我正在阅读http://nfs.sourceforge.net/nfs-howto/ar01s06.html试图理解为什么当我到达“6.4. 通过 SSH 隧道传输 NFS”部分时 localhost 导出很糟糕。该部分中关于导出本地主机的可能安全漏洞的所有内容,因为它允许其他人通过 ssh 端口转发并访问共享是有意义的。
这是我的问题,如果用户可以通过 ssh 连接到可以连接到 NFS 服务器的机器,如何防止 ssh 隧道破坏系统的安全性?例如,想象一下计算机 A( 192.168.1.1)、B( 192.168.1.2) 和 C( 192.168.1.3)。让 A 成为具有以下导出文件的服务器:
/home 192.168.1.2(rw)
如您所见,A 授予 B 使用 /home 共享的权限。现在,让 C ssh 进入 B:
$ ssh 192.168.1.2 -L 250:192.168.1.1:2049 -f sleep 60m
$ ssh 192.168.1.2 -L 251:192.168.1.1:32767 -f sleep 60m
似乎 A 的股票出口到 B 容易受到任何可以通过 ssh 进入 B 的人的攻击。是这种情况吗?除了简单地确保可以登录到 B 的任何人都是非常值得信赖的用户之外,还有什么方法可以防止这种情况发生?
我有一台服务器在通过转发的 X11 链接启动 X11 应用程序时速度非常慢(需要 3-5 分钟)。我尝试将 2-3 台不同操作系统的不同机器连接到它。应用程序启动后一切似乎都很好。我正在使用受信任的 X11 转发 (ssh -Y) 并使用基于证书的身份验证进行连接(这并不重要)。
操作系统是 amd64 上的 Gentoo Linux。没有一个应用程序提供任何与 X 环境相关的消息(一个什么都不显示,另一个只是一条标准的欢迎消息,最后一个是关于正在使用的资源的错误消息(最终弹出的窗口也告诉了我)。
根据 Bertera 的建议,我使用了 -v 选项。在打印窗口出现之前,它不会打印任何内容:
debug1: client_input_channel_open: ctype x11 rchan 3 win 87380 max 16384
debug1: client_request_x11: request from 127.0.0.1 43716
debug1: channel 1: new [x11]
debug1: confirm x11
另外,我已经测试了 ssh 端口转发,它也非常慢(我猜这可能是 X11 转发的问题)。