SSH e ForwardX11 vs ForwardX11Trusted -> além do meu alcance

19

Estou no Ubuntu 14.04 e tentando obter minha cabeça em torno ForwardX11vs ForwardX11Trusted.

Meu ssh_config padrão contém as seguintes linhas:

#   ForwardX11 no
#   ForwardX11Trusted yes

Além disso, man ssh_configdiz-me que:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

e isso ForwardX11.default == noe ForwardX11Trusted.default == yes.

Agora minhas perguntas:

  1. Entendo que 1. tem precedência sobre 2. acima de 3. Nenhum é especificado, portanto as configurações padrão devem ser aplicadas, ou seja ForwardX11Trusted == yes. Se eu fizer o SSH em uma máquina remota sem a opção -You -X, o encaminhamento do X11 não funcionará.

  2. Se eu especificar -X, o encaminhamento do X11 funciona, mas parece estar no modo confiável?

  3. Se eu definir

    ForwardX11 no
    ForwardX11Trusted no
    

    na /etc/ssh/ssh_config, agora posso escolher o modo corretamente com os -Xe -Ycomando Opções de linha. Mas, enquanto o encaminhamento causa aproximadamente 0,5 MBit de tráfego no -Ymodo, ele monopoliza 6-10 MBit no -Xmodo.

  4. Se eu definir explicitamente

    ForwardX11 yes
    

    O SSH ainda ignora o ssh_configarquivo. Eu ainda preciso especificar ssh -X [...].

  5. Por que o SSH parece ignorar as configurações padrão e o arquivo de configuração?

Tom
fonte
Algumas respostas na pergunta relacionada unix.stackexchange.com/questions/107547/… . A questão bônus sobre o encaminhamento do X11 desperdiçando centenas de kilobit / s de tráfego de rede é interessante - pode valer a pena perguntar separadamente?
mcast 24/04

Respostas:

14

De acordo com o nº 4, você está editando o arquivo certo? O ~/.ssh/configarquivo a ser alterado é o do cliente (onde está o teclado, geralmente).

Quanto aos itens 2 (e 3), lembre-se de que o ForwardX11Trusted não implica o ForwardX11 . ForwardX11Trusted significa apenas que, se você ativar o encaminhamento (seja via arquivo de configuração ou linha de comando), a conexão encaminhada será confiável.

HTH.

James K. Lowden
fonte
Então, qual é a diferença entre os modos Confiável e Não Confiável?
roaima 17/02
1
Hmm, sua pergunta original indica que você leu a página de manual, então você viu a descrição do ForwardX11Trusted em ssh_config (5). Talvez ajude a entender que um aplicativo cliente X11 confiável tem acesso a mais do que apenas sua janela; isso pode afetar todo o servidor X11 e ler dados pertencentes a outras janelas. Considere xdpyinfo ou xkill, por exemplo. Eu considero a distinção falsa; Eu nunca fui capaz de usar o X11, exceto com o ForwardX11Trusted = yes. A distinção é relativamente recente e imatura da OMI.
James K. Lowden
7

Achei esta página útil: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Basicamente, responde à sua pergunta # 2:

Se ForwardX11Trusted estiver definido como "yes", os comandos ssh -X e ssh -Y serão funcionalmente equivalentes. Se o ForwardX11 e o ForwardX11Trusted estiverem definidos como "yes", os sinalizadores de comando não são apenas equivalentes, são desnecessários ... isto é

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Se o ForwardX11 estiver definido como "yes" e o ForwardX11Trusted estiver definido como "no", então

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Infelizmente, não tenho informações sobre suas outras observações.

chargino
fonte