SSH & ForwardX11 vs ForwardX11Trusted -> jenseits meiner Reichweite

19

Ich bin auf Ubuntu 14.04 und versuche , meinen Kopf um ForwardX11vs ForwardX11Trusted.

Mein Standard ssh_config enthält die folgenden Zeilen:

#   ForwardX11 no
#   ForwardX11Trusted yes

Weiter man ssh_configsagt mir das:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

und das ForwardX11.default == nound ForwardX11Trusted.default == yes.

Nun meine Fragen:

  1. Ich gehe davon aus, dass 1. Vorrang vor 2. Vorrang vor 3. Keine angegeben ist, daher sollten die Standardeinstellungen angewendet werden, d ForwardX11Trusted == yes. H. Wenn ich eine SSH-Verbindung zu einem Remotecomputer ohne die Option -Yoder herstelle -X, funktioniert die X11-Weiterleitung nicht.

  2. Wenn ich spezifiziere -X, funktioniert die X11-Weiterleitung, scheint sich aber im vertrauenswürdigen Modus zu befinden?

  3. Wenn ich setze

    ForwardX11 no
    ForwardX11Trusted no
    

    In /etc/ssh/ssh_configkann ich nun den Modus mit den Befehlszeilenoptionen -Xund richtig auswählen -Y. Während die Weiterleitung im -YModus etwa 0,5 MBit Datenverkehr verursacht, werden im Modus 6-10 MBit verarbeitet -X.

  4. Wenn ich das explizit setze

    ForwardX11 yes
    

    SSH ignoriert die ssh_configDatei weiterhin. Ich muss noch angeben ssh -X [...].

  5. Warum scheint SSH sowohl die Standardeinstellungen als auch die Konfigurationsdatei zu ignorieren?

Tom
quelle
Einige Antworten auf verwandte Fragen unix.stackexchange.com/questions/107547/… . Die Bonusfrage zu X11-Weiterleitungen, die Hunderte von Kilobit / s Netzwerkverkehr verschwenden, ist interessant - kann es sich lohnen, sie separat zu stellen?
Mcast

Antworten:

14

Bearbeiten Sie gemäß Nummer 4 die richtige Datei? Die ~/.ssh/configzu ändernde Datei befindet sich auf dem Client (normalerweise auf der Tastatur).

Denken Sie bei Nummer 2 (und 3) daran, dass ForwardX11Trusted nicht ForwardX11 impliziert . ForwardX11Trusted bedeutet nur, dass die weitergeleitete Verbindung vertrauenswürdig ist, wenn Sie die Weiterleitung aktivieren (ob über die Konfigurationsdatei oder die Befehlszeile).

HTH.

James K. Lowden
quelle
Was ist der Unterschied zwischen vertrauenswürdigen und nicht vertrauenswürdigen Modi?
Roaima
1
Hmm, Ihre ursprüngliche Frage zeigt an, dass Sie die Manpage gelesen haben, sodass Sie die Beschreibung von ForwardX11Trusted in ssh_config (5) gesehen haben. Vielleicht hilft es zu verstehen, dass eine vertrauenswürdige X11-Client-Anwendung nicht nur auf das Fenster zugreifen kann. Es kann sich auf den gesamten X11-Server auswirken und Daten lesen, die zu anderen Fenstern gehören. Betrachten Sie zum Beispiel xdpyinfo oder xkill. Ich betrachte jedoch die Unterscheidung falsch; Ich konnte X11 nur mit ForwardX11Trusted = yes verwenden. Die Unterscheidung ist relativ neu und IMO unausgereift.
James K. Lowden
7

Ich fand diese Seite nützlich: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Es beantwortet im Grunde Ihre Frage # 2:

Wenn ForwardX11Trusted auf "yes" gesetzt ist, sind die Befehle ssh -X und ssh -Y funktional gleichwertig. Wenn ForwardX11 und ForwardX11Trusted beide auf "yes" gesetzt sind, sind die Befehlsflags nicht nur gleichwertig, sondern auch unnötig

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Wenn ForwardX11 auf "Ja" und ForwardX11Trusted auf "Nein" gesetzt ist, dann

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Leider habe ich keinen Einblick in Ihre anderen Beobachtungen.

chargino
quelle