SSH & ForwardX11 vs ForwardX11Trusted -> hors de ma portée

19

Je suis sur Ubuntu 14.04 et essayer d'obtenir ma tête autour de ForwardX11vs ForwardX11Trusted.

Mon ssh_config par défaut contient les lignes suivantes:

#   ForwardX11 no
#   ForwardX11Trusted yes

De plus, man ssh_configme dit que:

1.   command-line options
2.   user's configuration file (~/.ssh/config)
3.   system-wide configuration file (/etc/ssh/ssh_config)

et cela ForwardX11.default == noet ForwardX11Trusted.default == yes.

Maintenant mes questions:

  1. Je suppose que 1. a priorité sur 2. sur 3. Aucun n'est spécifié, donc les paramètres par défaut doivent être appliqués, c'est-à-dire ForwardX11Trusted == yes. Si je SSH dans une machine distante sans l' option -You -X, le transfert X11 ne fonctionne pas.

  2. Si je précise -X, le transfert X11 fonctionne mais il semble être en mode de confiance?

  3. Si je mets

    ForwardX11 no
    ForwardX11Trusted no
    

    dans /etc/ssh/ssh_config, je peux maintenant choisir le mode correctement avec les options de ligne de commande -Xet -Y. Mais, alors que le transfert provoque environ 0,5 MBit de trafic en -Ymode, il monopolise 6-10 MBit en -Xmode.

  4. Si je mets explicitement

    ForwardX11 yes
    

    SSH ignore toujours le ssh_configfichier. J'ai encore besoin de préciser ssh -X [...].

  5. Pourquoi SSH semble ignorer à la fois les paramètres par défaut et le fichier de configuration?

À M
la source
Quelques réponses dans la question connexe unix.stackexchange.com/questions/107547/… . La question supplémentaire sur le transfert X11 gaspillant des centaines de kilobits / sec de trafic réseau est intéressante - peut-être utile de la poser séparément?
mcast

Réponses:

14

Par # 4, éditez-vous le bon fichier? Le ~/.ssh/configfichier à modifier est celui du client (où se trouve généralement le clavier).

En ce qui concerne # 2 (et 3), rappelez-vous que ForwardX11Trusted n'implique pas ForwardX11 . ForwardX11Trusted signifie simplement que si vous activez le transfert (que ce soit via le fichier de configuration ou la ligne de commande), la connexion transférée sera approuvée.

HTH.

James K. Lowden
la source
Quelle est donc la différence entre les modes Trusted et non Trusted?
roaima
1
Hmm, votre question d'origine indique que vous avez lu la page de manuel, vous avez donc vu la description de ForwardX11Trusted dans ssh_config (5). Peut-être que cela aidera à comprendre qu'une application client X11 de confiance a accès à plus que sa fenêtre; il peut affecter l'ensemble du serveur X11 et lire des données appartenant à d'autres fenêtres. Considérez xdpyinfo ou xkill, par exemple. Je considère cependant que la distinction est fausse; Je n'ai jamais pu utiliser X11 sauf avec ForwardX11Trusted = yes. La distinction est relativement récente et OMI immature.
James K. Lowden
7

J'ai trouvé cette page utile: https://padraic2112.wordpress.com/2007/07/09/bad-security-201-remote-x-sessions-over-ssh/

Cela répond essentiellement à votre question n ° 2:

Si ForwardX11Trusted est défini sur «yes», les commandes ssh -X et ssh -Y sont fonctionnellement équivalentes. Si ForwardX11 et ForwardX11Trusted sont tous les deux définis sur «oui», les drapeaux de commande ne sont pas seulement équivalents, ils sont inutiles… c'est-à-dire

ssh user@host command = ssh -X user@host command = ssh -Y user@host command

Si ForwardX11 est défini sur «oui» et ForwardX11Trusted est défini sur «non», alors

ssh user@host command = ssh -X user@host command =/= ssh -Y user@host command

Malheureusement, je n'ai aucun aperçu de vos autres observations.

chargino
la source