Stfw.RuИспользование программы xauth
🕛 08.07.2009, 11:21
Программа xauth обеспечивает средства аутентификации, скрытые от пользователя. Данная утилита автоматически применяется при регистрации в системе X Window, но при желании вы можете вызывать ее вручную. Несмотря на то что программа xauth менее удобна в работе, чем xhost, она обеспечивает более высокий уровень защиты.В процессе работы xauth использует файл .Xauthority, расположенный в рабочем каталоге пользователя. Этот файл должен находиться и на клиентской машине, и на сервере. Если данный файл отсутствует, xauth автоматически создает его. В отличие от большинства конфигурационных файлов Linux, . Xauthority не является текстовым файлом. Для изменения его содержимого используется утилита xauth. С помощью xauth можно добавлять, удалять ключи и выполнять с ними другие необходимые действия. Некоторые методы регистрации на удаленном сервере предполагают автоматическую проверку содержимого .Xauthority и добавление необходимого ключа. X-сервер принимает обращения от любого клиента, который обладает соответствующим ключом. (Поскольку . Xauthority содержится в рабочем каталоге пользователя, ключ генерируется тогда, когда данный пользователь регистрируется на компьютере или запускает Х-программу. Различным пользователям могут соответствовать различные файлы . Xauthority.) Чтобы Х-клиент мог работать с Х-сервером, необходимо скопировать ключ из пользовательского файла .Xauthorityна сервере в файл .Xauthorityна клиентской машине. При обращении к серверу клиент автоматически использует этот ключ. Процедура передачи ключа описана ниже.
1. На компьютере, на котором выполняется сервер X Window, введите команду xauth. При этом утилита xauth будет запущена от имени пользователя, который применит систему для взаимодействия с удаленным узлом. Несмотря на то что xauth формально является Х-утилитой, она выполняется в текстовом режиме.
2. Введите команду list. При ее выполнении будет выведена информация о ключах, содержащихся в файле .Xauthority. Каждый ключ начинается с имени дисплея, которое представляет собой имя узла, а за ним следует номер дисплея, напри-мерterm.threeroomco.com:0. Имена некоторых компьютеров сопровождаются символами /unix, кроме того, по команде list будут также выведены записи для localhost. Оба типа записей можно не принимать во внимание. В некоторых записях номера дисплеев будут отличаться от 0. Эти записи соответствуют второму, третьему и последующим сеансам работы с Х-сервером, которые поддерживаются одновременно с первым сеансом. Вас интересует имя основного дисплея? Вероятнее всего, оно будет состоять из имени вашего компьютера, за которым следует номер 0. После имени дисплея в строке будут отображаться также тип кодировки (например, MIT-MAGIC-COOKIE-1) и 32-байтовое шестнадцатеричное число. Несмотря на то что эти данные предназначены для передачи, их можно не учитывать.
3. Введите команду extract имя_файла имя-дисплея. Здесь имя файла может быть любым, а имя дисплея - это имя, которое вы выяснили на предыдущем шаге процедуры. Например, вы можете задать команду extract xfer-auth term. threeroomco.com: 0. В результате запись файла .Xauthorityдля дисплея будет скопирована в указанный файл. Файл используется для передачи ключа на клиентский компьютер.
4. Введите команду exit, чтобы завершить работу с программой xauth.
5. Скопируйте файл, созданный при выполнении команды extract, да клиентский компьютер (удаленный компьютер, на котором расположена программа, предназначенная для выполнения). Сделать это можно различными способами: использовать средства FTP или NFS, перенести файл на дискете и т. д.
6. Зарегистрируйтесь на компьютере, выполняющем функции Х-клиента.
7. Задайте команду xauth, чтобы запустить утилиту xauth на клиентской машине.
8. Введите команду merge имя_файла. В этой команде должно быть указано имя файла, которое вы сгенерировали посредством команды extract и скопировали на клиентский компьютер. (Возможно, вам придется указать путь к файлу.)
9. Задайте команду list. Данная команда, помимо прочих сведений, должна отобразить запись для Х-сервера, которую вы только что включили. Если такая запись отсутствует, это значит, что какие-то из предшествующих действий были выполнены неправильно.
10. Введите команду exit, чтобы завершить работу xauth и сохранить внесенные изменения. (Заметьте, что в xauth также предусмотрена команда quit, которая не сохраняет изменения. Команду quit надо использовать в том случае, если при выполнении данной процедуры были допущены ошибки.)
Если на обоих компьютерах инсталлированы средства SSH, вы можете вместо описанной выше процедуры выполнить единственную команду.
# xauth list х_сервер : 0 | sed -e 's/A /add /' | ssh \ х_клиент -х xauth
В данном случае xauth вызывается в командной строке, sed используется для включения команды add в начало выходных данных, кроме того, утилита xauth запускается также на стороне Х-клиента. При вызове данной команды необходимо учитывать следующее.
- Вместох_сервер надо указать имя компьютера, за которым вы работаете, а вместо х клиент - имя компьютера, на котором должна выполняться клиент-программа.
- Между add и последующей косой чертой (/) должен быть пробел. Эта команда передается утилите xauth на клиентском компьютере, и пробел должен отделять add от имени дисплея.
- Если конфигурация SSH предполагает ввод пароля либо фразы пароля, вам придется ввести соответствующие данные.
С этого момента Х-сервер будет принимать обращения от Х-клиентов, но, чтобы эти программы могли работать совместно, вам придется установить на клиентском компьютере опцию, позволяющую взаимодействовать с Х-сервером (этот вопрос будет подробнее рассмотрен в следующем разделе). При установлении соединения клиент X Window обратится к файлу . Xauthority за ключом, соответствующим серверу.
Поскольку работа xauth основана на применении ключа, который известен только серверу и авторизованному клиенту, она обеспечивает более высокий уровень защиты, чем xhost. Кроме того, при использовании xauth доступ к серверу предоставляется только отдельным пользователям. Х-сервер становится более устойчивым к атакам, осуществляемым путем подмены IP-адреса. Недостатком данного способа является передача ключей в незакодированном виде. Если локальная сеть не обеспечивает безопасность передаваемых данных либо если клиент с сервером взаимодействуют по Internet, ключ может быть похищен и злоумышленник получит доступ к Х-серверу. Если при обмене данными в системе X Window необходимо обеспечить высокий уровень защиты, надо использовать SSH-соединение. Вопросы поддержки Х-взаимодействия посредством SSH будут подробно рассмотрены в следующем разделе.
ЗАМЕТКУ
средством XDM, GDM или KDM. Если вы запускаете Х-сервер с помощью startx, поддержка xauth в ряде систем будет отсутствовать. В некоторых случаях вам придется отредактировать сценарий startx (он обычно располагается в каталоге /usr/XHR6/bin) так, чтобы в нем присутствовала опция -auth файл_авторизации; в качестве файла авторизации обычно указывается файл .Xauthority, находящийся в рабочем каталоге. Часто в редактировании startx нет необходимости.