OpenSSH: l'impostazione di un ForwardX11Timeout lungo è migliore di ForwardX11Trusted?

4

Non ho mai amato l'idea di connessioni X11 affidabili con macchine condivise. Tuttavia, diversi anni fa, abbiamo notato che le connessioni non attendibili hanno smesso di funzionare dopo un breve periodo di tempo. Dopo alcuni scavi, ho scoperto che c'è un'impostazione "ForwardX11Timeout" che è impostata su un numero basso; cambiandolo in un numero grande (596h, nel mio caso), il problema si risolve in modo efficace.

Ma! Mi chiedo se ci sia un motivo importante per cui questo è impostato su un numero basso. Sto meglio usando una connessione X11 affidabile per qualche motivo? ForwardX11Trusted (o ssh -Y ) rende inoltre il problema smettere di manifestare.

    
posta Nate 04.01.2017 - 22:41
fonte

1 risposta

3

Non sono sicuro di quale sia il problema esatto di cui stai parlando, ma:

Is setting a long ForwardX11Timeout better than ForwardX11Trusted?

Ciascuna di queste opzioni risolve diversi problemi:

  • ForwardX11Trusted espone il tuo server X locale in modo che il potenziale malvagio amministratore sul server remoto possa fare tutto ciò che vuole (screenshot, input, keylogging, ...)
  • ForwardX11Timeout non impedisce nulla dall'alto. Rifiuta le connessioni X11 dopo un po 'di tempo. Settimgalmente a lungo lo "disabiliterò" in pratica (beh ... chi sta facendo sessioni SSH 596 ore?). Questa opzione presuppone che quando è necessario eseguire l'applicazione X11, la si avvia subito dopo aver stabilito la connessione. In pratica impedisce che l'attacco venga eseguito sulle connessioni inattive senza che gli utenti se ne accorgano (dopo 20 minuti di default).
risposta data 09.03.2017 - 22:02
fonte

Leggi altre domande sui tag