В чем разница между `ssh -Y` (надежная пересылка X11) и` ssh -X` (ненадежная пересылка X11)?

Question 1

не использовать ipp.

использовать «socket: //###.###.###.##: port # /" вместо вашего принтера.

порт # может быть 9100 или 631

Причина: В первых спецификациях IPP не хватало некоторых важных деталей. Это позволило Microsoft реализовать ее по-своему. В результате разработчик принтера должен был решить, как сделать свою поддержку IPP так, как это делает Microsoft.

Поэтому вы должны использовать другой протокол - протокол сокетов.

Question 2

Использовать не нужно, когда вам не нужно запускать X11-программы удаленно; используйте -X, когда вы это сделаете; и предположительно используйте -Y, если программа X11, о которой вы заботитесь, работает лучше с -Y, чем с -X. Но в настоящее время (Ubuntu 15.10), -X идентичен -Y, если вы не отредактируете ssh_config, чтобы сказать ForwardX11Trusted no. -X изначально предполагалось включить расширение X Security 1990-х годов, но оно является старым и негибким и выдает некоторые программы, поэтому по умолчанию игнорируется.

Оба ssh -Y и -X позвольте вам запустить X11-программу на удаленном компьютере, а ее окна появятся на локальном X-мониторе. Проблема в том, что программе разрешено делать с окнами других программ и с самим сервером X.

local$ ssh -X remote
remote$ xlogo
# Runs xlogo on remote, but the logo pops up on the local screen.

ни одна переадресация X11 не включена -Y. Это историческое поведение. Программе с доступом к дисплею доверяют доступ ко всему дисплею. Он может делать скриншот, keylog и вводить ввод во все окна других программ. И он может использовать все расширения X-сервера, в том числе такие, как ускоренная графика, которые представляют собой риски безопасности. Это хорошо для бесперебойной работы, но плохо для безопасности. Вы доверяете удаленным программам так же безопасно, как и ваши локальные программы.

whole Пересылка X11 пытается ограничить удаленные программы доступом только к их собственным окнам и использовать только те части X, которые относительно безопасны.

В настоящее время значение -X зависит от вашей конфигурации ssh.

В Ubuntu 14.04 LTS, если вы не отредактируете свой ssh_config, между -X и -Y нет разницы. «[B] из-за слишком большого числа программ в настоящее время сбой в [ненадежном] режиме.»

ubuntu1404$ man ssh
...
 -X      Enables X11 forwarding.  This can also be specified on a per-host
         basis in a configuration file.
         ...
         (Debian-specific: X11 forwarding is not subjected to X11 SECURITY
         extension restrictions by default, because too many programs cur‐
         rently crash in this mode.  Set the ForwardX11Trusted option to
         “no” to restore the upstream behavior.  This may change in
         future depending on client-side improvements.)

ubuntu1404$ grep ForwardX11Trusted /etc/ssh/ssh_config
#   ForwardX11Trusted yes

Если ForwardX11Trusted no, то -X включает собственную пересылку. В противном случае -X обрабатывается так же, как -Y, полагая, что удаленные программы с доступом к экрану являются дружественными.

Question 3

Question 4

Да. -Y - для надежной пересылки X11, а -X - для ненадежной пересылки X11. Пересылка X11 позволяет вам использовать X11 (то есть графические) приложения в сеансе SSH.

Я не уверен, что значимая разница между надежными и ненадежными соединениями X11, но я уверен, что это связано с конфигурацией на стороне сервера (например, ssh-config, sshd-config и т. д. .). Проконсультируйтесь с вашим сервером или администратором сети о том, какой флаг использовать.

Question 5

Опция -X позволяет переадресацию X11:

-X   Enables X11 forwarding.  This can also be specified on a per-host
     basis in a configuration file.

     X11 forwarding should be enabled with caution.  Users with the
     ability to bypass file permissions on the remote host (for the
     user's X authorization database) can access the local X11 display
     through the forwarded connection.  An attacker may then be able
     to perform activities such as keystroke monitoring.

     For this reason, X11 forwarding is subjected to X11 SECURITY
     extension restrictions by default.  Please refer to the ssh -Y
     option and the ForwardX11Trusted directive in ssh_config(5) for
     more information.

Опция -Y, соответствующая директиве ForwardX11Trusted в ssh_config (5), еще менее безопасна, поскольку она удаляет расширение X11 SECURITY

-Y      Enables trusted X11 forwarding.  Trusted X11 forwardings are not
        subjected to the X11 SECURITY extension controls.

Более безопасно использовать -x

-x   Disables X11 forwarding.

Mitchell · Answer 1 · 25 May 2018 в 22:03

Использовать не нужно, когда вам не нужно запускать X11-программы удаленно; используйте -X, когда вы это сделаете; и предположительно используйте -Y, если программа X11, о которой вы заботитесь, работает лучше с -Y, чем с -X. Но в настоящее время (Ubuntu 15.10), -X идентичен -Y, если вы не отредактируете ssh_config, чтобы сказать ForwardX11Trusted no. -X изначально предполагалось включить расширение X Security 1990-х годов, но оно является старым и негибким и выдает некоторые программы, поэтому по умолчанию игнорируется.

Оба ssh -Y и -X позвольте вам запустить X11-программу на удаленном компьютере, а ее окна появятся на локальном X-мониторе. Проблема в том, что программе разрешено делать с окнами других программ и с самим сервером X.

local$ ssh -X remote
remote$ xlogo
# Runs xlogo on remote, but the logo pops up on the local screen.

ни одна переадресация X11 не включена -Y. Это историческое поведение. Программе с доступом к дисплею доверяют доступ ко всему дисплею. Он может делать скриншот, keylog и вводить ввод во все окна других программ. И он может использовать все расширения X-сервера, в том числе такие, как ускоренная графика, которые представляют собой риски безопасности. Это хорошо для бесперебойной работы, но плохо для безопасности. Вы доверяете удаленным программам так же безопасно, как и ваши локальные программы.

whole Пересылка X11 пытается ограничить удаленные программы доступом только к их собственным окнам и использовать только те части X, которые относительно безопасны.

В настоящее время значение -X зависит от вашей конфигурации ssh.

В Ubuntu 14.04 LTS, если вы не отредактируете свой ssh_config, между -X и -Y нет разницы. «[B] из-за слишком большого числа программ в настоящее время сбой в [ненадежном] режиме.»

ubuntu1404$ man ssh
...
 -X      Enables X11 forwarding.  This can also be specified on a per-host
         basis in a configuration file.
         ...
         (Debian-specific: X11 forwarding is not subjected to X11 SECURITY
         extension restrictions by default, because too many programs cur‐
         rently crash in this mode.  Set the ForwardX11Trusted option to
         “no” to restore the upstream behavior.  This may change in
         future depending on client-side improvements.)

ubuntu1404$ grep ForwardX11Trusted /etc/ssh/ssh_config
#   ForwardX11Trusted yes

Если ForwardX11Trusted no, то -X включает собственную пересылку. В противном случае -X обрабатывается так же, как -Y, полагая, что удаленные программы с доступом к экрану являются дружественными.

Tyler K. · Answer 2 · 25 May 2018 в 22:03

Да. -Y - для надежной пересылки X11, а -X - для ненадежной пересылки X11. Пересылка X11 позволяет вам использовать X11 (то есть графические) приложения в сеансе SSH.

Я не уверен, что значимая разница между надежными и ненадежными соединениями X11, но я уверен, что это связано с конфигурацией на стороне сервера (например, ssh-config, sshd-config и т. д. .). Проконсультируйтесь с вашим сервером или администратором сети о том, какой флаг использовать.

1

ответ дан Tyler K. 25 May 2018 в 22:03

1

Оба компьютера являются моими частными, так что я могу спросить сетевого администратора. Но я думаю, что это «доверенный». то, следовательно, я мог бы использовать -Я думаю. – Martin Ueding 17 April 2011 в 01:11
2

Мне не хватает репутации для downvote, поэтому я должен сказать: этот ответ ничего не дает. – underscore_d 24 September 2015 в 20:22

Ortomala Lokni · Answer 3 · 25 May 2018 в 22:03

Опция -X позволяет переадресацию X11:

-X   Enables X11 forwarding.  This can also be specified on a per-host
     basis in a configuration file.

     X11 forwarding should be enabled with caution.  Users with the
     ability to bypass file permissions on the remote host (for the
     user's X authorization database) can access the local X11 display
     through the forwarded connection.  An attacker may then be able
     to perform activities such as keystroke monitoring.

     For this reason, X11 forwarding is subjected to X11 SECURITY
     extension restrictions by default.  Please refer to the ssh -Y
     option and the ForwardX11Trusted directive in ssh_config(5) for
     more information.

Опция -Y, соответствующая директиве ForwardX11Trusted в ssh_config (5), еще менее безопасна, поскольку она удаляет расширение X11 SECURITY

-Y      Enables trusted X11 forwarding.  Trusted X11 forwardings are not
        subjected to the X11 SECURITY extension controls.

Более безопасно использовать -x

-x   Disables X11 forwarding.

В чем разница между `ssh -Y` (надежная пересылка X11) и` ssh -X` (ненадежная пересылка X11)?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: