xhost - - Linux en overige clients

vrijdag 25 oktober 2013 17:13

Acties:

0 Henk 'm!

Topicstarter

Ik heb twee machines
mint en
centos

ik wil vanaf mint de xserver van centos gebruiken om programma's op de desktop van mint te openen.

Daarvoor gebruik ik ssh -X

Dat werkt prima, maar ik wil het ook beveiligen.

Ik heb xhost -centos bij mint ingevuld, en ik krijg de melding dat de acces control list is bijgewerkt.

Toch blijf ik programma's vanaf centos op mijn mint desktop kunnen openen.

Heeft iemand enig idee hoe ik mijn desktop kan beveiligen?

vrijdag 25 oktober 2013 17:20

Acties:

0 Henk 'm!

Rolfie

Dat werkt prima, maar ik wil het ook beveiligen.

Wat is jouw definitie van beveiliging? SSH is al encrypted.

Heeft iemand enig idee hoe ik mijn desktop kan beveiligen?

Firewall?
VPN voor remote toegang?

vrijdag 25 oktober 2013 17:23

Acties:

0 Henk 'm!

amx

Topicstarter

Het gaat om voorbereiding voor een toets. Het is niet de specifieke leerstof, maar globaal moet ik ssh -x kunnen omschrijven. xhost is niet de specifieke leerstof. maar ik wil het beheersen, dus is de vraag die ik stel gericht om met het commando xhost toegang te verlenen of te ontzeggen.

Misschien is het zo wat duidelijker

Ik heb om te toetsen zowel vanaf de client als vanaf de server xhost uitgevoerd met + en - als paramter.
Geen van beiden geven een foutmelding, en als ik de leerstof goed begrijp, moet xhost toegang verlenen of ontzeggen vanaf de computer waar de ssh sessie wordt opgezet.

De vraag is dus specifiek gericht

[ Voor 32% gewijzigd door amx op 25-10-2013 17:25 ]

vrijdag 25 oktober 2013 18:27

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Heb je ook je openssh-server configuratie hierop aangepast? Als openssh hier niet van op de hoogte is, kan het ook niets delegeren om toegang te beperken.

Is het trouwens wel xhost? Want die zie ik niet in mijn Debian repo. Bedoel je misschien xauth?

Commandline FTW | Tweakt met mate

vrijdag 25 oktober 2013 18:30

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

ssh -x en xhost zijn verschillende manieren om hetzelfde te bereiken. Ze staan helemaal los van elkaar.

This post is warranted for the full amount you paid me for it.

vrijdag 25 oktober 2013 18:34

Acties:

0 Henk 'm!

amx

Topicstarter

Mint is debian-based, daar vind ik het op, evenals op Centos. Bedankt voor de reactie overigens.

Ik post de vraag enerzijds omdat ik het een mooie handigheid van Unix vind, zeker in combinatie met Windows/Xming.
Anderzijds knaagt het ergens dat de leerstof zegt dat de beveiliging aan de kant van de computer zit die de ssh sessie opzet. Zo interpreteer ik de tekst in ieder geval.
Logischer is in mijn redenering dat de X-server die de beelden naar de andere computer stuurt bepaalt of clients wel of geen gebruik kunnen maken van X. Vandaar dat ik ook ben gaan testen.

@capslock: ssh -X opent de tunnel met een X-verbinding, xhost is de beveiligingsschakelaar
@hero of time, ik ga eens in de security settings van ssh kijken, thnx

[ Voor 5% gewijzigd door amx op 25-10-2013 18:36 ]

vrijdag 25 oktober 2013 18:37

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ah, nu zie ik xhost (eerder niet uitgevoerd om te zien of ik 'm had). Zit in x11-server-utils. Wat heb je precies met xhost gedaan, op de ssh server kant? Dus op CentOS.

Commandline FTW | Tweakt met mate

vrijdag 25 oktober 2013 18:50

Acties:

0 Henk 'm!

amx

Topicstarter

Ik heb de volgende aanpassingen getest:

Op centos draait een openssh-server en een X server (gnome2 desktop).
Op zich daarna niks ingesteld.

Daarna op mint commando xhost +centos
(wederzijds bekend in /etc/hosts)

ssh -X bob@centos

daarna kan ik vanaf de terminal bijvoorbeeld gnome-terminal & openen
en het werkt zoals beschreven perfect.

Als ik vervolgens op centos xhost - of xhost -mint invoer, (dit hoort dus niet volgens de documentatie)
OF op mint xhost - of xhost -centos
en ik open vervolgens ssh -X bob@centos

blijft commando gnome-terminal een centos-terminal openen op de desktop van mint

Ik vraag me dus af waar de ACL van de melding van xhost zich bevindt.

vrijdag 25 oktober 2013 20:19

Acties:

0 Henk 'm!

Wolfboy

ubi dubium ibi libertas

Om te controleren of xhost uberhaupt wel iets doet, voer dit eens uit:

xhost -

Blog [Stackoverflow] [LinkedIn]

vrijdag 25 oktober 2013 20:26

Acties:

0 Henk 'm!

amx

Topicstarter

Als ik alleen xhost uitvoer (zonder + of -) toont STDOUT de huidige ACL,
ik krijg ook respons als ik xhost +centos/ xhost +mint
als ik xhost - invul:

code:

1	access control enabled, only authorized clients can connect

vrijdag 25 oktober 2013 20:32

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

amx schreef op vrijdag 25 oktober 2013 @ 18:34:
Mint is debian-based, daar vind ik het op, evenals op Centos. Bedankt voor de reactie overigens.

Ik post de vraag enerzijds omdat ik het een mooie handigheid van Unix vind, zeker in combinatie met Windows/Xming.
Anderzijds knaagt het ergens dat de leerstof zegt dat de beveiliging aan de kant van de computer zit die de ssh sessie opzet. Zo interpreteer ik de tekst in ieder geval.
Logischer is in mijn redenering dat de X-server die de beelden naar de andere computer stuurt bepaalt of clients wel of geen gebruik kunnen maken van X. Vandaar dat ik ook ben gaan testen.

@capslock: ssh -X opent de tunnel met een X-verbinding, xhost is de beveiligingsschakelaar

Bijna, maar niet helemaal.
xhost is inderdaad _een_ beveiligingsschakelaar. ssh -x gaat via een andere route en komt niet langs die schakelaar.

xhost is een antieke methode die tegenwoordig wordt afgeraden.
Met xhost zet je een netwerkpoort open en sta je toe dat machines rechstreeks opdrachten daar na toe sturen. Ze kijken als het ware rechtstreeks in je videokaart. Alle informatie gaat rechtstreeks en practisch onbeveiligd over het netwerk.

SSH is juist gespecialiseerd in het opzetten van veilige verbindingen. In het geval van ssh -x bouw je een soort tunnel binnen je SSH-verbinding waar X overheen kan. De X-server en X-client praten nu niet rechstreeks met elkaar, maar verbinden met een lokale poort. SSH knoopt die lokale poorten via een tunnel aan elkaar.

This post is warranted for the full amount you paid me for it.

vrijdag 25 oktober 2013 22:57

Acties:

0 Henk 'm!

amx

Topicstarter

Ik zoek toch een manier om xhost toegang ook weer te laten ontzeggen

Volgens deze link

http://gerardnico.com/wiki/linux/xhost

is de juiste reactie wanneer de acl wel filtert:

code:

[root@oel5u5 ~]# xclock&
Xlib: connection to "192.168.2.2:0.0" refused by server
Xlib: No protocol specified
 
Error: Can''t open display: 192.168.2.2:0.0

Kan iemand dit werkend reproduceren? ideeen iemand?

vrijdag 25 oktober 2013 23:31

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Nou, misschien ipv hostnaam te gebruiken, het IP adres van de machine?

Commandline FTW | Tweakt met mate

zaterdag 26 oktober 2013 09:47

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

amx schreef op vrijdag 25 oktober 2013 @ 22:57:
Ik zoek toch een manier om xhost toegang ook weer te laten ontzeggen

Volgens deze link

http://gerardnico.com/wiki/linux/xhost

is de juiste reactie wanneer de acl wel filtert:
code:
1
2
3
4
5
[root@oel5u5 ~]# xclock&
Xlib: connection to "192.168.2.2:0.0" refused by server
Xlib: No protocol specified
 
Error: Can''t open display: 192.168.2.2:0.0
Kan iemand dit werkend reproduceren? ideeen iemand?

Anders lees je de reactie boven je..

Als je perse xhost wil gebruiken dan moet je geen ssh -X gebruiken maar gewoon je display-variable zetten. xhost blocked/unblocked een host die de xserver probeert te benaderen. ssh tunneled de connectie dus voor je xserver komt die connectie van localhost

met xhost zul je iets moeten doen alla

ssh centos
export DISPLAY=mint:0.0
xclock

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan