Re: ssh -Y
On Thu, 7 Jun 2012 01:41:56 + (UTC) Nisse Bok from_nisse.f...@recursor.net wrote: Den 2012-06-06 skrev Anton Eliasson de...@antoneliasson.se: On 2012-06-07 00:03, Anders Jackson wrote: Den 6 juni 2012 22:38 skrev Nisse Bok from_nisse.f...@recursor.net: Den 2012-06-06 skrev j...@lillahusetiskogen.se j...@lillahusetiskogen.se: Hej! Vad jag är nyfiken på är: Varför använder du ssh -Y? (Det logiska valet är ju vanligen ssh -X.) Jo, jag använder vanligtvis -X jag med. Eftersom -X alltid har fungerat för mig, och flaggan -Y öppnar för att andra grafiska (X11) klienter kan sniffa data via ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag aldrig använt mig av -Y. Således min fråga: Varför ssh -Y? Nisse Jag läste manualsidan för ssh, och det verkar som om du har fått det om bakfoten. Det verkar vara omvänt. Nej... tyvärr inte. Jag skulle vilja sammanfatta det ungefär så här: ● ssh -X ska undvikas (om du inte själv är ensam administratör av ssh-servermaskinen) ● ssh -Y _får inte_ användas (om du inte är enda användaren av ssh-servermaskinen) -X Enables X11 forwarding. This can also be specified on a per-host basis in a configuration file. X11 forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the user's X authorization database) can access the local X11 display through the forwarded connection. An attacker may then be able to perform activities such as keystroke monitoring. Detta betyder t.ex. att alla med root-krafter på ssh-servermaskinen kan utföra dessa otrevligheter via din ssh -X-klient. Därför bör du aldrig ha för vana att slå på denna flaggan i onödan. Tidigare var X11Forwarding i /etc/ssh/sshd_config (ssh-serverns konfigurationfil) som standard satt till no för att minska denna risk. Debian har dock ändrat till yes som standard sedan Lenny (eller Etch?). Dock är ForwardX11 standardvärde i /etc/ssh/ssh_config (ssh-klientens konfigurationsfil) satt till no. Alltså måste -X anges explicit för att aktivera funktionen. For this reason, X11 forwarding is subjected to X11 SECURITY extension restrictions by default. Please refer to the ssh -Y option and the ForwardX11Trusted directive in ssh_config(5) for more information. -Y Enables trusted X11 forwarding. Trusted X11 forwardings are not subjected to the X11 SECURITY extension controls. Detta betyder att även alla andra användare som har rättigheter att använd X11-klienter på ssh-servermaskinen potentiellt kan sniffa data. Eller är det jag som missupfattar manualsidan? /anders Ja, jag tror det. Trusted betyder här ungefär att man litar på X-servern på fjärrdatorn. De körs då inte genom 'X11 SECURITY extension controls' som förhindrar keylogging och annat otyg. Fördelen med ssh -Y ska tydligen vara att det stödjer fler program. Exakt. Men något sådant program har jag aldrig stött på. Därav min fråga. Trodde valet kanske berodde på något spännande osäkert program? Nisse (även de som behöver tillgång till funktioner i X-klienten som anses farliga. Se t.ex. http://askubuntu.com/questions/35512/difference-between-ssh-y-and-ssh-x -- Med vänliga hälsningar / Regards Anton Eliasson I mitt fall beror det på historiska skäl. För många många år sedan hade jag problem med ssh -X och fick rådet att testa ssh -Y som löste problemet. Jag brukar köra ssh -X men testade ssh -Y för att se om det löste problemet den här gången också. Vilket det alltså inte gjorde. I mitt fall spelar det ingen större roll, båda datorerna står i samma rum. Jag har aldrig tyckt mig ha någon anledning att fundera på skillnaden. Men det är bra att ha blivit uppmärksammad på den. För framtida bruk. Tack för visad uppmärksamhet. /Janne -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120607082352.1f859...@nikolai.lillahusetiskogen.se
Re: ssh -Y
Det är inte så konstigt. Läser du manualsidan så står det där att om du har en Firefox körandes på din X-server redan, så kommer Firefox att be den att redan startade firefoxen att visa URL:en. Så slipper du vänta på en ny firefox att starta, samt att det drar mindre resurser. Det är vad man normalt vill att firefox skall göra, om du tänker efter. Du vill inte ha 10 instanser av webbläsaren körandes, du vill ha 10 webbsidor visade så snabbt och effektivt som möjligt. Det är en switch till firefox som du kan använda när du verkligen vill ersätta en ny firefox på din skärm (x-server).
Re: ssh -Y
Du glömde skick till listan, så jag gör det nu. Den 6 jun 2012 13:12 skrev j...@lillahusetiskogen.se: On Wed, 6 Jun 2012 12:58:21 +0200 Anders Jackson anders.jack...@gmail.com wrote: Det är inte så konstigt. Läser du manualsidan så står det där att om du har en Firefox körandes på din X-server redan, så kommer Firefox att be den att redan startade firefoxen att visa URL:en. Så slipper du vänta på en ny firefox att starta, samt att det drar mindre resurser. Det är vad man normalt vill att firefox skall göra, om du tänker efter. Du vill inte ha 10 instanser av webbläsaren körandes, du vill ha 10 webbsidor visade så snabbt och effektivt som möjligt. Det är en switch till firefox som du kan använda när du verkligen vill ersätta en ny firefox på din skärm (x-server). Jag har ingen manualsida till firefox, om det är man firefox du menar. Jag sitter inte vid en dator nu, men pröva 'firefox --help' Om jag kör på samma dator är det ett utmärkt beteende antar jag. Om jag däremot startar firefox på en annan dator som jag loggat in på med ssh -Y tycker jag inte att det verkar vettigt. Det är vettigt. Du visar grafiken/fönstren på samma skärm och använder samma xserver, dvs arbetsplats. Så för firefox, och alla x-program, så sitter du på samma arbetsplats/xserver oavsett var de kör ifrån för dator. Alla program som använder din arbetsplats är klienter, och servern är det xserver som du är ansluten till. Det finns tom program som kan ansluta till flera xservrar samtidigt. Har jag missuppfattat allt när jag trodde att Xorg bara är en server som hanterar grafik och mus och tangentbord? Över ett nätverk om så önskas. Nej, det är helt rätt. Men du har inte riktigt förstått vad det innebär. Alla programmen har samma server, och symboler som de spår i xservern är gemensamma för dem. Vad som händer är ungefär så här. När firefox startar, så frågar den xservern vilken firefox som är ansluten till din skärm. Om det finns en, så ber den nyligen startade firefoxen den andra firefoxen, via ett meddelande skickat av xservern, att visa URLen. Jag har löst problemet genom att köra midori på servern. Men är fortfarande lika undrande. Det är helt korrekt beteende. Innan webbläsaren fungerade så, uppstod det många problem med att folk hade olika webbläsare på olika maskiner på fönstret med olika historia och bokmärken. Det nuvarande beteendet är mycket mer användbart och intuitivt. Det är bara de få fallen som ditt som behöver en switch för att göra som du vill. Alla vi andra är nöjda med detta. Tro mig, jag har prövat bägge sätten. :-) /Janne /Anders
Re: ssh -Y
On Wed, 6 Jun 2012 13:36:44 +0200 Anders Jackson anders.jack...@gmail.com wrote: Du glömde skick till listan, så jag gör det nu. Den 6 jun 2012 13:12 skrev j...@lillahusetiskogen.se: On Wed, 6 Jun 2012 12:58:21 +0200 Anders Jackson anders.jack...@gmail.com wrote: Det är inte så konstigt. Läser du manualsidan så står det där att om du har en Firefox körandes på din X-server redan, så kommer Firefox att be den att redan startade firefoxen att visa URL:en. Så slipper du vänta på en ny firefox att starta, samt att det drar mindre resurser. Det är vad man normalt vill att firefox skall göra, om du tänker efter. Du vill inte ha 10 instanser av webbläsaren körandes, du vill ha 10 webbsidor visade så snabbt och effektivt som möjligt. Det är en switch till firefox som du kan använda när du verkligen vill ersätta en ny firefox på din skärm (x-server). Jag har ingen manualsida till firefox, om det är man firefox du menar. Jag sitter inte vid en dator nu, men pröva 'firefox --help' Om jag kör på samma dator är det ett utmärkt beteende antar jag. Om jag däremot startar firefox på en annan dator som jag loggat in på med ssh -Y tycker jag inte att det verkar vettigt. Det är vettigt. Du visar grafiken/fönstren på samma skärm och använder samma xserver, dvs arbetsplats. Så för firefox, och alla x-program, så sitter du på samma arbetsplats/xserver oavsett var de kör ifrån för dator. Alla program som använder din arbetsplats är klienter, och servern är det xserver som du är ansluten till. Det finns tom program som kan ansluta till flera xservrar samtidigt. Har jag missuppfattat allt när jag trodde att Xorg bara är en server som hanterar grafik och mus och tangentbord? Över ett nätverk om så önskas. Nej, det är helt rätt. Men du har inte riktigt förstått vad det innebär. Alla programmen har samma server, och symboler som de spår i xservern är gemensamma för dem. Vad som händer är ungefär så här. När firefox startar, så frågar den xservern vilken firefox som är ansluten till din skärm. Om det finns en, så ber den nyligen startade firefoxen den andra firefoxen, via ett meddelande skickat av xservern, att visa URLen. Jag har löst problemet genom att köra midori på servern. Men är fortfarande lika undrande. Det är helt korrekt beteende. Innan webbläsaren fungerade så, uppstod det många problem med att folk hade olika webbläsare på olika maskiner på fönstret med olika historia och bokmärken. Det nuvarande beteendet är mycket mer användbart och intuitivt. Det är bara de få fallen som ditt som behöver en switch för att göra som du vill. Alla vi andra är nöjda med detta. Tro mig, jag har prövat bägge sätten. :-) /Janne /Anders OK Anders, jag får väl tro dig även om jag upplever en tröskel här. Kommandot firefox -no-remote är alltså det som gäller. Tack för svar och förklaringar. /Janne -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120606150638.0f845...@nikolai.lillahusetiskogen.se
Re: ssh -Y
Den 6 juni 2012 15:06 skrev j...@lillahusetiskogen.se: OK Anders, jag får väl tro dig även om jag upplever en tröskel här. Ja, det är en tröskel åt bägge hållen. Jag tror att ditt användningsfall är det som sker minst ofta. Kommandot firefox -no-remote är alltså det som gäller. Det var det ja! Jag hade glömt bort vad det var, eftersom jag använder det så sällan. :-) Tack för svar och förklaringar. /Janne Så lite så. -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACXJ-Bj=ttnzm11yyaa5k7lip4eb0udjjjyvs4oojo5uplg...@mail.gmail.com
Re: ssh -Y
Den 2012-06-06 skrev j...@lillahusetiskogen.se j...@lillahusetiskogen.se: Hej! Idag är jag mer förvånad än vanligt. Jag loggar in med ssh -Y på en server jag har. När jag försöker starta firefox på servern får jag meddelandet failed to create drawable och så startar firefox, inte på servern utan på datorn jag loggar in ifrån. Jag ser i övriga tråden att du redan löst ditt problem med: firefox -no-remote vilket implicerar firefox -new-instance som kanske är det egentliga kommandot du efterfrågar. Dock betyder flaggan -no-remote även lyssna inte på fjärrkommandon. (I ditt fall spelar det kanske ingen roll.) Vad jag är nyfiken på är: Varför använder du ssh -Y? (Det logiska valet är ju vanligen ssh -X.) Eftersom -X alltid har fungerat för mig, och flaggan -Y öppnar för att andra grafiska (X11) klienter kan sniffa data via ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag aldrig använt mig av -Y. Således min fråga: Varför ssh -Y? Nisse -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/slrnjsvfuc.1h7.from_nisse.f...@vusers.intranet.pr
Re: ssh -Y
On 2012-06-07 00:03, Anders Jackson wrote: Den 6 juni 2012 22:38 skrev Nisse Bok from_nisse.f...@recursor.net: Den 2012-06-06 skrev j...@lillahusetiskogen.se j...@lillahusetiskogen.se: Hej! Vad jag är nyfiken på är: Varför använder du ssh -Y? (Det logiska valet är ju vanligen ssh -X.) Jo, jag använder vanligtvis -X jag med. Eftersom -X alltid har fungerat för mig, och flaggan -Y öppnar för att andra grafiska (X11) klienter kan sniffa data via ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag aldrig använt mig av -Y. Således min fråga: Varför ssh -Y? Nisse Jag läste manualsidan för ssh, och det verkar som om du har fått det om bakfoten. Det verkar vara omvänt. -X Enables X11 forwarding. This can also be specified on a per-host basis in a configuration file. X11 forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the user's X authorization database) can access the local X11 display through the forwarded connection. An attacker may then be able to perform activities such as keystroke monitoring. For this reason, X11 forwarding is subjected to X11 SECURITY extension restrictions by default. Please refer to the ssh -Y option and the ForwardX11Trusted directive in ssh_config(5) for more information. -Y Enables trusted X11 forwarding. Trusted X11 forwardings are not subjected to the X11 SECURITY extension controls. Eller är det jag som missupfattar manualsidan? /anders Ja, jag tror det. Trusted betyder här ungefär att man litar på X-servern på fjärrdatorn. De körs då inte genom 'X11 SECURITY extension controls' som förhindrar keylogging och annat otyg. Fördelen med ssh -Y ska tydligen vara att det stödjer fler program (även de som behöver tillgång till funktioner i X-klienten som anses farliga. Se t.ex. http://askubuntu.com/questions/35512/difference-between-ssh-y-and-ssh-x -- Med vänliga hälsningar / Regards Anton Eliasson -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fcfd61a.1070...@antoneliasson.se
Re: ssh -Y
Den 2012-06-06 skrev Anton Eliasson de...@antoneliasson.se: On 2012-06-07 00:03, Anders Jackson wrote: Den 6 juni 2012 22:38 skrev Nisse Bok from_nisse.f...@recursor.net: Den 2012-06-06 skrev j...@lillahusetiskogen.se j...@lillahusetiskogen.se: Hej! Vad jag är nyfiken på är: Varför använder du ssh -Y? (Det logiska valet är ju vanligen ssh -X.) Jo, jag använder vanligtvis -X jag med. Eftersom -X alltid har fungerat för mig, och flaggan -Y öppnar för att andra grafiska (X11) klienter kan sniffa data via ssh-servermaskinen (tangentloggning, skärmdumpar etc.), så har jag aldrig använt mig av -Y. Således min fråga: Varför ssh -Y? Nisse Jag läste manualsidan för ssh, och det verkar som om du har fått det om bakfoten. Det verkar vara omvänt. Nej... tyvärr inte. Jag skulle vilja sammanfatta det ungefär så här: ● ssh -X ska undvikas (om du inte själv är ensam administratör av ssh-servermaskinen) ● ssh -Y _får inte_ användas (om du inte är enda användaren av ssh-servermaskinen) -X Enables X11 forwarding. This can also be specified on a per-host basis in a configuration file. X11 forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the user's X authorization database) can access the local X11 display through the forwarded connection. An attacker may then be able to perform activities such as keystroke monitoring. Detta betyder t.ex. att alla med root-krafter på ssh-servermaskinen kan utföra dessa otrevligheter via din ssh -X-klient. Därför bör du aldrig ha för vana att slå på denna flaggan i onödan. Tidigare var X11Forwarding i /etc/ssh/sshd_config (ssh-serverns konfigurationfil) som standard satt till no för att minska denna risk. Debian har dock ändrat till yes som standard sedan Lenny (eller Etch?). Dock är ForwardX11 standardvärde i /etc/ssh/ssh_config (ssh-klientens konfigurationsfil) satt till no. Alltså måste -X anges explicit för att aktivera funktionen. For this reason, X11 forwarding is subjected to X11 SECURITY extension restrictions by default. Please refer to the ssh -Y option and the ForwardX11Trusted directive in ssh_config(5) for more information. -Y Enables trusted X11 forwarding. Trusted X11 forwardings are not subjected to the X11 SECURITY extension controls. Detta betyder att även alla andra användare som har rättigheter att använd X11-klienter på ssh-servermaskinen potentiellt kan sniffa data. Eller är det jag som missupfattar manualsidan? /anders Ja, jag tror det. Trusted betyder här ungefär att man litar på X-servern på fjärrdatorn. De körs då inte genom 'X11 SECURITY extension controls' som förhindrar keylogging och annat otyg. Fördelen med ssh -Y ska tydligen vara att det stödjer fler program. Exakt. Men något sådant program har jag aldrig stött på. Därav min fråga. Trodde valet kanske berodde på något spännande osäkert program? Nisse (även de som behöver tillgång till funktioner i X-klienten som anses farliga. Se t.ex. http://askubuntu.com/questions/35512/difference-between-ssh-y-and-ssh-x -- Med vänliga hälsningar / Regards Anton Eliasson -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/slrnjt01n2.1h7.from_nisse.f...@vusers.intranet.pr