Início / unix / Perguntas / 505473
Accepted
Tim
Asked: 2019-03-11 05:34:05 +0800 CST

Após ssh sem -X para uma máquina, é possível alterar $ DISPLAY para fazê-lo funcionar como ssh -X?

  • 772

Após sshsem -Xpara uma máquina, é possível alterar algumas configurações (por exemplo $DISPLAY) para que funcione como ssh -X? Se não, qual o motivo? Obrigado.

ssh x11

1 respostas

  1. Best Answer

    Você pode criar uma segunda conexão com o encaminhamento X11 habilitado e, em seguida, também pode usar a DISPLAYvariável de ambiente da segunda conexão na primeira.

    Na 1ª janela:

    $ ssh user@host
user@host$ ...

    Na 2ª janela:

    $ ssh -Y user@host 'echo $DISPLAY; while sleep 3600; do :; done'
localhost:10.0

    De volta à 1ª janela:

    user@host$ export DISPLAY=localhost:10.0
user@host$ xterm

    Infelizmente, sshnão faz nada para conter os encaminhamentos X11 (ou outros) para o processo/sessão que iniciou ou para o usuário que executa na máquina remota (por exemplo, usando soquetes Unix com/sem verificação de credenciais ou usando namespaces), e esses encaminhamentos são soquetes de escuta tcp simples aos quais qualquer pessoa na máquina remota pode se conectar; toda a segurança do encaminhamento X11 depende da autenticação X11.

    X11 Encaminhamento Manual

    A sshd_config(5)página de manual menciona que:

    desabilitar o encaminhamento X11 não impede que os usuários encaminhem o tráfego X11, pois os usuários sempre podem instalar seus próprios encaminhadores.

    Aqui está como você pode fazer isso manualmente.

    Antes de tudo, certifique-se de desabilitar qualquer controle de acesso baseado em host ou usuário que ignore o mecanismo de autenticação x11 [1]:

    $ xhost $(xhost | sed -n /:/s/^/-/p)
access control enabled, only authorized clients can connect

    Em seguida, mostre as informações de autenticação DISPLAY=:0na máquina local:

    $ xauth list :0
ohzd/unix:0  MIT-MAGIC-COOKIE-1  a86982ddce0c1e1c1a8c5e8b2846e43b

    Conecte-se à máquina remota sem nenhum encaminhamento X11:

    $ ssh user@hzy64
user@hzy64's password:
[motd snipped]

    Abra a linha de comando via ~Ce adicione um encaminhamento remoto da porta 6000+43para o soquete unix correspondente ao display :0:

    hzy64$~C
ssh> -R 6043:/tmp/.X11-unix/X0
Forwarding port.

    Defina o $DISPLAYenvvar e adicione as informações de autenticação do local para a máquina remota:

    hzy64$ export DISPLAY=localhost:43
hzy64$ xauth add $DISPLAY . a86982ddce0c1e1c1a8c5e8b2846e43b
xauth:  file /home/user/.Xauthority does not exist

    Agora você está pronto para ir:

    hzy64$ xterm

    [1] por causa de uma correção de bug mal orientada , o controle de acesso baseado no usuário é ativado por padrão no Debian via /etc/X11/Xsession.d/35x11-common_xhost-local. Pior, é o único disponível por padrão no XWayland, onde também não pode ser desativado . Qualquer programa que faça proxy do protocolo X11 (por exemplo xscope, ) terá que fazer sua própria verificação de cookies de autenticação x11 (da maneira como o ssh faz), a menos que queira abrir um buraco no servidor X11.

    • 36

relate perguntas