SSH: forwarding трафика
Протокол X11 не считается надежным сетевым протоколом. Алгоритм шифрования там следующий: вырабатывается некий ключик для сеанса, этим ключиком сервер и терминал обмениваются и для обеспечения связи используется именно этот ключик. Гарантии, что этот ключ нельзя вычислить\перехватить нет. Соответственно, мы знаем, что в переменнй display хранится адрес сервера, и вы можете запустить приложение на удаленной машине - грубо говоря на на сервере приложений, а X-сервер на вашей локальной машиен будет отрисовывать. Вы всегда можете это сделать, за исключением ПСПО, где X-сервер запускается с ключом --no-listen-tcp(за исключением АлтЛинукс Терминал). Кроме того, совершенно необязательно проводить подключение на порты протокола x11, а можно воспользоваться ssh, тем более что между вами и удаленной машиной находиться фаерволл, который не допускает таких подключений А так, если к машине вы можете подключиться по ssh, то вы можете запустить удаленное приложение, с тем чтобы вывести результаты на ван X-сервер. Делается это с помощью ключа команды ssh '-Y'. Есть также похожий по действию ключ '-X' но он не позваляет делать многие вещи, которые считаются не безопасными.
ssh -Y 10.30.5.197
Как это устроено: посмотрим сдержимое $DISPLAY на локальной машине. {{{:0.0 озн. следующие: часть до двоеточия озн. адр. машине. Её отсутствие --- по умолч., по умлч --- unix domain socket, часть до точки --- номер сервера, после точки --- нмер экрана, напримере, в случае многоголовой видеокарты. В этой штуке можно написать вмест ничего адрес хоста, то можно попр. получить доступ к лок. машине, хотя на той стороне его надо разрешить. Совершим ssh -Y и пм. display. бр. внимание, чт в графе адрес стоит адрес (соед. будет происх. через tcp), однако там локалхст, то есть слушается н локально. Далее указан 10 сервер, н он всего лишь ретранслятор, на самом деле это ssh-демон, который все эти запрсы по защищ. протоколу оттаскивает на лок. машину и отдаёт их , как если бы она запущена с лок. машины.
Собсмтвенно, ничего особенного тут и нету.
Прокидывание портов сквозь ssh. Это такая штука: раз уж можно пркидывать иксы, то можено прокидывать любй прт. Фактически, мы прокинули ... орг. на уд. машине демон 6010-порт, и сделали так, чтобы лок. подклю с лок. машины к 6010 порту приводили к ому, чтобы в рез-те прходил прбрн на лок. машину и чтобы там было подкл. к юних домен сокет.
Вот у нас есть ... . Пара ssh/sshd пзв. прделать бе операции: сделать так, чтбы подклю к уд. хосту привдил к подкл. к лок, и наборот. ... Понятно, что нельзя этго делать. Зато есть такая штука, как smtp_auth, которая позв. это сделать. Во-первых, ндао настр. smtp-auth, кроме тго, ндао делать действия на сервере, в-третьих известно, что некторые спамботы умеют его исп. Поэтому smtp есть, н не афиширванный и врде им никто не польз. Есть способ лучше, он недоступен спамботу, и вы его можете орг, если у польз есть ссх. Вы пробрасываете порт, сервер будет думать, что он разг. с лок. машинй, при этм аутентификация п ссх, и так далее. Сейчас мы попр. отдать лок. порт на уд. машину с пртом 8089.
(неткат и фуррифокс)
Чего нам не удалось сделать --- чтобы уд. машина давала куому-то, кроме как локалхсту. Эт настраивается в конфиге sshd. GatewayPorts no (значение по умолчанию).
Логин рутом. Запрещён по ссх по паролю. Было бы очень неправильно давать говорить польз. логиниться, а потом говорить su (пск. пять пляски с парлем), поэтому считается нормальной практикой давать логин руту по ключам, и в логе оно откладывается, и ситуации, что неизвестно кто заходил под рутом, мы избегаем, поск. знаем, какой ключ исп. Это безпаснее, чем другие схемы.
Сведения о ресурсах
Готовность (%) |
Продолжительность (ак. ч.) |
Подготовка (календ. ч.) |
Полный текст (раб. д.) |
Предварительные знания |
Level |
Maintainer |
Start date |
End date |
0 |
1 |
1 |
1 |
|
1 |
|
|