로컬 보안 네트워크에서 가장 빠른 SSH X 터널

Question 1

보안 네트워크에 있는 경우 암호화를 원하는 이유는 무엇입니까? SSH 없이 Direct X 전달을 수행하면 속도와 대기 시간이 향상됩니다.

예시 보기이 (오래되었지만 여전히 유효한) 튜토리얼;여기서 (안전하지 않은) Xhost 메커니즘을 사용할 수 있습니다:

약간의 이론

마법의 단어는 입니다 DISPLAY. X 윈도우 시스템에서 모니터는 (단순화된) 키보드, 마우스, 화면으로 구성됩니다. 디스플레이는 서버 프로그램(X 서버라고 함)에 의해 관리됩니다. 서버는 연결된 다른 프로그램에 디스플레이 기능을 제공합니다.

디스플레이는 이름으로 표시됩니다. 예:

DISPLAY=light.uni.verse:0
DISPLAY=localhost:4
DISPLAY=:0

표시는 호스트 이름(예 light.uni.verse: 및 localhost), 콜론( :) 및 시퀀스 번호(예: 0및 4)로 구성됩니다. 표시되는 호스트 이름은 X 서버를 실행하는 컴퓨터의 이름입니다. 생략된 호스트 이름은 localhost를 나타냅니다. 0여러 모니터가 컴퓨터에 연결된 경우 일반적으로 일련 번호가 다릅니다.

추가 정보가 표시되는 표시를 본 적이 있다면 .n화면 번호입니다. 모니터에는 실제로 여러 화면이 있을 수 있습니다. 일반적으로 숫자 n= 인 화면이 하나만 있으므로 0이것이 기본값입니다.

다른 형식도 존재 DISPLAY하지만 위의 형식만으로도 우리의 목적에 충분합니다.

고객에게 말하다

클라이언트 프로그램(예: 그래픽 응용 프로그램)은 DISPLAY환경 변수를 확인하여 연결할 모니터를 알고 있습니다.

우리 컴퓨터는 외부 세계에 의해 호출되며 light우리는 도메인에 있습니다 uni.verse. 일반 X 서버를 실행하는 경우 표시되는 내용은 다음과 같습니다 light.uni.verse:0. xfig원격 컴퓨터에서 그리기 프로그램을 실행 dark.matt.er하고 해당 출력을 표시 하려고 합니다 light.

원격 컴퓨터에 telnet/ rsh/ -ed가 있다고 가정하면 , .sshdark.matt.er

sh원격 시스템에서 이미 실행 중인 경우 :

dark$ DISPLAY=light.uni.verse:0
dark$ export DISPLAY
dark$ xfig &

또는:

 dark$ DISPLAY=light.uni.verse:0 xfig &

서버에게 말하다

서버는 어느 곳에서도 연결을 허용하지 않습니다. 모든 사람이 화면에 창을 표시하는 것을 원하지 않습니다. 또는 입력한 내용을 읽어 보십시오. 키보드는 모니터의 일부라는 점을 기억하십시오!

모니터에 대한 액세스를 허용하면 보안 위험이 따른다는 사실을 인식하는 사람은 거의 없는 것 같습니다. 귀하의 모니터에 액세스할 수 있는 사람은 귀하의 화면을 읽고 쓸 수 있고, 키 입력을 읽고, 마우스 동작을 읽을 수 있습니다.

대부분의 서버는 연결을 인증하는 두 가지 방법, 즉 호스트 목록 메커니즘( xhost)과 매직 쿠키 메커니즘( xauth)을 알고 있습니다. 그 다음에는 sshX 연결을 전달할 수 있는 보안 셸이 있습니다 .

일부 X 서버는 매개변수를 사용하여 공통 TCP 포트를 수신하지 않도록 구성할 수 있습니다 -nolisten tcp. Debian GNU/Linux의 기본 구성은 X 서버 수신 TCP 포트를 비활성화한다는 점에 주목할 가치가 있습니다. 데비안 시스템에서 원격 X를 사용하려면 시작 방법을 변경하여 X 서버를 다시 활성화해야 합니다. /etc/X11/xinit/xserverrc시작하자 .

X 호스트

Xhost는 호스트 이름을 기반으로 액세스를 허용합니다. 서버는 연결이 허용된 호스트 목록을 유지 관리합니다. 또한 호스트 검사를 완전히 비활성화할 수도 있습니다. 참고: 이는 모든 호스트가 연결할 수 있도록 검사가 수행되지 않음을 의미합니다!

이 프로그램을 사용하여 서버의 호스트 목록을 제어할 수 있습니다 xhost. 이전 예에서 이 메커니즘을 사용하려면 다음을 수행하십시오.

 light$ xhost +dark.matt.er

이렇게 하면 dark.matt.er 호스트의 모든 연결이 허용됩니다. X 클라이언트가 연결되어 창을 표시하면 보안상의 이유로 다음을 사용하여 추가 연결에 대한 권한을 취소하십시오.

 light$ xhost -dark.matt.er

다음 명령을 사용하여 호스트 검사를 비활성화할 수 있습니다.

 light$ xhost +

이렇게 하면 호스트 액세스 확인이 비활성화되어 모든 사람이 연결할 수 있습니다. 모든 사용자를 신뢰할 수 없는 네트워크(예: 인터넷)에서는 이 작업을 수행하지 마십시오. 다음 명령을 사용하여 호스트 검사를 다시 활성화할 수 있습니다.

 light$ xhost -

xhost -그 자체로는 액세스 목록에서 모든 호스트를 제거하지 않습니다(이는 쓸모가 없습니다. 심지어 localhost에서도 연결할 수 없습니다).

Xhost는 매우 안전하지 않은 메커니즘입니다. 원격 호스트의 다른 사용자를 구별하지 않습니다. 또한 호스트 이름(실제 주소)도 스푸핑될 수 있습니다. 신뢰할 수 없는 네트워크에 있는 경우(예: 전화 접속 PPP를 통해 인터넷에 액세스할 수 있는 경우) 이는 좋지 않습니다.

Answer

보안 네트워크에 있는 경우 암호화를 원하는 이유는 무엇입니까? SSH 없이 Direct X 전달을 수행하면 속도와 대기 시간이 향상됩니다.

예시 보기이 (오래되었지만 여전히 유효한) 튜토리얼;여기서 (안전하지 않은) Xhost 메커니즘을 사용할 수 있습니다:

약간의 이론

마법의 단어는 입니다 DISPLAY. X 윈도우 시스템에서 모니터는 (단순화된) 키보드, 마우스, 화면으로 구성됩니다. 디스플레이는 서버 프로그램(X 서버라고 함)에 의해 관리됩니다. 서버는 연결된 다른 프로그램에 디스플레이 기능을 제공합니다.

디스플레이는 이름으로 표시됩니다. 예:

DISPLAY=light.uni.verse:0
DISPLAY=localhost:4
DISPLAY=:0

표시는 호스트 이름(예 light.uni.verse: 및 localhost), 콜론( :) 및 시퀀스 번호(예: 0및 4)로 구성됩니다. 표시되는 호스트 이름은 X 서버를 실행하는 컴퓨터의 이름입니다. 생략된 호스트 이름은 localhost를 나타냅니다. 0여러 모니터가 컴퓨터에 연결된 경우 일반적으로 일련 번호가 다릅니다.

추가 정보가 표시되는 표시를 본 적이 있다면 .n화면 번호입니다. 모니터에는 실제로 여러 화면이 있을 수 있습니다. 일반적으로 숫자 n= 인 화면이 하나만 있으므로 0이것이 기본값입니다.

다른 형식도 존재 DISPLAY하지만 위의 형식만으로도 우리의 목적에 충분합니다.

고객에게 말하다

클라이언트 프로그램(예: 그래픽 응용 프로그램)은 DISPLAY환경 변수를 확인하여 연결할 모니터를 알고 있습니다.

우리 컴퓨터는 외부 세계에 의해 호출되며 light우리는 도메인에 있습니다 uni.verse. 일반 X 서버를 실행하는 경우 표시되는 내용은 다음과 같습니다 light.uni.verse:0. xfig원격 컴퓨터에서 그리기 프로그램을 실행 dark.matt.er하고 해당 출력을 표시 하려고 합니다 light.

원격 컴퓨터에 telnet/ rsh/ -ed가 있다고 가정하면 , .sshdark.matt.er

sh원격 시스템에서 이미 실행 중인 경우 :

dark$ DISPLAY=light.uni.verse:0
dark$ export DISPLAY
dark$ xfig &

또는:

 dark$ DISPLAY=light.uni.verse:0 xfig &

서버에게 말하다

서버는 어느 곳에서도 연결을 허용하지 않습니다. 모든 사람이 화면에 창을 표시하는 것을 원하지 않습니다. 또는 입력한 내용을 읽어 보십시오. 키보드는 모니터의 일부라는 점을 기억하십시오!

모니터에 대한 액세스를 허용하면 보안 위험이 따른다는 사실을 인식하는 사람은 거의 없는 것 같습니다. 귀하의 모니터에 액세스할 수 있는 사람은 귀하의 화면을 읽고 쓸 수 있고, 키 입력을 읽고, 마우스 동작을 읽을 수 있습니다.

대부분의 서버는 연결을 인증하는 두 가지 방법, 즉 호스트 목록 메커니즘( xhost)과 매직 쿠키 메커니즘( xauth)을 알고 있습니다. 그 다음에는 sshX 연결을 전달할 수 있는 보안 셸이 있습니다 .

일부 X 서버는 매개변수를 사용하여 공통 TCP 포트를 수신하지 않도록 구성할 수 있습니다 -nolisten tcp. Debian GNU/Linux의 기본 구성은 X 서버 수신 TCP 포트를 비활성화한다는 점에 주목할 가치가 있습니다. 데비안 시스템에서 원격 X를 사용하려면 시작 방법을 변경하여 X 서버를 다시 활성화해야 합니다. /etc/X11/xinit/xserverrc시작하자 .

X 호스트

Xhost는 호스트 이름을 기반으로 액세스를 허용합니다. 서버는 연결이 허용된 호스트 목록을 유지 관리합니다. 또한 호스트 검사를 완전히 비활성화할 수도 있습니다. 참고: 이는 모든 호스트가 연결할 수 있도록 검사가 수행되지 않음을 의미합니다!

이 프로그램을 사용하여 서버의 호스트 목록을 제어할 수 있습니다 xhost. 이전 예에서 이 메커니즘을 사용하려면 다음을 수행하십시오.

 light$ xhost +dark.matt.er

이렇게 하면 dark.matt.er 호스트의 모든 연결이 허용됩니다. X 클라이언트가 연결되어 창을 표시하면 보안상의 이유로 다음을 사용하여 추가 연결에 대한 권한을 취소하십시오.

 light$ xhost -dark.matt.er

다음 명령을 사용하여 호스트 검사를 비활성화할 수 있습니다.

 light$ xhost +

이렇게 하면 호스트 액세스 확인이 비활성화되어 모든 사람이 연결할 수 있습니다. 모든 사용자를 신뢰할 수 없는 네트워크(예: 인터넷)에서는 이 작업을 수행하지 마십시오. 다음 명령을 사용하여 호스트 검사를 다시 활성화할 수 있습니다.

 light$ xhost -

xhost -그 자체로는 액세스 목록에서 모든 호스트를 제거하지 않습니다(이는 쓸모가 없습니다. 심지어 localhost에서도 연결할 수 없습니다).

Xhost는 매우 안전하지 않은 메커니즘입니다. 원격 호스트의 다른 사용자를 구별하지 않습니다. 또한 호스트 이름(실제 주소)도 스푸핑될 수 있습니다. 신뢰할 수 없는 네트워크에 있는 경우(예: 전화 접속 PPP를 통해 인터넷에 액세스할 수 있는 경우) 이는 좋지 않습니다.

Question 2

proto 1의 매뉴얼 페이지에 따르면 "blowfish"가 가장 빠르며 proto 2의 경우 다음과 같습니다.

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

저는 복어-cbc가 그 중에서 가장 빠르다고 생각하지만 실제로는 테스트가 필요합니다.

분명히 당신은 거의 필요하지 않습니다 Compression.

IPQoS대화형 세션의 경우 기본적으로 "낮은 대기 시간", 비대화형 세션의 경우 "처리량"으로 기본 설정되는 옵션 도 있습니다 .

Answer

proto 1의 매뉴얼 페이지에 따르면 "blowfish"가 가장 빠르며 proto 2의 경우 다음과 같습니다.

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

저는 복어-cbc가 그 중에서 가장 빠르다고 생각하지만 실제로는 테스트가 필요합니다.

분명히 당신은 거의 필요하지 않습니다 Compression.

IPQoS대화형 세션의 경우 기본적으로 "낮은 대기 시간", 비대화형 세션의 경우 "처리량"으로 기본 설정되는 옵션 도 있습니다 .

로컬 보안 네트워크에서 가장 빠른 SSH X 터널

답변1

약간의 이론

고객에게 말하다

서버에게 말하다

X 호스트

답변2

관련 정보