Re: Redirection X via ssh et Debian [résolu... en fait non :(]
On 2010-07-26 11:46:17 +0200, Simon Chopin wrote:
> Si je peux apporter mon grain de sel, les deux options créent un tunnel SSH
> qui fait que le serveur X de ta machine locale (celle qui lance ssh) est
> accessible sur ta machine distante (qui fait tourner sshd) via :10.0 ou un
> truc dans le genre. Sauf que -Y authentifie la connexion au serveur X via le
> système xauth dont je ne comprends pas grand chose (il n'y a pas une
> histoire de cookie dans le tas ?), alors que -X se connecte simplement en
> TCP sans chercher à s'authentifier auprès de X. xhost + (qui doit être lancé
> par l'utilisateur qui possède l'instance du serveur X, soit en général
> l'utilisateur courant) ne devrait en effet ne jamais être utilisé si on peut
> faire autrement.
xauth est aussi utilisé avec -X. En fait, -X ou -Y, c'est juste une
question de restriction sur ce qu'un client X11 peut faire. D'après
http://dailypackage.fedorabook.com/index.php?/archives/48-Wednesday-Why-Trusted-and-Untrusted-X11-Forwarding-with-SSH.html
avec -Y, un client peut injecter des événements (déplacement de
la souris, touches enfoncées) ou lire des données des fenêtres
des applications locales (e.g. pour screenshot), avec qu'avec -X
seulement, le serveur X l'interdit.
Je suppose que le but est de pouvoir faire tourner des applications
(avec affichage local) sur une machine distante, dont on n'a pas
entièrement confiance, par exemple une machine qui appartient à une
entreprise tierce: on ne voudrait pas que cette application distante
puisse voler des données locales ou perturber la machine locale.
Donc attention, ne pas faire de ssh -Y vers n'importe quelle machine!
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <http://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / Arénaire project (LIP, ENS-Lyon)
Reply to: