Verwenden Sie beides nicht, wenn Sie X11-Programme nicht remote ausführen müssen. Verwenden -X
Sie, wenn Sie dies tun; und hypothetisch zu verwenden, -Y
wenn ein X11-Programm, das Ihnen am Herzen liegt, mit -Y besser funktioniert als mit -X. Aber derzeit (Ubuntu 15.10) ist -X identisch mit -Y, es sei denn, Sie bearbeiten ssh_config
, um zu sagen ForwardX11Trusted no
. -X sollte ursprünglich die X-Sicherheitserweiterung der 90er Jahre aktivieren, ist aber alt und unflexibel und stürzt einige Programme ab. Daher wird es standardmäßig ignoriert.
Mit ssh -Y
und können -X
Sie ein X11-Programm auf einem Remotecomputer ausführen, dessen Fenster auf dem lokalen X-Monitor angezeigt werden. Das Problem ist, was das Programm mit den Fenstern anderer Programme und mit dem X-Server selbst tun darf.
local$ ssh -X remote
remote$ xlogo
# Runs xlogo on remote, but the logo pops up on the local screen.
Vertrauenswürdige X11-Weiterleitung wird von aktiviert -Y
. Dies ist das historische Verhalten. Einem Programm mit Zugriff auf das Display wird der Zugriff auf das gesamte Display als vertrauenswürdig eingestuft . Es kann Screenshots erstellen, Keylogs erstellen und Eingaben in alle Fenster anderer Programme einfügen . Und es können alle X-Servererweiterungen verwendet werden, einschließlich solcher wie beschleunigter Grafiken, die Sicherheitsrisiken darstellen. Das ist gut für einen reibungslosen Ablauf, aber schlecht für die Sicherheit. Sie vertrauen darauf, dass die Remote-Programme so sicher sind wie Ihre lokalen Programme.
Nicht vertrauenswürdige X11-Weiterleitung versucht, Remote-Programme darauf zu beschränken, nur auf ihre eigenen Fenster zuzugreifen und nur die Teile von X zu verwenden, die relativ sicher sind. Was sich gut anhört, aber derzeit in der Praxis nicht gut funktioniert.
Die Bedeutung von -X
hängt derzeit von Ihrer ssh-Konfiguration ab.
Unter Ubuntu 14.04 LTS ssh_config
gibt es keinen Unterschied zwischen -X
und , es sei denn, Sie bearbeiten Ihre -Y
. Msgstr "[B] weil momentan zu viele Programme im [nicht vertrauenswürdigen] Modus abstürzen."
ubuntu1404$ man ssh
...
-X Enables X11 forwarding. This can also be specified on a per-host
basis in a configuration file.
...
(Debian-specific: X11 forwarding is not subjected to X11 SECURITY
extension restrictions by default, because too many programs cur‐
rently crash in this mode. Set the ForwardX11Trusted option to
“no” to restore the upstream behavior. This may change in
future depending on client-side improvements.)
ubuntu1404$ grep ForwardX11Trusted /etc/ssh/ssh_config
# ForwardX11Trusted yes
Wenn ForwardX11Trusted no
, wird -X
die nicht vertrauenswürdige Weiterleitung aktiviert . Ansonsten -X
wird genauso -Y
verfahren, wie darauf zu vertrauen, dass Remote-Programme mit Anzeigezugriff freundlich sind.