OpenSSH: X11 forwarding: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
mNessun oggetto della modifica
(aggiunto access control su Xorg, e differenza tra ssh -X/-Y)
Riga 1: Riga 1:
{{Stub}}{{Versioni compatibili|Wheezy|Jessie}}{{SSH}}
{{Stub}}{{Versioni compatibili|Wheezy|Jessie}}{{OpenSSH}}


== Introduzione ==
== Introduzione ==
Riga 15: Riga 15:


== Lato client ==
== Lato client ==
=== Access control ===
Per limitare l'esposizione delle applicazioni eseguite sul server X locale, rispetto a possibili attacchi da parte dell'applicazione eseguita su macchina remota (ma a cui è dato accesso allo stesso server X locale per potervi interagire), [[Xorg]] dispone di un primitivo controllo di accesso (''access control''), che consente di marcare alcune applicazioni come non fidate (''untrusted''), in base alla sessione con cui si sono registrate presso il server X.
Ciò non risolve completamente le problematiche di sicurezza, ma limita la possibilità di ascolto alle sole applicazioni ''untrusted''. Come risultato di questa impostazione, un'applicazione remota non avrà gli stessi permessi di una eseguita localmente, per cui alcune operazioni potrebbero essergli precluse: in caso questo interferisca con il suo normale funzionamento, sarà però necessario dargli totale accesso, ossia considerarla fidata (''trusted''), consci però dei possibili rischi di sicurezza per tutte le applicazioni (anche di altri utenti) eseguite sullo stesso server X e per gli input immessi dall'utente.
=== Utilizzo ===
=== Utilizzo ===
Dalla macchina client, è sufficiente lanciare <code>ssh</code> con l'opzione <code>-X</code>:
Dalla macchina client, è sufficiente lanciare <code>ssh</code> con l'opzione <code>-X</code>:
<pre>
<pre>
$ ssh -X username_remoto@host_remoto
$ ssh -X username_remoto@host_remoto
username_remoto@host_remoto:~$      (<-- sessione SSH)
</pre>
</pre>
per avviare una nuova sessione della [[shell]] testuale predefinita.
per avviare una nuova sessione della [[shell]] testuale predefinita.


All'interno di questa sessione sarà possibile avviare applicazioni grafiche sulla macchina remota, che si potrà visualizzare e interagirvi tramite il server X locale come se si trattasse di una qualsiasi altra applicazione.
All'interno di questa sessione sarà possibile avviare applicazioni grafiche sulla macchina remota, che saranno visualizzate e si potrà interagirvi sul server X locale, come se si trattasse di una qualsiasi altra applicazione, ma con ''access control'' attivo per isolare parzialmente questa applicazione (''untrusted'') da quelle locali.
 
Per esempio:
<pre>
username_remoto@host_remoto:~$ evince
</pre>
lancia il programma <code>evince</code> sulla macchina remota, visualizzandolo sul server X locale in esecuzione. Se si apre un documento, si noterà infatti che si sta esplorando il [[File System|file system]] dell'utente remoto sulla macchina remota.
 
Quando si ha terminato, è sufficiente chiudere la connessione, chiudendo il terminale oppure con <code>exit</code>:
<pre>
username_remoto@host_remoto:~$ exit  (<-- sessione SSH)
$                                    (<-- shell locale)
</pre>


Un'altra opzione utile è <code>-C</code>, per abilitare la compressione:
==== Compressione del traffico ====
Un'opzione utile è <code>-C</code>, per abilitare la compressione del traffico, e in particolare quello reindirizzato al server X locale, il che può velocizzare i tempi di risposta delle applicazioni remote:
<pre>
<pre>
$ ssh -X -C username_remoto@host_remoto
$ ssh -X -C username_remoto@host_remoto
</pre>
</pre>


TODO: ssh -Y
==== Senza access control ====
{{Warningbox | Un'applicazione remota, in riferimento alla visualizzazione sul server X locale, avrà gli stessi permessi di una eseguita localmente, rendendo possibile il monitoraggio e la manipolazione delle altre applicazioni grafiche eseguite sullo stesso server (anche da parte di altri utenti) e dell'input immesso dall'utente con mouse e tastiera.
 
Essere certi di avere necessità di una connessione ''trusted'' prima di effettuarla, e soltanto se si può considerare sicura la macchina di destinazione.}}
 
Per disattivare il controllo di accesso, effettuando una connessione fidata (''trusted X11 forwarding''), si deve utilizzare l'opzione <code>-Y</code>:
<pre>
$ ssh -Y username_remoto@host_remoto
username_remoto@host_remoto:~$        (<-- sessione SSH)
</pre>


=== Configurazione ===
=== Configurazione ===
Riga 35: Riga 63:


{{Autori
{{Autori
|Autore = [[Utente:HAL 9000|HAL 9000]] 13:39, 19 nov 2015 (CET)
|Autore = [[Utente:HAL 9000|HAL 9000]] 11:25, 28 nov 2015 (CET)
|Estesa_da =
|Estesa_da =
|Verificata_da =
|Verificata_da =
Riga 42: Riga 70:


[[Categoria:SSH_server_e_amministrazione_remota]]
[[Categoria:SSH_server_e_amministrazione_remota]]
[[Categoria:Xorg]]

Versione delle 10:25, 28 nov 2015

Document-page-setup.png Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.

Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template.


Edit-clear-history.png Attenzione. Questa guida è da considerarsi abbandonata, per via del tempo trascorso dall'ultima verifica.

Potrà essere resa obsoleta, previa segnalazione sul forum, se nessuno si propone per l'adozione.


Debian-swirl.png Versioni Compatibili

Debian 7 "wheezy"
Debian 8 "jessie"
OpenSSH

Sommario


Introduzione

L'uso del comando ssh, una volta configurato il server e aggiunte le credenziali di autenticazione dell'utente del client, permette l'esecuzione di comandi su una macchina remota, ma soltanto tramite una shell testuale. Perciò un'applicazione può essere lanciata con interfaccia grafica soltanto se fa uso delle librerie ncurses o comunque che non richiedono la presenza di un server grafico X attivo.

Per poter lanciare un'applicazione grafica che richiede l'esecuzione di un server grafico X (per esempio perché sviluppata con uso delle librerie GTK, Qt, ecc...) e interagirvi come si farebbe con una qualsiasi applicazione, è necessario reindirizzare (forwarding) tutte le chiamate dirette al server X della macchina remota sul server X locale, ossia la stessa del client ssh.

Si noti quindi che non è necessario né che sia in esecuzione né che sia installato un server grafico X sulla macchina remota. Per poter avviare un'applicazione grafica è invece necessario che sia installato e in esecuzione un server X sulla macchina client.

Warning.png ATTENZIONE
Si presume che la macchina di destinazione sia fidata, perché anche se i comandi sono eseguiti soltanto su quella macchina, tutte le chiamate alle librerie che fanno uso del server grafico sono eseguite sulla macchina locale. Di conseguenza c'è la possibilità di subire un attacco sulla macchina client da quella remota: in particolare rivolto a tutte le altre applicazioni (di qualunque utente) eseguite sullo stesso server X, che potrebbero essere monitorate e/o manipolate, anche riguardo all'input immesso dall'utente attraverso mouse e tastiera.


Lato server

Configurazione

TODO...

Lato client

Access control

Per limitare l'esposizione delle applicazioni eseguite sul server X locale, rispetto a possibili attacchi da parte dell'applicazione eseguita su macchina remota (ma a cui è dato accesso allo stesso server X locale per potervi interagire), Xorg dispone di un primitivo controllo di accesso (access control), che consente di marcare alcune applicazioni come non fidate (untrusted), in base alla sessione con cui si sono registrate presso il server X.

Ciò non risolve completamente le problematiche di sicurezza, ma limita la possibilità di ascolto alle sole applicazioni untrusted. Come risultato di questa impostazione, un'applicazione remota non avrà gli stessi permessi di una eseguita localmente, per cui alcune operazioni potrebbero essergli precluse: in caso questo interferisca con il suo normale funzionamento, sarà però necessario dargli totale accesso, ossia considerarla fidata (trusted), consci però dei possibili rischi di sicurezza per tutte le applicazioni (anche di altri utenti) eseguite sullo stesso server X e per gli input immessi dall'utente.

Utilizzo

Dalla macchina client, è sufficiente lanciare ssh con l'opzione -X:

$ ssh -X username_remoto@host_remoto
username_remoto@host_remoto:~$       (<-- sessione SSH)

per avviare una nuova sessione della shell testuale predefinita.

All'interno di questa sessione sarà possibile avviare applicazioni grafiche sulla macchina remota, che saranno visualizzate e si potrà interagirvi sul server X locale, come se si trattasse di una qualsiasi altra applicazione, ma con access control attivo per isolare parzialmente questa applicazione (untrusted) da quelle locali.

Per esempio:

username_remoto@host_remoto:~$ evince

lancia il programma evince sulla macchina remota, visualizzandolo sul server X locale in esecuzione. Se si apre un documento, si noterà infatti che si sta esplorando il file system dell'utente remoto sulla macchina remota.

Quando si ha terminato, è sufficiente chiudere la connessione, chiudendo il terminale oppure con exit:

username_remoto@host_remoto:~$ exit  (<-- sessione SSH)
$                                    (<-- shell locale)

Compressione del traffico

Un'opzione utile è -C, per abilitare la compressione del traffico, e in particolare quello reindirizzato al server X locale, il che può velocizzare i tempi di risposta delle applicazioni remote:

$ ssh -X -C username_remoto@host_remoto

Senza access control

Warning.png ATTENZIONE
Un'applicazione remota, in riferimento alla visualizzazione sul server X locale, avrà gli stessi permessi di una eseguita localmente, rendendo possibile il monitoraggio e la manipolazione delle altre applicazioni grafiche eseguite sullo stesso server (anche da parte di altri utenti) e dell'input immesso dall'utente con mouse e tastiera.

Essere certi di avere necessità di una connessione trusted prima di effettuarla, e soltanto se si può considerare sicura la macchina di destinazione.


Per disattivare il controllo di accesso, effettuando una connessione fidata (trusted X11 forwarding), si deve utilizzare l'opzione -Y:

$ ssh -Y username_remoto@host_remoto
username_remoto@host_remoto:~$        (<-- sessione SSH)

Configurazione

TODO...




Guida scritta da: HAL 9000 11:25, 28 nov 2015 (CET) Swirl-auth20.png Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized