2010/7/26 Julien Demange
<julien.demange@remiremont.fr>
Salut,
Le 26/07/2010 09:48, moi-meme a écrit :
Le Sun, 25 Jul 2010 23:20:02 +0200, Yves Rutschle a écrit :
Uniquement si on n'a pas de pare-feu devant la machine qui fait tourner
X, non? (i.e. il faut que le port 5900+ soit accessible depuis
l'Internet?)
cela veut-il dire que ssh -X ne crée pas un tunnel à la différence de ssh
-Y ?
Ben si. Mais ça n'a rien a voir avec ce qui est actif sur le serveur.
Si tu fais "xhost +" tu autorise toute personne qui peut initier un session TCP sur le bon port de la machine, à accéder au serveur X !
Après, si on limite l'écoute sur 127.0.0.1 alors ça restreint un peu aux connexion local et ssh ; si tu as un firewall devant, ça va également limiter, mais ça n'en est pas pour autant sécurisé, je donne jamais très cher de la sécurité des réseaux ou l'admin se préoccupe peu des ports actif sur les machines en se disant "j'ai un FW" ;)
(-X nécessite les ports X11 6000 en plus et -Y est un tunnel donc 22
suffit ?)
Pour ssh je ne crois pas que "-Y" puisse marcher sans "-X" ?
Par contre, "-X" est une option implicite dans la conf de beaucoup de client "openSSH" (désactivable avec "ssh -x")
Cela dit, j'ai jamais très bien compris comment marche xauth :(
--
Julien
Salut,
Si je peux apporter mon grain de sel, les deux options créent un tunnel SSH qui fait que le serveur X de ta machine locale (celle qui lance ssh) est accessible sur ta machine distante (qui fait tourner sshd) via :10.0 ou un truc dans le genre. Sauf que -Y authentifie la connexion au serveur X via le système xauth dont je ne comprends pas grand chose (il n'y a pas une histoire de cookie dans le tas ?), alors que -X se connecte simplement en TCP sans chercher à s'authentifier auprès de X. xhost + (qui doit être lancé par l'utilisateur qui possède l'instance du serveur X, soit en général l'utilisateur courant) ne devrait en effet ne jamais être utilisé si on peut faire autrement.
En tout cas, un simple ssh -Y login@mon.serveur devrait passer. Par contre, si tu lance ton ssh dans une console où tu as fait un su avant, il ya des chances que la variable d'environnement DISPLAY ne soit pas disponible (et donc non-communicable à SSH). Dans ce cas-là, essaie :
$ DISPLAY=:0.0 ssh -y login@mon.serveur
Cordialement,
Simon