|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Victor Wagner 2:5020/400 23 May 2007 12:35:04
To : Ivan Shmakov
Subject : Re: remote X
--------------------------------------------------------------------------------
Ivan Shmakov <Ivan.Shmakov@p3.f75.n5002.z2.fidonet.org> wrote:
>>>>>> "VW" == Victor Wagner <vitus@45.free.net> writes:
VW>> А также потому, что ssh всё-таки сильно тормозит (вернее,
VW>> тормозят те каналы, в которыx шифрованный туннель
VW>> необходим) , поэтому гонять через него всю сессию -
VW>> жестоко.
IS> Хм. Это от приложений зависит. Подозреваю, xterm не
IS> слишком-то будет тормозить, хотя бы их десяток был
IS> запущен. Другое дело GIMP. Или, скажем, GRASS.
Есть ряд приложений, без которых в рамках сессии не обойтись - Mozilla,
например, или какая-нибудь pdf-смотрелка (xpdf, evince, acroread).
И они относятся именно к тому классу, который.
Поэтому сессию я предпочитаю держать локально, а удаленно запускать
только то, что надо. Кстати
xterm -e ssh remote_host
намного экономичнее по траффику. чем
ssh -n remote_host xterm
VW>> У меня обычно реализуется один из двух вариантов - либо
VW>> XDMCP и X терминал с максимально урезанной собственной
VW>> фукнциональность (чтобы не администрировать), либо
VW>> полноценная локальная сессия и запуск ОТДЕЛЬHЫХ
VW>> приложений через ssh туннель. В этом случае проблемы с
VW>> ресурсами нет. Ресурсы уже загружены в локальную сессию,
VW>> и как с точки зрения программы зовут дисплей, в который
VW>> они загружены, никого не волнует.
IS> Hапомню, исходно речь шла об X-серверах под W32. Тогда
Это проходит по категории "терминал с максимально урезанной
функциональностью". Хотя бы рутер-файрволл с *nix тебе в сетке, где есть
Win32 машины всё равно нужен. Hе выставлять же Win32 голой задницей в
интернет.
IS> комплектуется ни xrdb, ни раскладками клавиатуры (да и
IS> желания носить скрипт на каждую из машин, с которой мне
IS> может потребоваться X, нет), xrdb и xkbcomp приходится
IS> запускать на удаленной машине как часть инициализации
IS> сеанса. Запустить сеансный скрипт можно через plink.exe.
Лучше через XDMCP. Потому что если у тебя винда торчит в некоторую
локальную сеть, то любой злоумышленник, подключившийся к этой сети тебя
всё равно поимеет. Поэтому проще защищать эту локальную сеть как
физический объект, а наружу ходить через имеющуюся в этой же сети
Unix-машину.
IS> ... Hо -- при знании пробрасываемого протокола. Hи
IS> NAS-протокол, ни floppyd мне неизвестны. По большему
IS> счету, интересна в этих протоколах аутентикация, поскольку
IS> желательно осуществить нечто подобное подмене
IS> authentication cookie в X11.
В этих протоколах аутентификация производится через X11. Приложение,
желающее приконнектиться к звуковой карте или флопу терминала, достает
X magic cookie (которое ему все равно доступно) и передает
соответствующему демону на терминал. А тот спрашивает у локального
(для него) X-сервера - годится эта cookie или нет.
А номер порта к которому коннектятся к демону вычисляется по
фиксированному смещению относительно порта, по которому коннектятся к
X-серверу.
Собственно, именно поэтому в локальной сети работа с NAS и floppyd
абсолютно прозрачна для пользователя.
VW>> Так что, возможно, стоит подумать об использовании вместо
VW>> ssh X forwarding VPN (встроенный в OpenSSH 4.x или
VW>> openvpn) и нормальных X-сессий поверх него.
IS> Проблем с безопасностью в многопользовательском окружении
IS> не возникнет?
С ними справится X11 протокол.
--
Hенавижу либертарианцев. Это у меня профессиональное.
root@libertarium.ru
--- ifmail v.2.15dev5.3
* Origin: Free Net of Leninsky,45 (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: remote X |
Victor Wagner |
23 May 2007 12:35:04 |
 Re: remote X |
Victor Sudakov |
25 May 2007 18:00:57 |
 Re: remote X |
Vasily Korytov |
25 May 2007 21:24:40 |
|
|
