Установка Dropbox на Debian 10 :проблема с libpango

Переадресация SSH X11 — это нечто большее, чем обычная переадресация портов, и, вероятно, это самый простой способ добиться того, чего вы хотите.по крайней мере, с точки зрения пользователя .

Если вы хотите, чтобы технически было проще, вам нужно понять, как изначально предполагалось использовать X11.

В среде с несколькими компьютерами с поддержкой X11 -информация о пользователях может централизованно управляться с помощью NIS, а домашние каталоги могут совместно использоваться с выделенного дискового сервера для всех других компьютеров с NFS (с небольшим количеством автоматического монтирования. брошен в ). Все компьютеры также должны иметь возможность разрешать имена хостов друг друга. Предполагалось, что в доверенной внутренней сети вы ()не отключите порт прослушивания TCP вашего сервера X11.

В такой среде вы можете подключаться с одного хоста к другому, и вам нужно только убедиться, что DISPLAYпеременная среды установлена ​​​​правильно, чтобы любая удаленная клиентская программа X11 могла установить прямое соединение с вашим локальным сервером X11, и таким образом, на ваш локальный дисплей. Поскольку домашние каталоги являются общими для NFS, один и тот же ~/.Xauthorityбудет виден как удаленному, так и локальному хосту.

Если бы не было НИС? Это не проблема для X11 :, он не заботится об идентичности. Пока любой клиент, подключающийся к серверу X11, может предоставить правильный файл cookie аутентификации X11 из файла ~/.Xauthority(или файла по умолчанию, отличного от -, на который указывает переменная среды XAUTHORITY), X11 будет работать.. Однако без общих назначений номеров UID/GID совместное использование домашних каталогов может оказаться невозможным.

Без общего домашнего каталога? В этом случае вам также потребуется передать файл cookie аутентификации X11, как правило, извлекая его на хосте дисплея, например, с помощью. xauth nextract /some/file :0.0, затем получить содержимое /some/file, переданное на удаленный хост любым способом, и использовать там xauth nmerge, чтобы добавить его в файл ~/.Xauthorityудаленного хоста.

(Или вы можете использовать xhost +, чтобы отключить проверку безопасности либо полностью, либо только для определенного удаленного хоста.Но это оказалось очень плохой идеей,:если на удаленном хосте были другие пользователи, это открывало вам доступ xsnowк вторжению, или к xroachзаражению, или к худшим вещам, таким как получение все ваши события клавиатуры и мыши для всего сеанса X11 отслеживаются.)

Но незашифрованный протокол X11 оказался довольно слабым местом в системе безопасности. Из-за законов США об экспорте криптовалюты в то время мир остановился на использовании SSH с переадресацией X11 и отключением TCP-порта сервера X11. Стало нормой видеть, что X-сервер запускается как Xorg -nolisten tcp <other options...>.

Совсем недавно X.org признал это и перевернул логику прослушивания TCP :Если ваш дистрибутив Linux запускает сервер X11 без опции -nolisten tcpпо умолчанию, это может быть связано с тем, что ваша версия сервера X11 на самом деле требует явного -listen tcpдля включения классического и небезопасного прослушивателя TCP X11.

Так что... да, можно:

• включить прослушиватель TCP на сервере X11 вашего хоста
• убедитесь, что ваша виртуальная машина может разрешить IP-адрес хоста и подключиться к порту хоста 6000 (= соответствует DISPLAY :0.0через TCP)
• настроить вашу виртуальную машину так, чтобы переменная DISPLAYуказывала наkvmhost:0.0
• предпримите необходимые шаги для передачи файла cookie аутентификации X11 на виртуальную машину

Это позволило бы X11 работать «классическим способом» с минимальной дополнительной технической сложностью. Но на самом деле настроить гораздо сложнее, чем просто использовать ssh -X virtualmachine, и это может открыть вас для различных старых, хорошо -известных атак.