OpenSSH: ¿Es mejor configurar un ForwardX11Timeout largo que ForwardX11 Trust?

4

Nunca me ha gustado la idea de conexiones X11 de confianza a máquinas compartidas. Sin embargo, hace varios años, notamos que las conexiones que no eran de confianza dejaron de funcionar después de un período de tiempo muy corto. Después de investigar un poco, descubrí que hay una configuración de "ForwardX11Timeout" que está configurada en un número bajo; cambiarlo a un número grande (596h, en mi caso) hace que el problema desaparezca de forma efectiva.

Pero! Me pregunto si hay una razón importante por la que esto se establece en un número bajo. ¿Estoy mejor usando una conexión X11 de confianza por alguna razón? ForwardX11Trusted (o ssh -Y ) también hace que el problema deje de manifestarse.

    
pregunta Nate 04.01.2017 - 22:41
fuente

1 respuesta

3

No estoy seguro de cuál es el problema exacto del que está hablando, pero:

  

¿Es mejor establecer un ForwardX11Timeout largo que ForwardX11Trusted?

Cada una de estas opciones resuelve diferentes problemas:

  • ForwardX11Trusted expone tu servidor X local para que el administrador malvado potencial en el servidor remoto pueda hacer lo que quiera (capturas de pantalla, entrada, registro de teclas, ...)
  • ForwardX11Timeout no previene nada desde arriba. Simplemente rechaza las conexiones X11 después de algún tiempo. Si se establece a largo plazo, básicamente se "deshabilitará" (bueno ... ¿quién está ejecutando sesiones ssh 596 horas?). Esta opción supone que cuando necesita ejecutar la aplicación X11, la inicia poco después de que se establece la conexión. Básicamente, se evita que el ataque se realice en las conexiones inactivas sin previo aviso de los usuarios (después de 20 minutos de forma predeterminada).
respondido por el Jakuje 09.03.2017 - 22:02
fuente

Lea otras preguntas en las etiquetas