SSH y ForwardX11 vs ForwardX11Trusted -> más allá de mi alcance

19

Estoy en Ubuntu 14.04 y tratando de conseguir mi cabeza alrededor ForwardX11vs ForwardX11Trusted.

Mi ssh_config predeterminado contiene las siguientes líneas:

#   ForwardX11 no
#   ForwardX11Trusted yes

Además, man ssh_configme dice que:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

y eso ForwardX11.default == noy ForwardX11Trusted.default == yes.

Ahora mis preguntas:

  1. Supongo que 1. tiene prioridad sobre 2. sobre 3. No se especifica ninguno, por lo tanto, se debe aplicar la configuración predeterminada, es decir ForwardX11Trusted == yes. Si ingreso SSH en una máquina remota sin la opción -Yu -X, el reenvío X11 no funciona.

  2. Si especifico -X, el reenvío X11 funciona pero parece estar en modo de confianza.

  3. Si pongo 

    ForwardX11 no
ForwardX11Trusted no

    en /etc/ssh/ssh_config, ahora puedo elegir el modo correctamente con las opciones de línea de comando -Xy -Y. Pero, aunque el reenvío causa aproximadamente .5 MBit de tráfico en -Ymodo, acapara 6-10 MBit en -Xmodo.

  4. Si establezco explícitamente 

    ForwardX11 yes

    SSH aún ignora el ssh_configarchivo. Todavía necesito especificar ssh -X [...].

  5. ¿Por qué SSH parece ignorar tanto la configuración predeterminada como el archivo de configuración?

ssh xforwarding Tom
fuente
Algunas respuestas en la pregunta relacionada unix.stackexchange.com/questions/107547/… . La pregunta adicional sobre el reenvío X11 desperdiciando cientos de kilobits / s de tráfico de red es interesante. ¿Puede valer la pena hacerla por separado?
mcast

Respuestas:

14

Por # 4, ¿estás editando el archivo correcto? El ~/.ssh/configarchivo a cambiar es el del cliente (donde suele estar el teclado).

En cuanto a # 2 (y 3), recuerde que ForwardX11Trusted no implica ForwardX11 . ForwardX11Trusted solo significa que si activa el reenvío (ya sea a través del archivo de configuración o la línea de comando), la conexión reenviada será de confianza.

HTH.

James K. Lowden
fuente
Entonces, ¿cuál es la diferencia entre los modos confiable y no confiable?
roaima
1
Hmm, tu pregunta original indica que leíste la página del manual, así que has visto la descripción de ForwardX11Trusted en ssh_config (5). Quizás ayude entender que una aplicación de cliente X11 confiable tiene acceso a más que solo su ventana; Puede afectar a todo el servidor X11 y leer datos que pertenecen a otras ventanas. Considere xdpyinfo o xkill, por ejemplo. Sin embargo, considero que la distinción es falsa; Nunca he podido usar X11 excepto con ForwardX11Trusted = yes. La distinción es relativamente reciente y la OMI inmadura.
James K. Lowden
7

Encontré esta página útil: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Básicamente responde a tu pregunta # 2:

Si ForwardX11Trusted se establece en "yes", entonces los comandos ssh -X y ssh -Y son funcionalmente equivalentes. Si ForwardX11 y ForwardX11Trusted están configurados en "sí", entonces los indicadores de comando no solo son equivalentes, son innecesarios ... eso es

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Si ForwardX11 está configurado en "yes" y ForwardX11Trusted está configurado en "no", entonces

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Lamentablemente, no tengo idea de sus otras observaciones.

chargino
fuente