ssh -Y
(Güvenilir X11 iletme) ve ssh -X
(güvenilmeyen X11 iletme) arasındaki fark nedir ? Anladığım kadarıyla güvenlikle bir ilgisi var, ama ne zaman ve ne zaman kullanılacağı arasındaki farkı anlamadım.
ssh -Y
(Güvenilir X11 iletme) ve ssh -X
(güvenilmeyen X11 iletme) arasındaki fark nedir ? Anladığım kadarıyla güvenlikle bir ilgisi var, ama ne zaman ve ne zaman kullanılacağı arasındaki farkı anlamadım.
Yanıtlar:
Her iki seçeneğin de X11 iletme ile ilgisi var. Bu, eğer bunu etkinleştirirseniz, SSH oturumunuz aracılığıyla bir grafiksel istemci kullanabilirsiniz (örneğin, Firefox veya başka bir şey kullanın).
ssh -X remotemachine
Uzak makineyi kullanırsanız , güvenilmeyen bir istemci olarak kabul edilir. Böylece yerel istemciniz uzaktaki makineye bir komut gönderir ve grafik çıktısını alır. Komutunuz bazı güvenlik ayarlarını ihlal ederse bunun yerine bir hata alırsınız.
Ancak ssh -Y remotemachine
uzak makineyi kullanırsanız güvenilir bir istemci olarak kabul edilir. Bu son seçenek güvenlik sorunlarını açabilir. Çünkü diğer grafiksel (X11) istemciler uzaktaki makineden veri alabilir (ekran görüntüleri yapar, keylogging ve diğer kötü şeyler yapar) ve bu verileri değiştirmek bile mümkündür.
Bu şeyler hakkında daha fazla bilgi edinmek istiyorsanız, Xsecurity kılavuz sayfasını veya X Security eklentisini okuyun . Ayrıca, seçenekleri ForwardX11
ve ForwardX11Trusted
sizin kontrol edebilirsiniz /etc/ssh/ssh_config
.
-X
diğer müşterilerin verileri koklaması veya değiştirmesi mümkün değil mi?
-Y
yerine -X
genel olarak?
-Y
) ve bunu anladığım tek vaka, sunucu tarafındaki güvenlik kontrolünün bir şekilde uygulanmadığı / uyumlu olmadığı zaman olabilir. Ayrıca, X11'i yönlendirmenin genellikle böyle davranılması gereken güçlü ve tehlikeli bir araç olduğunu da okudum.
Kullanım ne uzaktan X11 programları çalıştırmak için gerekmediğinde; -X
yaptığınız zaman kullanın ; ve -Y
önemsediğiniz bir X11 programının -Y ile -X ile daha iyi çalıştığını varsayarsak kullanın. Fakat şu anda (Ubuntu 15.10), -X, -Y ile aynıdır, ssh_config
söylemediğiniz sürece ForwardX11Trusted no
. -X aslında 1990'ların X Güvenlik genişletmesini mümkün kılmak için tasarlanmıştı, ancak bu eski ve esnek değil ve bazı programları çökertiyor ve bu nedenle varsayılan olarak yoksayılıyor.
Hem SSH -Y
ve -X
onun pencereleri yerel X monitörde görünen ile, uzak bir makinedeki bir X11 programı çalıştırın. Sorun, programın diğer programların pencerelerine ve X sunucusunun kendisine yapmasına izin verilen şeydir.
local$ ssh -X remote
remote$ xlogo
# Runs xlogo on remote, but the logo pops up on the local screen.
Güvenilir X11 iletme özelliği etkindir -Y
. Bu tarihsel davranış. Ekrana erişimi olan bir program, tüm ekrana erişim ile güvenilirdir . Ekran görüntüsü, keylog ve diğer programların tüm pencerelerine girdi enjekte edebilir . Güvenlik riskleri olan hızlandırılmış grafikler de dahil olmak üzere tüm X sunucu uzantılarını kullanabilir. Sorunsuz çalıştırmak için iyi, ancak güvenlik için kötü. Uzak programlara, yerel programlarınız kadar güvenli olduğuna güveniyorsunuz.
Güvenilmeyen X11 iletme, uzak programları yalnızca kendi pencerelerine erişmeye ve yalnızca X'in nispeten güvenli olan bölümlerini kullanmaya kısıtlamaya çalışır . Kulağa hoş geliyor, ancak şu anda pratikte iyi çalışmıyor.
-X
Şu anki anlamı ssh yapılandırmanıza bağlıdır.
Ubuntu 14.04 LTS'de, siz düzenleme yapmazsanız ssh_config
, -X
ve arasında bir fark yoktur -Y
. "[B] çünkü şu anda [güvenilmeyen] modunda çok fazla program çöküyor."
ubuntu1404$ man ssh
...
-X Enables X11 forwarding. This can also be specified on a per-host
basis in a configuration file.
...
(Debian-specific: X11 forwarding is not subjected to X11 SECURITY
extension restrictions by default, because too many programs cur‐
rently crash in this mode. Set the ForwardX11Trusted option to
“no” to restore the upstream behavior. This may change in
future depending on client-side improvements.)
ubuntu1404$ grep ForwardX11Trusted /etc/ssh/ssh_config
# ForwardX11Trusted yes
Eğer ForwardX11Trusted no
öyleyse -X
, güvenilir olmayan iletimi etkinleştirir . Aksi takdirde, ekran erişimine sahip uzak programların dostça olduğuna güvenmekle -X
aynı şekilde davranılır -Y
.
Bu -X
seçenek, X11 iletmeyi etkinleştirir:
-X Enables X11 forwarding. This can also be specified on a per-host
basis in a configuration file.
X11 forwarding should be enabled with caution. Users with the
ability to bypass file permissions on the remote host (for the
user's X authorization database) can access the local X11 display
through the forwarded connection. An attacker may then be able
to perform activities such as keystroke monitoring.
For this reason, X11 forwarding is subjected to X11 SECURITY
extension restrictions by default. Please refer to the ssh -Y
option and the ForwardX11Trusted directive in ssh_config(5) for
more information.
-Y
Ssh_config (5) içindeki ForwardX11Trusted yönergesine karşılık gelen seçenek , X11 SECURITY genişletme denetimlerini kaldırdığı için daha az güvenlidir.
-Y Enables trusted X11 forwarding. Trusted X11 forwardings are not
subjected to the X11 SECURITY extension controls.
Kullanımı daha güvenli -x
-x Disables X11 forwarding.