3 581
contributi
OpenSSH: X11 forwarding: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
aggiunta configurazione lato server e requisiti
(aggiunto access control su Xorg, e differenza tra ssh -X/-Y) |
(aggiunta configurazione lato server e requisiti) |
||
| Riga 11: | Riga 11: | ||
== Lato server == | == Lato server == | ||
=== | Requisiti: | ||
* installare e in esecuzione il server [[SSH]]'; | |||
* autorizzare gli accessi (con chiave per utente/host o password) come per la connessione normale (senza ''X11 forwarding''); | |||
* abilitare <code>X11Forwarding</code> (vedere la sezione successiva), di default disabilitata. | |||
Non è necessario che sia in esecuzione o anche solo installato un server grafico X sul server. | |||
=== Abilitare X11Forwarding === | |||
È necessario che sia presente (e non commentata) in <code>/etc/ssh/sshd_config</code> la direttiva: | |||
<pre> | |||
X11Forwarding yes | |||
</pre> | |||
Con [[privilegi di amministrazione]] è sufficiente aprire il file con il proprio editor di testo preferito (per esempio [[nano]]): | |||
<pre> | |||
# nano /etc/ssh/sshd_config | |||
</pre> | |||
aggiungere la riga su '''X11Forwarding yes''' o decommentarla (rimuovendo il carattere '''<code>#</code>''' iniziale) e salvare (con <code>nano</code> premere <code>Ctrl-o</code> e poi <code>Ctrl-x</code> per uscire). | |||
Infine ricaricare la configurazione del server: | |||
<pre> | |||
# service ssh reload | |||
</pre> | |||
È da notare che disabilitare ''X11Forwarding'' non incrementa la sicurezza della macchina remota che esegue il server ''ssh'', tuttavia potrebbe comunque essere nell'interesse di chi amministra ridurre i rischi per gli utenti autorizzati a collegarsi dalle loro postazioni, e per questo è stata pensata questa opzione. | |||
Per altre possibili configurazioni si rimanda a [[OpenSSH: file di configurazione|questa parte della guida]]. | |||
== Lato client == | == Lato client == | ||
Requisiti: | |||
* installato e in esecuzione il server grafico [[Xorg]]; | |||
* aperta una sessione grafica per l'utente corrente (è sufficiente un login da un display manager come gdm3/kdm/lightdm/xdm/... oppure l'uso di <code>startx</code> da un terminale virtuale <code>/dev/tty1</code>, <code>/dev/tty2</code>, ecc...); | |||
* installato il client ''ssh''. | |||
In particolare si controlli che siano definite le variabili d'ambiente <code>$DISPLAY</code> e <code>$XAUTHORITY</code>: | |||
<pre> | |||
$ echo "$DISPLAY" | |||
:0 | |||
</pre> | |||
<pre> | |||
$ echo "$XAUTHORITY" | |||
/la-propria-home/.Xauthority | |||
</pre> | |||
=== Access control === | === Access control === | ||
Per limitare l'esposizione delle applicazioni eseguite sul server X locale, rispetto a possibili attacchi da parte dell'applicazione eseguita su macchina remota (ma a cui è dato accesso allo stesso server X locale per potervi interagire), [[Xorg]] dispone di un primitivo controllo di accesso (''access control''), che consente di marcare alcune applicazioni come non fidate (''untrusted''), in base alla sessione con cui si sono registrate presso il server X. | Per limitare l'esposizione delle applicazioni eseguite sul server X locale, rispetto a possibili attacchi da parte dell'applicazione eseguita su macchina remota (ma a cui è dato accesso allo stesso server X locale per potervi interagire), [[Xorg]] dispone di un primitivo controllo di accesso (''access control''), che consente di marcare alcune applicazioni come non fidate (''untrusted''), in base alla sessione con cui si sono registrate presso il server X. | ||
| Riga 60: | Riga 100: | ||
=== Configurazione === | === Configurazione === | ||
Per rendere automatiche tali configurazioni, si rimanda a [[OpenSSH: file di configurazione|questa parte della guida]]. | |||
{{Autori | {{Autori | ||