SSH Tunneling mini-HOWTO

[alkisg]

edit: το παρόν μήνυμα είναι λάθος, εννοούσα remote X με το ssh να χρησιμοποιείται απλά για login και όχι για κρυπτογράφηση. Δείτε τα επόμενα μηνύματα για εξηγήσεις...

--------------------------------------

 

Για τοπικό δίκτυο, δοκίμασε το εξής:

>
ssh -Y remoteuser@remotepc
gedit

 

Το -Y μεταφέρει όλη την κίνηση των X Windows ασυμπίεστη και ακρυπτογράφητη, γλυτώνοντας τις σχετικές καθυστερήσεις. Έτσι η απόκριση είναι όσο καλύτερη μπορεί να γίνει, εφόσον βέβαια το τοπικό δίκτυο είναι γρήγορο. Τυπικά έτσι μπορείς να δεις και divx βίντεο χωρίς καθυστερήσεις σε 100ρι δίκτυο.

Όμως, αν υπάρχει πιθανότητα κάποιος να κρυφακούει στο τοπικό σου δίκτυο, αυτός θα μπορεί να δει και όλα τα δεδομένα που μεταφέρουν τα X Windows.

[apoikos]

Για τοπικό δίκτυο, δοκίμασε το εξής:

>
ssh -Y remoteuser@remotepc
gedit

 

Το -Y μεταφέρει όλη την κίνηση των X Windows ασυμπίεστη και ακρυπτογράφητη, γλυτώνοντας τις σχετικές καθυστερήσεις. Έτσι η απόκριση είναι όσο καλύτερη μπορεί να γίνει, εφόσον βέβαια το τοπικό δίκτυο είναι γρήγορο. Τυπικά έτσι μπορείς να δεις και divx βίντεο χωρίς καθυστερήσεις σε 100ρι δίκτυο.

Όμως, αν υπάρχει πιθανότητα κάποιος να κρυφακούει στο τοπικό σου δίκτυο, αυτός θα μπορεί να δει και όλα τα δεδομένα που μεταφέρουν τα X Windows.

 

Άλκη, εδώ είσαι λίγο φάουλ. Το -Y (όπως και το -Χ) κάνουν forwarding πάντα πάνω από το κρυπτογραφημένο κανάλι του SSH. Ποτέ δεν περνάει η κίνηση ακρυπτογράφητη. Για τη συμπίεση δε, υπαρχει άλλη επιλογή (-C). Η διαφορά του -Y από το -X, είναι ότι με το -Y το remote end θεωρείται έμπιστο και τα X11 προγράμματα που θα τρέξουν απέναντι έχουν πλήρη πρόσβαση στον τοπικό X Server. Με το -X, τα προγράμματα που «σηκώνονται» στο απομακρυσμένο PC δε θεωρούνται έμπιστα και δεν έχουν πλήρη προσβαση, ώστε να μην μπορούν να κάνουν keylogging ας πούμε.

 

Καλά Χριστούγεννα

[firewalker]

Καλά Χριστούγεννα δάσκαλε.

[alkisg]

Άλκη, εδώ είσαι λίγο φάουλ. Το -Y (όπως και το -Χ) κάνουν forwarding πάντα πάνω από το κρυπτογραφημένο κανάλι του SSH. Ποτέ δεν περνάει η κίνηση ακρυπτογράφητη.

 

Να 'σαι καλά βρε δάσκαλε αυτή την παρανόηση την είχα χρόνια. Στο LTSP έχουμε μια παράμετρο LDM_DIRECTX την οποία όταν την θέτουμε σε True, η κίνηση των X για τους clients είναι ακρυπτογράφητη και έτσι κάνει δυνατή και την αναπαραγωγή βίντεο κτλ. Λοιπόν στο irc κάποιοι λέγανε/λένε ότι αντιστοιχεί στο "ssh -Y", κι εγώ τους πίστεψα χωρίς να διαβάσω man pages και χωρίς να δω source κώδικα.

 

Μετά από αυτά που είπες, έκανα το σχετικό διάβασμα και το LDM_DIRECTX όντως δεν έχει σχέση με το ssh -Y που λέγανε. Απλά κάνει xauth για να δώσει πρόσβαση, μετά απλό ssh, και τέλος θέτει το DISPLAY, και έτσι δίνει remote X χωρίς κρυπτογράφηση.

 

Πάντως σαν απόδοση αυτός ο τρόπος είναι ο καλύτερος, μπορείς να δεις βίντεο χωρίς dropped frames και χωρίς μεγάλο CPU usage, να παίξεις παιχνίδια κτλ.

 

Καλά Χριστούγεννα!

[DIMITRISG]

Τελικά με την -C έχω την καλύτερη απόδοση

[DIMITRISG]

Δες λίγο το παρακάτω.

 

http://www.openssh.com/faq.html#3.2

 

Κατα πόσο ειμαι ασφαλης έχοντας κανει αυτες τις ρυθμισεις;

 

3.2 - Empty passwords not allowed with PAM authentication.

To enable empty passwords with a version of OpenSSH built with PAM you must add the flag nullok to the end of the password checking module in the /etc/pam.d/sshd file. For example:

auth required/lib/security/pam_unix.so shadow nodelay nullok

This must be done in addition to setting "PermitEmptyPasswords yes" in the sshd_config file.

There is one caveat when using empty passwords with PAM authentication: PAM will allow any password when authenticating an account with an empty password. This breaks the check that sshd(8) uses to determine whether an account has no password set and grant users access to the account regardless of the policy specified by PermitEmptyPasswords. For this reason, it is recommended that you do not add the nullok directive to your PAM configuration file unless you specifically wish to allow empty passwords.