Re: ssh -Y

To: Nisse Bok <from_nisse.fnen@recursor.net>
Cc: debian-user-swedish@lists.debian.org
Subject: Re: ssh -Y
From: <jan@lillahusetiskogen.se>
Date: Thu, 7 Jun 2012 08:23:52 +0200
Message-id: <[🔎] 20120607082352.1f859542@nikolai.lillahusetiskogen.se>
In-reply-to: <[🔎] slrnjt01n2.1h7.from_nisse.fnen@vusers.intranet.pr>
References: <[🔎] 20120606114051.40434082@nikolai.lillahusetiskogen.se> <[🔎] slrnjsvfuc.1h7.from_nisse.fnen@vusers.intranet.pr> <[🔎] CACXJ-Bh5JGqRkA8Aop0cyoFDPBm5a8qcPyP7wU2+GM8ft8umZQ@mail.gmail.com> <[🔎] 4FCFD61A.1070706@antoneliasson.se> <[🔎] slrnjt01n2.1h7.from_nisse.fnen@vusers.intranet.pr>

On Thu, 7 Jun 2012 01:41:56 +0000 (UTC)
Nisse Bok <from_nisse.fnen@recursor.net> wrote:

> Den 2012-06-06 skrev Anton Eliasson <devel@antoneliasson.se>:
> > On 2012-06-07 00:03, Anders Jackson wrote:
> >> Den 6 juni 2012 22:38 skrev Nisse Bok
> >> <from_nisse.fnen@recursor.net>:
> >>> Den 2012-06-06 skrev <jan@lillahusetiskogen.se>
> >>> <jan@lillahusetiskogen.se>:
> >>>> Hej!
> >> 
> >>> Vad jag är nyfiken på är: Varför använder du "ssh -Y"? (Det
> >>> logiska valet är ju vanligen "ssh -X".)
> >> 
> >> Jo, jag använder vanligtvis -X jag med.
> >> 
> >>> Eftersom "-X" alltid har fungerat för mig, och flaggan "-Y" öppnar
> >>> för att andra grafiska (X11) klienter kan sniffa data via
> >>> ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag
> >>> aldrig använt mig av "-Y". Således min fråga: Varför "ssh -Y"?
> >>>
> >>>                    Nisse
> >> 
> >> Jag läste manualsidan för ssh, och det verkar som om du har fått
> >> det om bakfoten.  Det verkar vara omvänt.
> 
> Nej... tyvärr inte. Jag skulle vilja sammanfatta det ungefär så här:
> 
>   ● "ssh -X" ska undvikas (om du inte själv är ensam administratör
>     av ssh-servermaskinen)
>   ● "ssh -Y" _får inte_ användas (om du inte är enda användaren
>     av ssh-servermaskinen)
> 
> >> 
> >>      -X      Enables X11 forwarding.  This can also be specified
> >> on a per-host basis in a configuration file.
> >> 
> >>              X11 forwarding should be enabled with caution.  Users
> >>              with the ability to bypass file permissions on the
> >>              remote host (for the user's X authorization database)
> >>              can access the local X11 display through the forwarded
> >>              connection.  An attacker may then be able to perform
> >>              activities such as keystroke monitoring.
> 
> Detta betyder t.ex. att alla med "root"-krafter på ssh-servermaskinen
> kan utföra dessa otrevligheter via din "ssh -X"-klient. Därför bör du
> aldrig ha för vana att slå på denna flaggan i onödan.
> 
> Tidigare var X11Forwarding i "/etc/ssh/sshd_config" (ssh-serverns
> konfigurationfil) som standard satt till "no" för att minska denna
> risk. Debian har dock ändrat till "yes" som standard sedan Lenny
> (eller Etch?). Dock är ForwardX11 standardvärde i
> "/etc/ssh/ssh_config" (ssh-klientens konfigurationsfil) satt till
> "no". Alltså måste "-X" anges explicit för att aktivera funktionen.
> 
> >> 
> >>              For this reason, X11 forwarding is subjected to X11
> >>              SECURITY extension restrictions by default.  Please
> >>              refer to the ssh -Y option and the ForwardX11Trusted
> >>              directive in ssh_config(5) for more information.
> >> 
> >> 
> >>     -Y      Enables trusted X11 forwarding.  Trusted X11
> >> forwardings are not subjected to the X11 SECURITY extension
> >> controls.
> 
> Detta betyder att även alla andra användare som har rättigheter att
> använd X11-klienter på ssh-servermaskinen potentiellt kan sniffa data.
> 
> >> 
> >> Eller är det jag som missupfattar manualsidan?
> >> 
> >> /anders
> >> 
> >> 
> > Ja, jag tror det. Trusted betyder här ungefär att man litar på
> > X-servern på fjärrdatorn. De körs då inte genom 'X11 SECURITY
> > extension controls' som förhindrar keylogging och annat otyg.
> > Fördelen med ssh -Y ska tydligen vara att det stödjer fler program.
> 
> Exakt. Men något sådant program har jag aldrig stött på. Därav min
> fråga. Trodde valet kanske berodde på något spännande osäkert program?
> 
>                           Nisse
> 
> >
> >(även de som behöver tillgång till funktioner i X-klienten som anses
> >"farliga". Se t.ex.
> >http://askubuntu.com/questions/35512/difference-between-ssh-y-and-ssh-x
> >
> > -- 
> > Med vänliga hälsningar / Regards
> > Anton Eliasson
> >
> >
> 
> 

I mitt fall beror det på historiska skäl. För många många år sedan hade
jag problem med ssh -X och fick rådet att testa ssh -Y som löste
problemet. Jag brukar köra ssh -X men testade ssh -Y för att se om det
löste problemet den här gången också. Vilket det alltså inte gjorde.
I mitt fall spelar det ingen större roll, båda datorerna står i samma
rum. Jag har aldrig tyckt mig ha någon anledning att fundera på
skillnaden. Men det är bra att ha blivit uppmärksammad på den. För
framtida bruk.

Tack för visad uppmärksamhet.
/Janne

Reply to:

References:
- ssh -Y
  - From: <jan@lillahusetiskogen.se>
- Re: ssh -Y
  - From: Nisse Bok <from_nisse.fnen@recursor.net>
- Re: ssh -Y
  - From: Anders Jackson <anders.jackson@gmail.com>
- Re: ssh -Y
  - From: Anton Eliasson <devel@antoneliasson.se>
- Re: ssh -Y
  - From: Nisse Bok <from_nisse.fnen@recursor.net>

Prev by Date: Re: ssh -Y
Next by Date: Re: nertankning av program från Sveriges Radio
Previous by thread: Re: ssh -Y
Next by thread: Re: nertankning av program från Sveriges Radio
Index(es):
- Date
- Thread