Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
un nmap du client:
-->[ ~] nmap 192.168.10.150
Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-26 12:02 CEST
Interesting ports on 192.168.10.150:
Not shown: 1712 closed ports
Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :
Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
un nmap du client:
-->[moi@morgane ~] nmap 192.168.10.150
Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-26 12:02 CEST
Interesting ports on 192.168.10.150:
Not shown: 1712 closed ports
Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
un nmap du client:
-->[ ~] nmap 192.168.10.150
Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-26 12:02 CEST
Interesting ports on 192.168.10.150:
Not shown: 1712 closed ports
De mémoire, je faisais:
machine locale:
* Enlever l'option no listen TCP du serveur X /etc/X11/xinit/xserverrc
* Lancer X a la main avec startx et non via KDM/GDM car il écrase sinon cette valeur
machine distante:
* Lancer export DISPLAY=machine:0.0 (si 0.0 est le display de la machine)
De mémoire, je faisais:
machine locale:
* Enlever l'option no listen TCP du serveur X /etc/X11/xinit/xserverrc
* Lancer X a la main avec startx et non via KDM/GDM car il écrase sinon cette valeur
machine distante:
* Lancer export DISPLAY=machine:0.0 (si 0.0 est le display de la machine)
De mémoire, je faisais:
machine locale:
* Enlever l'option no listen TCP du serveur X /etc/X11/xinit/xserverrc
* Lancer X a la main avec startx et non via KDM/GDM car il écrase sinon cette valeur
machine distante:
* Lancer export DISPLAY=machine:0.0 (si 0.0 est le display de la machine)
Pour ssh je ne crois pas que "-Y" puisse marcher sans "-X" ?
Pour ssh je ne crois pas que "-Y" puisse marcher sans "-X" ?
Pour ssh je ne crois pas que "-Y" puisse marcher sans "-X" ?
Si je peux apporter mon grain de sel, les deux options créent un tunnel SSH
qui fait que le serveur X de ta machine locale (celle qui lance ssh) est
accessible sur ta machine distante (qui fait tourner sshd) via :10.0 ou un
truc dans le genre. Sauf que -Y authentifie la connexion au serveur X via le
système xauth dont je ne comprends pas grand chose (il n'y a pas une
histoire de cookie dans le tas ?), alors que -X se connecte simplement en
TCP sans chercher à s'authentifier auprès de X. xhost + (qui doit être lancé
par l'utilisateur qui possède l'instance du serveur X, soit en général
l'utilisateur courant) ne devrait en effet ne jamais être utilisé si on peut
faire autrement.
Si je peux apporter mon grain de sel, les deux options créent un tunnel SSH
qui fait que le serveur X de ta machine locale (celle qui lance ssh) est
accessible sur ta machine distante (qui fait tourner sshd) via :10.0 ou un
truc dans le genre. Sauf que -Y authentifie la connexion au serveur X via le
système xauth dont je ne comprends pas grand chose (il n'y a pas une
histoire de cookie dans le tas ?), alors que -X se connecte simplement en
TCP sans chercher à s'authentifier auprès de X. xhost + (qui doit être lancé
par l'utilisateur qui possède l'instance du serveur X, soit en général
l'utilisateur courant) ne devrait en effet ne jamais être utilisé si on peut
faire autrement.
Si je peux apporter mon grain de sel, les deux options créent un tunnel SSH
qui fait que le serveur X de ta machine locale (celle qui lance ssh) est
accessible sur ta machine distante (qui fait tourner sshd) via :10.0 ou un
truc dans le genre. Sauf que -Y authentifie la connexion au serveur X via le
système xauth dont je ne comprends pas grand chose (il n'y a pas une
histoire de cookie dans le tas ?), alors que -X se connecte simplement en
TCP sans chercher à s'authentifier auprès de X. xhost + (qui doit être lancé
par l'utilisateur qui possède l'instance du serveur X, soit en général
l'utilisateur courant) ne devrait en effet ne jamais être utilisé si on peut
faire autrement.
Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
Nmap done: 1 IP address (1 host up) scanned in 0.730 seconds
Le "xhost +" n'ouvre pas de port supplémentaire (dixit nmap)
et avant je n'ai pas possibilité d'ouvrir de fenêtre X.
Je ne le vois pas ouvert ce port X11.
Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
neuneu comme moi que je meure (?) moins idiot ?
Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :
Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
Nmap done: 1 IP address (1 host up) scanned in 0.730 seconds
Le "xhost +" n'ouvre pas de port supplémentaire (dixit nmap)
et avant je n'ai pas possibilité d'ouvrir de fenêtre X.
Je ne le vois pas ouvert ce port X11.
Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
neuneu comme moi que je meure (?) moins idiot ?
Le Mon, 26 Jul 2010 11:20:02 +0200, Julien Demange a écrit :Si tu fais "xhost +" tu autorise toute personne qui peut initier un
session TCP sur le bon port de la machine, à accéder au serveur X !
question :
Nmap done: 1 IP address (1 host up) scanned in 0.730 seconds
Le "xhost +" n'ouvre pas de port supplémentaire (dixit nmap)
et avant je n'ai pas possibilité d'ouvrir de fenêtre X.
Je ne le vois pas ouvert ce port X11.
Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
neuneu comme moi que je meure (?) moins idiot ?
pour nmap teste :
# nmap -sS -p6000-6100 127.0.0.1
# nmap -sS -p6000-6100 192.168.10.150 (ou -sT à la place de -sS si tu ne
le lances pas en root)
> Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
> neuneu comme moi que je meure (?) moins idiot ?
Perso, je suis intéressé par tout doc clair sur xauth, Je n'ai jamais
trouvé que des truc qui entre des des considération technique assez
floue.
pour nmap teste :
# nmap -sS -p6000-6100 127.0.0.1
# nmap -sS -p6000-6100 192.168.10.150 (ou -sT à la place de -sS si tu ne
le lances pas en root)
> Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
> neuneu comme moi que je meure (?) moins idiot ?
Perso, je suis intéressé par tout doc clair sur xauth, Je n'ai jamais
trouvé que des truc qui entre des des considération technique assez
floue.
pour nmap teste :
# nmap -sS -p6000-6100 127.0.0.1
# nmap -sS -p6000-6100 192.168.10.150 (ou -sT à la place de -sS si tu ne
le lances pas en root)
> Plutôt que de continuer à polluer, vous n'avez pas une petite URL pour
> neuneu comme moi que je meure (?) moins idiot ?
Perso, je suis intéressé par tout doc clair sur xauth, Je n'ai jamais
trouvé que des truc qui entre des des considération technique assez
floue.
On 25/07/2010 16:53, Mourad Jaber wrote:
Le 25/07/2010 16:37, Stephane Bortzmeyer a écrit :On Sun, Jul 25, 2010 at 03:44:56PM +0200,
Erwan David wrote
a message of 30 lines which said:Va voir dans le /etc/ssh/sshd_config pour activer le tunnel X11.
X11Forwarding yes
Ça peut être aussi le paquet xauth (qui contient le programme du même
nom, qui configure l'autorisation X11) qui n'est pas installé sur le
serveur SSH.
Bien vu, c'était la paquet xauth qui n'était pas installé !
Merci
++
Mourad
J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
On 25/07/2010 16:53, Mourad Jaber wrote:
Le 25/07/2010 16:37, Stephane Bortzmeyer a écrit :
On Sun, Jul 25, 2010 at 03:44:56PM +0200,
Erwan David<erwan@rail.eu.org> wrote
a message of 30 lines which said:
Va voir dans le /etc/ssh/sshd_config pour activer le tunnel X11.
X11Forwarding yes
Ça peut être aussi le paquet xauth (qui contient le programme du même
nom, qui configure l'autorisation X11) qui n'est pas installé sur le
serveur SSH.
Bien vu, c'était la paquet xauth qui n'était pas installé !
Merci
++
Mourad
J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
On 25/07/2010 16:53, Mourad Jaber wrote:
Le 25/07/2010 16:37, Stephane Bortzmeyer a écrit :On Sun, Jul 25, 2010 at 03:44:56PM +0200,
Erwan David wrote
a message of 30 lines which said:Va voir dans le /etc/ssh/sshd_config pour activer le tunnel X11.
X11Forwarding yes
Ça peut être aussi le paquet xauth (qui contient le programme du même
nom, qui configure l'autorisation X11) qui n'est pas installé sur le
serveur SSH.
Bien vu, c'était la paquet xauth qui n'était pas installé !
Merci
++
Mourad
J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Le 25/07/2010 22:30, C. Mourad Jaber a écrit :J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Le 25/07/2010 22:30, C. Mourad Jaber a écrit :
J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Le 25/07/2010 22:30, C. Mourad Jaber a écrit :J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Le 10/10/2010 04:29, Goldy a écrit :Le 25/07/2010 22:30, C. Mourad Jaber a écrit :J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Bonjour,
Je ne sais pas si c'est une faille, les bsdistes vont hurler...
Par contre, je pense que le cœur du problème est que ssh ne communique
pas la variable $DISPLAY ce qui empêche le X11forward puisqu'il ne sait
pas où afficher les fenêtres !
J'ai fait quelques tests sur une ubuntu et ça marche directement parce
que la variable $DISPLAY est correctement initialisée. Je n'ai pas
trouvé ce qui modifie le comportement, mais si quelqu'un à une piste, je
suis prenneur !
++
Mourad
Le 10/10/2010 04:29, Goldy a écrit :
Le 25/07/2010 22:30, C. Mourad Jaber a écrit :
J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Bonjour,
Je ne sais pas si c'est une faille, les bsdistes vont hurler...
Par contre, je pense que le cœur du problème est que ssh ne communique
pas la variable $DISPLAY ce qui empêche le X11forward puisqu'il ne sait
pas où afficher les fenêtres !
J'ai fait quelques tests sur une ubuntu et ça marche directement parce
que la variable $DISPLAY est correctement initialisée. Je n'ai pas
trouvé ce qui modifie le comportement, mais si quelqu'un à une piste, je
suis prenneur !
++
Mourad
Le 10/10/2010 04:29, Goldy a écrit :Le 25/07/2010 22:30, C. Mourad Jaber a écrit :J'ai retenté lexpérience sur une autre machine, celle-ci est en 64bits
et installée recement...
Pour sshd_config j'ai :
X11Forwarding yes
X11DisplayOffset 10
J'ai essayé de donner des droits supplémentaires, mais sans succès avec
xhost :
# xhost +
xhost: unable to open display ""
effectivement la variable DISPLAY n'est pas présente...
En forcant la valeur de DISPLAY, j'ai le même résultat :(
J'ai ajouté ça dans le ssh_config :
Host *
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
Mais ça ne change rien... ce que est très curieux, c'est que ma machine
sous ubuntu à exactement la même configuration ssh (avant mes dernières
modifications) et ça marche sans difficulté !
Si quelqu'un a une autre idée, je suis prenneur !...
++
Mourad
Désolé de déterrer un thread de quelques mois.
Je ne sais pas si Mourad à trouvé la solution à son problème, mais j'ai
été confronté à quelque chose de similaire.
Je l'ai corrigé en mettant l'option X11UseLocalhost no dans sshd_conf.
Mais il semblerait que ça engendre des risques de sécurité, si quelqu'un
pouvait me confirmer ça. La machine est derrière un part feu donc je
devrais logiquement être protégé des connexions à xorg depuis internet,
mais bon comme je ne comprends pas vraiment à quelle niveau se situerait
cette faiblesse, je préfère vous demander.
Merci d'avance.
Bonjour,
Je ne sais pas si c'est une faille, les bsdistes vont hurler...
Par contre, je pense que le cœur du problème est que ssh ne communique
pas la variable $DISPLAY ce qui empêche le X11forward puisqu'il ne sait
pas où afficher les fenêtres !
J'ai fait quelques tests sur une ubuntu et ça marche directement parce
que la variable $DISPLAY est correctement initialisée. Je n'ai pas
trouvé ce qui modifie le comportement, mais si quelqu'un à une piste, je
suis prenneur !
++
Mourad
