ローカルセキュアネットワークで最速のSSH Xトンネル

Question 1

セキュアなネットワークにいる場合、暗号化したいのはなぜですか？ SSHなしでDirect X転送を実行すると、速度とレイテンシが向上します。

例を見るこの（古いがまだ有効な）チュートリアル;ここでは（安全でない）Xhostメカニズムを使用できます。

少し理論

魔法の言葉はですDISPLAY。 Xウィンドウシステムでは、モニターは（単純化された）キーボード、マウス、画面で構成されています。ディスプレイはサーバープログラム（Xサーバーと呼ばれる）によって管理されます。サーバーは、接続されている他のプログラムに表示機能を提供します。

ディスプレイは名前で表示されます。例:

DISPLAY=light.uni.verse:0
DISPLAY=localhost:4
DISPLAY=:0

マークは、ホスト名（例light.uni.verse：およびlocalhost）、コロン（:）、およびシーケンス番号（例：0および4）で構成されています。表示されるホスト名は、Xサーバーを実行しているコンピュータの名前です。省略されたホスト名はlocalhostを表します。0複数のモニタがコンピュータに接続されている場合、通常はシリアル番号が異なります。

追加情報が表示される表示を見たことがある場合は、.n画面番号です。モニターには実際に複数の画面があります。通常、数字n=の画面が1つしかないので、0これはデフォルトです。

他の形式も存在しますDISPLAYが、上記の形式だけでも私たちの目的には十分です。

顧客に話す

クライアントプログラム（グラフィックアプリケーションなど）は、DISPLAY環境変数を調べて接続するモニターを知っています。

私たちのコンピュータは外部の世界によって呼び出され、light私たちはドメインにいますuni.verse。通常のXサーバーを実行している場合、表示される内容は次のとおりですlight.uni.verse:0。xfigリモートコンピュータで描画プログラムを実行し、そのdark.matt.er出力を表示しようとしていますlight。

リモートコンピュータにtelnet/ rsh/ -edがあると仮定すると、。sshdark.matt.er

shリモートシステムですでに実行されている場合：

dark$ DISPLAY=light.uni.verse:0
dark$ export DISPLAY
dark$ xfig &

または：

 dark$ DISPLAY=light.uni.verse:0 xfig &

サーバーに話す

サーバーはどこでも接続を許可しません。誰もが画面にウィンドウを表示したくありません。または、入力した内容をお読みください。キーボードはモニターの一部であることを覚えておいてください！

モニターへのアクセスを許可するとセキュリティ上のリスクがあることを認識する人はほとんどいないようです。あなたのモニターにアクセスできる人はあなたの画面を読み書きすることができ、キーストロークを読み、マウスの動きを読むことができます。

ほとんどのサーバーは、接続を認証する2つの方法、つまりホストリストメカニズム（xhost）とマジッククッキーメカニズム（xauth）を知っています。その後、sshX接続を転送できるセキュリティシェルがあります。

一部のXサーバーは、パラメータを使用して共通のTCPポートを受信しないように設定できます-nolisten tcp。 Debian GNU/Linux のデフォルト設定は、X サーバーのリスニング TCP ポートを無効にすることに注意する価値があります。 DebianシステムでリモートXを使用するには、起動方法を変更してXサーバーを再度有効にする必要があります。/etc/X11/xinit/xserverrc始めましょう。

Xホスト

Xhost はホスト名に基づいてアクセスを許可します。サーバーは、接続が許可されているホストのリストを維持します。ホストスキャンを完全に無効にすることもできます。注：これは、すべてのホストが接続できるようにスキャンが実行されないことを意味します！

このプログラムを使用してサーバーのホストリストを制御できますxhost。前の例でこのメカニズムを使用するには、次のようにします。

 light$ xhost +dark.matt.er

これにより、dark.matt.erホストからのすべての接続が許可されます。 X クライアントが接続してウィンドウを表示する場合は、セキュリティ上の理由から、次を使用して追加の接続に対する権限を取り消します。

 light$ xhost -dark.matt.er

次のコマンドを使用してホストチェックを無効にできます。

 light$ xhost +

これにより、ホストアクセス確認が無効になり、誰もが接続できるようになります。すべてのユーザーを信頼できないネットワーク（インターネットなど）でこれを行わないでください。次のコマンドを使用してホストチェックを再度有効にできます。

 light$ xhost -

xhost -それ自体では、アクセスリストからすべてのホストを削除するわけではありません（これは役に立ちません。ローカルホストでも接続できません）。

Xhostは非常に安全でないメカニズムです。リモートホストの他のユーザーを区別しません。また、ホスト名（実アドレス）もなりすまします。信頼できないネットワークにいる場合（たとえば、ダイヤルアップPPPを介してインターネットにアクセスできる場合）、これは悪いことです。

Answer

セキュアなネットワークにいる場合、暗号化したいのはなぜですか？ SSHなしでDirect X転送を実行すると、速度とレイテンシが向上します。

例を見るこの（古いがまだ有効な）チュートリアル;ここでは（安全でない）Xhostメカニズムを使用できます。

少し理論

魔法の言葉はですDISPLAY。 Xウィンドウシステムでは、モニターは（単純化された）キーボード、マウス、画面で構成されています。ディスプレイはサーバープログラム（Xサーバーと呼ばれる）によって管理されます。サーバーは、接続されている他のプログラムに表示機能を提供します。

ディスプレイは名前で表示されます。例:

DISPLAY=light.uni.verse:0
DISPLAY=localhost:4
DISPLAY=:0

マークは、ホスト名（例light.uni.verse：およびlocalhost）、コロン（:）、およびシーケンス番号（例：0および4）で構成されています。表示されるホスト名は、Xサーバーを実行しているコンピュータの名前です。省略されたホスト名はlocalhostを表します。0複数のモニタがコンピュータに接続されている場合、通常はシリアル番号が異なります。

追加情報が表示される表示を見たことがある場合は、.n画面番号です。モニターには実際に複数の画面があります。通常、数字n=の画面が1つしかないので、0これはデフォルトです。

他の形式も存在しますDISPLAYが、上記の形式だけでも私たちの目的には十分です。

顧客に話す

クライアントプログラム（グラフィックアプリケーションなど）は、DISPLAY環境変数を調べて接続するモニターを知っています。

私たちのコンピュータは外部の世界によって呼び出され、light私たちはドメインにいますuni.verse。通常のXサーバーを実行している場合、表示される内容は次のとおりですlight.uni.verse:0。xfigリモートコンピュータで描画プログラムを実行し、そのdark.matt.er出力を表示しようとしていますlight。

リモートコンピュータにtelnet/ rsh/ -edがあると仮定すると、。sshdark.matt.er

shリモートシステムですでに実行されている場合：

dark$ DISPLAY=light.uni.verse:0
dark$ export DISPLAY
dark$ xfig &

または：

 dark$ DISPLAY=light.uni.verse:0 xfig &

サーバーに話す

サーバーはどこでも接続を許可しません。誰もが画面にウィンドウを表示したくありません。または、入力した内容をお読みください。キーボードはモニターの一部であることを覚えておいてください！

モニターへのアクセスを許可するとセキュリティ上のリスクがあることを認識する人はほとんどいないようです。あなたのモニターにアクセスできる人はあなたの画面を読み書きすることができ、キーストロークを読み、マウスの動きを読むことができます。

ほとんどのサーバーは、接続を認証する2つの方法、つまりホストリストメカニズム（xhost）とマジッククッキーメカニズム（xauth）を知っています。その後、sshX接続を転送できるセキュリティシェルがあります。

一部のXサーバーは、パラメータを使用して共通のTCPポートを受信しないように設定できます-nolisten tcp。 Debian GNU/Linux のデフォルト設定は、X サーバーのリスニング TCP ポートを無効にすることに注意する価値があります。 DebianシステムでリモートXを使用するには、起動方法を変更してXサーバーを再度有効にする必要があります。/etc/X11/xinit/xserverrc始めましょう。

Xホスト

Xhost はホスト名に基づいてアクセスを許可します。サーバーは、接続が許可されているホストのリストを維持します。ホストスキャンを完全に無効にすることもできます。注：これは、すべてのホストが接続できるようにスキャンが実行されないことを意味します！

このプログラムを使用してサーバーのホストリストを制御できますxhost。前の例でこのメカニズムを使用するには、次のようにします。

 light$ xhost +dark.matt.er

これにより、dark.matt.erホストからのすべての接続が許可されます。 X クライアントが接続してウィンドウを表示する場合は、セキュリティ上の理由から、次を使用して追加の接続に対する権限を取り消します。

 light$ xhost -dark.matt.er

次のコマンドを使用してホストチェックを無効にできます。

 light$ xhost +

これにより、ホストアクセス確認が無効になり、誰もが接続できるようになります。すべてのユーザーを信頼できないネットワーク（インターネットなど）でこれを行わないでください。次のコマンドを使用してホストチェックを再度有効にできます。

 light$ xhost -

xhost -それ自体では、アクセスリストからすべてのホストを削除するわけではありません（これは役に立ちません。ローカルホストでも接続できません）。

Xhostは非常に安全でないメカニズムです。リモートホストの他のユーザーを区別しません。また、ホスト名（実アドレス）もなりすまします。信頼できないネットワークにいる場合（たとえば、ダイヤルアップPPPを介してインターネットにアクセスできる場合）、これは悪いことです。

Question 2

proto 1のマニュアルページによると、「blowfish」が最も速く、proto 2の場合は次のようになります。

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

私はフグ-cbcがその中で最も速いと思いますが、実際にはテストが必要です。

明らかにあなたはほとんど必要ありませんCompression。

IPQoSインタラクティブセッションの場合、デフォルトでは「低レイテンシ」、非対話型セッションの場合は「スループット」にデフォルト設定されているオプションもあります。

Answer

proto 1のマニュアルページによると、「blowfish」が最も速く、proto 2の場合は次のようになります。

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

私はフグ-cbcがその中で最も速いと思いますが、実際にはテストが必要です。

明らかにあなたはほとんど必要ありませんCompression。

IPQoSインタラクティブセッションの場合、デフォルトでは「低レイテンシ」、非対話型セッションの場合は「スループット」にデフォルト設定されているオプションもあります。

ローカルセキュアネットワークで最速のSSH Xトンネル

答え1

少し理論

顧客に話す

サーバーに話す

Xホスト

答え2

関連情報