Es bastante fácil 'buscar' (es decir, dibujar localmente) una aplicación de Linux que se ejecuta de forma remota: si voy ssh -Y
a la máquina remota y ejecuto una aplicación, esa aplicación seguramente aparecerá en mi escritorio local.
Sin embargo, si mientras estoy en la máquina remota, me dirijo su
a un usuario diferente, no puedo reenviar la aplicación X a mi máquina local. Dice wrong authentication
.
No estoy seguro de cómo abordar este caso. El echo $DISPLAY
sigue siendo correcto (establecido por el ssh -Y
inicio de sesión inicial ), pero la cookie de sesión probablemente solo esté configurada para el usuario inicial que inició sesión en ssh.
¿Cómo puedo superar esta dificultad y reenviar otras aplicaciones X que se ejecutan desde diferentes usuarios?
La razón por la que no estoy enviando mensajes directamente es porque no quiero que se pueda acceder a ese usuario a través de ssh (es el usuario de "virtualbox", que obviamente es un objetivo fácil para los robots que intentan enviar mensajes a ese servidor) ...
fuente
ssh -Y
a la máquina remota como a ti mismo.xauth list
. Aparece una lista de artículos de MAGIC-COOKIE. Su sesión de inicio de sesión es probablemente la última en la lista. (Verifique esto observando el nombre de host y el código de número UNIX, y compárelo con el nombre de host desde el que descascó y su host local actual: ## DISPLAY variable de env.)xauth add
+ toda la línea MAGIC-COOKIE desde arriba.xlogo
.fuente
USER="otherusername" && MAGIC_COOKIE=`xauth list | tail -n1` && su -c "xauth add $MAGIC_COOKIE" $USER && su - $USER
Me gusta la respuesta de Randy, pero no funcionó para mí.
Esto es lo que tengo que trabajar:
ssh -Y as user1
xauth list | grep `uname -n`
unset XAUTHORITY
xauth generate :0 .
xauth add :0 . <KEY-FROM-STEP-2>
Tenga en cuenta los dos períodos en los pasos 5 y 6.
Si solo sigo la respuesta de Randy, la
XAUTHORITY
variable user2 todavía apunta al.Xauthority
archivo user1 . Y su sintaxis de la tecla + no funcionó.fuente
Esta no es una respuesta, así que si encuentras una, obviamente es preferible.
Si no, y esta es la causa raíz de su enigma:
Me parece que no es un gran razonamiento. "Qué bots apuntan" WRT un sshd bien configurado es en gran medida irrelevante. ¿Van a zumbar por el puerto 22 por todas partes? Aparentemente si. ¿Esto significa que realmente tienen una posibilidad de éxito?
Intenta buscar en Google una historia sobre alguien que haya tenido un bot anónimo al azar con éxito en sshd. Estoy seguro de que debe haberle sucedido a alguien en algún lugar (y, por supuesto, es posible que nunca lo sepas), pero no puedo encontrar ningún informe al respecto. Sería interesante leer cuál fue la configuración utilizada.
SSH es muy seguro cuando se usa correctamente. Si no fuera así, el comercio por internet no sería factible. Entonces, ¿por qué se molestan estos bots? Por "usado correctamente" quiero decir, principalmente, con pares de claves públicas / privadas obligatorias. Si hace eso y confía en que su clave privada es segura (y debería estarlo), confíe en sshd.
Creo que la razón por la que ocurren todos los "intentos de intrusión" es que hay una gran cantidad de usuarios que no hacen cosas como hacer preguntas en U&L;) y no leen páginas de manuales y usan la protección con contraseña solo, que es como dejar su tarjeta de cajero automático en una máquina en algún lugar con un letrero que dice "¡Adivina!".
Sin embargo, si piensa en su clave privada como su tarjeta de cajero automático, como algo que está físicamente asegurado por usted (lo que es esencialmente), entonces el objetivo se vuelve mucho más etéreo. Todo lo que esos bots pueden hacer es demostrar que sí, realmente tomaría miles de máquinas miles de años trabajando juntos para forzar la fuerza bruta de una clave de 2048 bits.
Si está cansado de leer informes de intentos de robo, cambie su puerto. He visto a la gente aquí caca-poo como "seguridad por oscuridad", sin embargo, un sshd que esté debidamente protegido en el puerto 22 no será menos seguro en el puerto 57, pero no será molestado al azar. Por supuesto, todos tus enemigos de drones podrían simplemente escanear puertos toda la IP, pero ¿sabes qué? Ellos no. Supongo que esto se debe a que lo que están buscando es alguien que ejecute un sistema que ni siquiera lo haya visto
/etc/ssh/sshd_config
, mucho menos educado y sintonizado.fuente