Re: ssh -Y
Den 2012-06-06 skrev Anton Eliasson <devel@antoneliasson.se>:
> On 2012-06-07 00:03, Anders Jackson wrote:
>> Den 6 juni 2012 22:38 skrev Nisse Bok <from_nisse.fnen@recursor.net>:
>>> Den 2012-06-06 skrev <jan@lillahusetiskogen.se> <jan@lillahusetiskogen.se>:
>>>> Hej!
>>
>>> Vad jag är nyfiken på är: Varför använder du "ssh -Y"? (Det logiska
>>> valet är ju vanligen "ssh -X".)
>>
>> Jo, jag använder vanligtvis -X jag med.
>>
>>> Eftersom "-X" alltid har fungerat för mig, och flaggan "-Y" öppnar
>>> för att andra grafiska (X11) klienter kan sniffa data via
>>> ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag
>>> aldrig använt mig av "-Y". Således min fråga: Varför "ssh -Y"?
>>>
>>> Nisse
>>
>> Jag läste manualsidan för ssh, och det verkar som om du har fått det
>> om bakfoten. Det verkar vara omvänt.
Nej... tyvärr inte. Jag skulle vilja sammanfatta det ungefär så här:
● "ssh -X" ska undvikas (om du inte själv är ensam administratör
av ssh-servermaskinen)
● "ssh -Y" _får inte_ användas (om du inte är enda användaren
av ssh-servermaskinen)
>>
>> -X Enables X11 forwarding. This can also be specified on a
>> per-host basis in a configuration file.
>>
>> X11 forwarding should be enabled with caution. Users
>> with the ability to bypass file permissions on the
>> remote host (for the user's X authorization database)
>> can access the local X11 display through the forwarded
>> connection. An attacker may then be able to perform
>> activities such as keystroke monitoring.
Detta betyder t.ex. att alla med "root"-krafter på ssh-servermaskinen
kan utföra dessa otrevligheter via din "ssh -X"-klient. Därför bör du
aldrig ha för vana att slå på denna flaggan i onödan.
Tidigare var X11Forwarding i "/etc/ssh/sshd_config" (ssh-serverns
konfigurationfil) som standard satt till "no" för att minska denna risk.
Debian har dock ändrat till "yes" som standard sedan Lenny (eller
Etch?). Dock är ForwardX11 standardvärde i "/etc/ssh/ssh_config"
(ssh-klientens konfigurationsfil) satt till "no". Alltså måste "-X"
anges explicit för att aktivera funktionen.
>>
>> For this reason, X11 forwarding is subjected to X11
>> SECURITY extension restrictions by default. Please
>> refer to the ssh -Y option and the ForwardX11Trusted
>> directive in ssh_config(5) for more information.
>>
>>
>> -Y Enables trusted X11 forwarding. Trusted X11 forwardings
>> are not subjected to the X11 SECURITY extension controls.
Detta betyder att även alla andra användare som har rättigheter att
använd X11-klienter på ssh-servermaskinen potentiellt kan sniffa data.
>>
>> Eller är det jag som missupfattar manualsidan?
>>
>> /anders
>>
>>
> Ja, jag tror det. Trusted betyder här ungefär att man litar på
> X-servern på fjärrdatorn. De körs då inte genom 'X11 SECURITY
> extension controls' som förhindrar keylogging och annat otyg. Fördelen
> med ssh -Y ska tydligen vara att det stödjer fler program.
Exakt. Men något sådant program har jag aldrig stött på. Därav min
fråga. Trodde valet kanske berodde på något spännande osäkert program?
Nisse
>
>(även de som behöver tillgång till funktioner i X-klienten som anses
>"farliga". Se t.ex.
>http://askubuntu.com/questions/35512/difference-between-ssh-y-and-ssh-x
>
> --
> Med vänliga hälsningar / Regards
> Anton Eliasson
>
>
Reply to:
- References:
- ssh -Y
- From: <jan@lillahusetiskogen.se>
- Re: ssh -Y
- From: Nisse Bok <from_nisse.fnen@recursor.net>
- Re: ssh -Y
- From: Anders Jackson <anders.jackson@gmail.com>
- Re: ssh -Y
- From: Anton Eliasson <devel@antoneliasson.se>