu ForwardX11.default == nodan ForwardX11Trusted.default == yes.

Sekarang pertanyaan saya:

  1. Saya menganggap bahwa 1. diutamakan di atas 2. di atas 3. Tidak ada yang ditentukan, sehingga pengaturan default harus diterapkan, yaitu ForwardX11Trusted == yes. Jika saya SSH ke mesin jarak jauh tanpa opsi -Yatau -X, penerusan X11 tidak berfungsi.

  2. Jika saya tentukan -X, penerusan X11 berfungsi tetapi tampaknya dalam mode tepercaya?

  3. Jika saya atur 

    ForwardX11 no
ForwardX11Trusted no

    di /etc/ssh/ssh_config, sekarang saya dapat memilih mode dengan benar dengan opsi -Xdan -Ybaris perintah. Tapi, sementara penerusan menyebabkan sekitar 0,5 MBit dari lalu lintas dalam -Ymode, itu memonopoli 6-10 MBit dalam -Xmode.

  4. Jika saya mengatur secara eksplisit 

    ForwardX11 yes

    SSH masih mengabaikan ssh_configfile. Saya masih perlu menentukan ssh -X [...].

  5. Mengapa SSH tampaknya mengabaikan pengaturan default dan file konfigurasi?

ssh xforwarding Tom
sumber
Beberapa jawaban dalam pertanyaan terkait unix.stackexchange.com/questions/107547/… . Pertanyaan bonus tentang penerusan X11 yang membuang-buang ratusan kilobit / detik lalu lintas jaringan menarik - mungkin layak ditanyakan secara terpisah?
Siarkan

Jawaban:

14

Per # 4, apakah Anda mengedit file yang benar? The ~/.ssh/configfile perubahan adalah satu di client (di mana keyboard, biasanya).

Adapun # 2 (dan 3), ingat bahwa ForwardX11Trusted tidak menyiratkan ForwardX11 . ForwardX11Trusted hanya berarti bahwa jika Anda menghidupkan penerusan (baik melalui file konfigurasi atau baris perintah) maka koneksi yang diteruskan akan dipercaya.

HTH.

James K. Lowden
sumber
Jadi apa perbedaan antara mode Tepercaya dan non-Tepercaya?
roaima
1
Hmm, pertanyaan awal Anda menunjukkan bahwa Anda membaca halaman manual, jadi Anda telah melihat deskripsi ForwardX11Trusted di ssh_config (5). Mungkin akan membantu untuk memahami bahwa aplikasi klien X11 tepercaya memiliki akses ke lebih dari sekadar jendela; itu dapat mempengaruhi seluruh server X11 dan membaca data milik windows lain. Pertimbangkan xdpyinfo atau xkill, misalnya. Saya menganggap perbedaan palsu, meskipun; Saya tidak pernah bisa menggunakan X11 kecuali dengan ForwardX11Trusted = ya. Perbedaannya relatif baru dan IMO belum matang.
James K. Lowden
7

Saya menemukan halaman ini berguna: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Ini pada dasarnya menjawab pertanyaan Anda # 2:

Jika ForwardX11Trusted diatur ke "ya", maka perintah ssh -X dan ssh -Y secara fungsional setara. Jika ForwardX11 dan ForwardX11Trusted sama-sama diatur ke "ya", maka bendera perintah tidak hanya setara, mereka tidak perlu ... itu adalah

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Jika ForwardX11 diatur ke "ya" dan ForwardX11Trusted diatur ke "tidak", maka

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Sayangnya, saya tidak memiliki wawasan tentang pengamatan Anda yang lain.

chargino
sumber