Xpra: различия между версиями

Описание

• Сайт: https://xpra.org
• Страница проекта на GitHub: https://github.com/Xpra-org/xpra

Xpra — это инструмент, который запускает программы X11, обычно на удаленном хосте, и направляет их отображение на локальный компьютер без потери состояния (позволяет отключение и повторное подключение без прерывания перенаправленного приложения).

Xpra может предоставить удаленный доступ как к отдельным приложениям, так и к новым/существующим сеансам рабочего стола.

Xpra не имеет root-доступа: т.е. приложения, перенаправленные xpra, отображаются на локальном рабочем столе как обычные окна, управляемые локальным оконным менеджером. Xpra также использует собственный протокол, который самонастраивается и относительно нечувствителен к задержкам.

На сервере утилита Xpra запускает в режиме де­мона нужную программу с заданным идентификатором сеанса, а на клиенте происходит присоединение к сеансу с этим идентификатором.

Доступ к сеансам можно получить по SSH или через защищённые паролем сокеты TCP (с SSL или без).

Установка

Установить пакет xpra на сервере и на клиенте:

# apt-get install xpra

Можно использовать клиент html5, и в этом случае на клиенте ничего устанавливать не нужно. А на сервере, начиная с xpra версии 4.4.4, необходимо дополнительно установить пакет xpra-html5:

# apt-get install xpra-html5

Режимы работы

Запуск приложения

Запуск приложения или бесшовный режим (seamless) — позволяет пересылать клиенту отдельные окна приложений, эти окна появляются на рабочем столе клиента так же, как и другие локальные приложения.

Все операции по управлению окнами выполняются непосредственно клиентской ОС или оконным менеджером, поэтому любые задержки между клиентом и сервером не мешают действиям по управлению окнами (сворачивание, перемещение, изменение размера окна).

Пример запуска приложения xterm удалённо, через SSH, без предварительного запуска xpra на сервере:

$ xpra start ssh://user@192.168.0.101 --start="xterm"

Вместо параметра --start=команда, можно использовать параметр --start-child=команда, позволяющий учитывать параметр --exit-with-children. Если параметр --exit-with-children=yes, то сервер xpra будет отслеживать состояние дочерних элементов, запущенных --start-child, и автоматически завершится, когда последний из них завершит работу.

Запуск приложения, с предварительным запуском сервера xpra:

1. На сервере: запустить экземпляр сервера xpra, автоматически выбрать дисплей и запустить программу (например, xterm) на этом виртуальном дисплее:

   $ xpra start --start=kolourpaint
   Entering daemon mode; any further errors will be reported to:
     '/run/user/500/xpra/1/server.log'
   

2. С клиента подключиться к этому экземпляру сервера:

   $ xpra attach ssh://user@192.168.0.101/1
   

Локальное подключение:

1. Запустить экземпляр сервера xpra на дисплее 101 (или автоматически выбрать дисплей) и запустить программу (например, kolourpaint) на этом виртуальном дисплее:

   $ xpra start :101 —start=kolourpaint
   Entering daemon mode; any further errors will be reported to:
     '/run/user/500/xpra/101/server.log'
   

2. Подключиться к этому экземпляру сервера

   $ xpra attach :101
   

Подключение с использованием сокетов TCP:

1. Запустить экземпляр сервера xpra:

   $ xpra start --start=xterm --bind-tcp=0.0.0.0:10000
   Entering daemon mode; any further errors will be reported to:
     '/run/user/500/xpra/S9454/server.log'
   Actual display used: :1
   Actual log file name is now: '/run/user/500/xpra/1/server.log'
   

2. Подключиться к серверу, используя выбранный порт:

   $ xpra attach tcp://192.168.0.109:10000
   

Вместо ввода команды подключения, можно создать файл сеанса. В файл сеанса (.xpra) можно записать все параметры сеанса, включая параметры подключения, например (содержимое файла example.xpra):

mode=ssh
host=192.168.0.101
username=user
password=newpassword
speaker=off
autoconnect=true

Двойной щелчок по файлу сеанса запустит средство запуска (launcher), а если файл сеанса содержит значение autoconnect=true, то соединение будет установлено без предварительного отображения диалогового окна средства запуска. Клиент html5 также может генерировать файлы сеанса из своей формы подключения.

Запуск новой графической сессии

Режим рабочего стола (desktop) позволяет запустить вложенный сервер X11.

Запуск приложения в режиме рабочего стола:

$ xpra start-desktop --start=xterm

Та же команда, но с запуском сеанса и подключением к нему со стороны клиента:

$ xpra start-desktop --start=xterm ssh://user@192.168.0.101/

Чтобы запустить оконный менеджер (WM) или среду рабочего стола (DE) достаточно в примере выше заменить команду xterm командой, которая запускает WM или DE, например:

$ xpra start-desktop --start=fluxbox
$ xpra start-desktop --start=xfce4-session
$ xpra start-desktop :101 --start-child=startkde5  --exit-with-children
$ xpra start-desktop ssh://user@192.168.0.99  --exit-with-children --start-child=mate-session

Подключение:

$ xpra attach ssh://user@192.168.0.154:101 --min-size=1200x800 --clipboard-direction=both --clipboard=yes --opengl=no

.

Получение управления запущенной графической сессией (shadow режим)

Этот режим позволяет использовать xpra для удаленного доступа к существующему сеансу рабочего стола (обычно подключенному к реальному физическому дисплею).

Shadow режим поддерживается на всех платформах, включая MS Windows и Mac OS X, но не на Wayland. В некоторых случаях, использование этого режима, может вызвать высокую нагрузку на процессор как на сервере, так и на клиенте. На большинстве платформ затеняемый дисплей должен быть активен: не заблокирован и не выключен.

Если к машине, к дисплею X11 которой необходимо получить удалённый доступ, есть SSH-доступ, можно на клиенте запустить команду:

$ xpra shadow ssh://user@HOST/

В результате выполнения этой команды будет произведено подключение по SSH к HOST, запущен теневой сервер xpra и произведено подключение к нему. Теневой сервер будет остановлен после отключения.

При этом на сервере в трее появится значок («Exit» — остановить сервер, «Read Only» — запретить управление, только просмотр рабочего стола):

Если запуск через SSH не поддерживается или нужно запустить теневой сервер вручную и, возможно, настроить дополнительные параметры, можно запустить его из оболочки. Пример запуска управления запущенной графической сессией через TCP-сокеты:

$xpra shadow :0 --bind-tcp=0.0.0.0:9876

Использование

Некоторые команды xpra

$ xpra start :7
$ xpra start --start=gimp

$ xpra start-desktop --start=xfce4-session

$ xpra attach :7
$ xpra attach ssh://user@test/7

$ xpra detach :7

$ xpra screenshot my.jpg

$ xpra version
4.4.4-r0

$ xpra control :1 min-quality 20

$ xpra showconfig clipboard-direction
clipboard-direction            = 'both'

Строка подключения

Локальный дисплей (только для локальных дисплеев локального пользователя):

:DISPLAY

Подключение с использованием SSH:

ssh://[USERNAME[:PASSWORD]@]HOST[:SSH_PORT]/[DISPLAY][?QUERYSTRING]

QUERYSTRING можно использовать для указания прокси-сервера ssh: ?proxy=ssh://[ИМЯ ПОЛЬЗОВАТЕЛЯ[:ПАРОЛЬ]@]HOST[:SSH_PORT] В этом случае xpra установит SSH-соединение с указанным «прокси-сервером» и с этого хоста xpra установит SSH-соединение с сервером xpra.

Для обратной совместимости режим SSH также поддерживает синтаксис:

ssh:[USERNAME[ PASSWORD]@HOST:DISPLAY

Пароль необходимо указывать только тогда, когда он требуется модулю аутентификации сервера.

$ xpra start --ssh=ssh ssh://user@192.168.0.101 --start=scratch-desktop

ssh = ssh

В режиме TCP используются номера портов, а не номера дисплеев. Если через один TCP-порт доступно несколько дисплеев(например, при использовании прокси-сервера), то можно также указать номер дисплея:

tcp://[USERNAME@]HOST:PORT[/DISPLAY]

Режим SSL (добавляет безопасный уровень сокетов поверх режима TCP):

ssl://[USERNAME@]HOST:PORT[/DISPLAY]

Подключиться по протоколу websocket:

ws://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]

Подключиться по защищённому протоколу websocket (websocket с SSL):

 wss://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]

Дисплей

При запуске xpra сервера (xpra start) можно не использовать номер дисплея, в этом случае он будет выбран автоматически. Номер дисплея будет указан в выводе команды, также его можно увидеть, выполнив команду xpra list.

В противном случае, при запуске сервера xpra может потребоваться указать номер дисплея. Для этого можно выбрать любое число и поставьте перед ним двоеточие (например, :7, :12 и :3117). Необходимо учитывать, что:

• каждый X или xpra сервер, работающие на одном хосте должны использовать уникальный номер дисплея;
• первые несколько цифр (0, 1, 2) обычно используются реальными X серверами.

При указании сервера xpra в клиентской программе (xpra attach, xpra detach, xpra stop, xpra exit, xpra version, xpra info, xpra list, xpra screenshot) можно использовать указание дисплея в формате :DISPLAY при подключении к локальному узлу или одну из форм ssh://[USER@]HOST/DISPLAY при подключении к удалённому узлу. Если на узле запущен только один сеанс xpra, то номер дисплея можно не указывать.

Если при запуске сервера был указан параметр --bind-tcp, --bind-ssl --bind-udp=[HOST]:PORT, --bind-ws, --bind-wss или --bind-vsock, то к нему можно подключаться используя следующие строки: tcp://HOST:PORT[/DISPLAY], udp://HOST:PORT[/DISPLAY], ssl://HOST:PORT[/DISPLAY], ws://HOST:PORT[/DISPLAY], wss://HOST:PORT[/DISPLAY] или vsock://HOST:PORT[/DISPLAY].

Сеть и аутентификация

Xpra поддерживает разные типы сетевых подключений (tcp, ssl, ws, wss, vnc, ssh, vsock, quic и т. д.), и большинство из них можно шифровать и мультиплексировать через один порт.

Безопасность зависит от типа подключения клиента xpra (ssl, quic и ssh считаются самыми безопасными, поскольку они обеспечивают проверку хоста и шифрование в одном протоколе).

Доступ к сеансам Xpra через сокеты TCP можно защитить с помощью модулей аутентификации, но так как они не защищают само сетевое соединение от атак «человек посередине», то для защиты от таких атак можно использовать один из трёх вариантов:

• шифрование AES
• SSL
• SSH

Модули аутентификации

Предпочтительный способ указания аутентификации — в опции сокета.

Примеры:

$ XPRA_PASSWORD=mysecret
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,auth=env

$ SOME_OTHER_ENV_VAR_NAME=mysecret
$ xpra start --bind-tcp=0.0.0.0:10000,auth=env:name=SOME_OTHER_ENV_VAR_NAME

$ xpra start --bind-tcp=0.0.0.0:10000,auth=password:value=mysecret

$ xpra start --bind-tcp=0.0.0.0:10000,auth=file:filename=/path/to/mypasswordfile.txt

$ xpra start --bind-tcp=0.0.0.0:10000,auth=sqlite:filename=/path/to/userlist.sdb

Разные сокеты могут использовать разные модули аутентификации:

$ xpra start --start=xterm -d auth \
--bind-tcp=0.0.0.0:10000,auth=hosts,auth=file:filename=password.txt --bind \
--bind-tcp=0.0.0.0:10001,auth=sys

Имя пользователя можно указать:

• в файлах подключения;
• в строке подключения клиента.

Пример подключения по TCP:

$ xpra attach tcp://username:password@host:port/

Когда модуль аутентификации используется для защиты одного сеанса, многие модули полностью игнорируют имя пользователя, и его можно опустить, например:

$ xpra attach tcp://:password@host:port/

Модули kerberos-password, ldap, ldap3, sys (pam и win32), sqlite, multifile и u2f используют для аутентификации, как имя пользователя, так и пароль.

Процесс аутентификации:

• если на сервере не настроена аутентификация, клиентское соединение должно быть принято;
• если у клиента не настроена аутентификация, может появиться диалоговое окно запроса пароля, и соединение завершится ошибкой аутентификации, если правильное значение не будет указано;
• если указано несколько модулей аутентификации, клиент может вызвать несколько диалогов аутентификации;
• то, как клиент обрабатывает вызовы, отправленные сервером, можно настроить с помощью параметра challenge-handlers, порядок по умолчанию: uri (независимо от того, какой пароль может быть указан в строке подключения), файл (если использовалась опция password-file), env (если присутствует переменная окружения), kerberos, gss, keycloak, u2f, prompt.

Примечания специфичные для конкретных модулей и платформ (эта информация относится ко всем клиентам, кроме клиента HTML5):

• каждый модуль аутентификации указывает тип хеширования пароля, который он поддерживает (обычно HMAC);
• некоторые модули аутентификации (pam, win32, kerberos-password, ldap и ldap3) требуют отправки пароля для выполнения аутентификации на сервер — поэтому они используют слабое хеширование xor, которое небезопасно;
• необходимо использовать шифрование, чтобы иметь возможность использовать xor-хеширование, чтобы пароль был защищен во время обмена: система откажется отправлять xor-хешированный пароль в незашифрованном виде;
• шифрование обрабатывается перед аутентификацией;
• при использовании сокетов TCP, аутентификация по паролю уязвима для атак «человек посередине», когда злоумышленник может перехватить первоначальный обмен и использовать украденный ответ на запрос аутентификации для доступа к сеансу. Для предупреждения этой атаки следует использовать шифрование;
• клиент не проверяет подлинность сервера, использование шифрования позволяет это исправить;
• включение в журнал информации об аутентификации (-d auth) может привести к утечке некоторой аутентификационной информации;
• обеспечить безопасное соединение может транспорт SSH.

SSH

OpenSSH

К серверам, на которых запущен SSH-сервер, доступ к сеансам xpra возможен без какой-либо дополнительной настройки, например:

$ xpra attach ssh://USERNAME@HOST/DISPLAY

Аналогично можно запускать новые сессии и подключаться к ним одной командой:

$ xpra start ssh://USERNAME@HOST/ --start=xterm

Встроенный SSH-сервер

Этот режим можно использовать для создания SSH-соединений на серверах, на которых нет запущенного SSH-сервера (например, на серверах MS Windows), или для получения возможности использования SSH-аутентификации и шифрования, но без разрешения входа в систему по SSH в серверную систему (поскольку данное соединение можно использовать только для подключения к серверу xpra).

Этот режим можно использовать с сокетами TCP, которые в конечном итоге будут обновлены до SSH. Сервер также поддерживает опцию bind-ssh (такие сокеты разрешают только соединения SSH):

$ xpra start --bind-ssh=0.0.0.0:10000 --start=xterm

Подключение клиента к этому порту используя ssh:

$ xpra attach ssh://server:10000/

Закрытый ключ сервера SSH (ssh_host_<rsa/dsa/ecdsa/ed25519>_key) должен быть доступен пользователю, работающему с сервером xpra. По умолчанию при запуске сервер попытается открыть файлы ключей, находящиеся в ~/.ssh/.

Клиент SSH

Клиент может использовать как встроенный клиент ssh (на основе paramiko), так и системный инструмент.

Для настройки клиента ssh используется параметр ssh. По умолчанию установлено значение auto, при котором будет использоваться paramiko, если он присутствует, или системный инструмент, если его нет. На большинстве платформ внешним инструментом по умолчанию является команда ssh (механизм основан на openssh), а в MS Windows это putty plink.

Пример использования системного ssh-клиента:

$ xpra start --ssh=ssh ssh://user@server --start=xterm

Если дописать в файл ~/.xpra/xpra.conf строку ssh = ssh, то клиент можно не указывать:

$ xpra start ssh://user@server --start=xterm

Бэкенд paramiko встроен в код подключения клиента и обеспечивает лучшую диагностику (-d ssh), а также предоставляет графический интерфейс для подтверждения ключей хоста, ввода ключевых фраз-паролей или паролей.

Paramiko может принимать параметры конфигурации в командной строке:

• auth — позволяет указать используемые методы аутентификации в том порядке, в котором они будут использоваться. Доступные значения: agent, key, password, none;
• stricthostkeychecking — указывает, что ssh не должен автоматически добавлять ключи хоста в файл ~/.ssh/known_hosts и отказывается подключаться к хостам, чей ключ хоста изменился. Доступные значения: yes (по умолчанию), no.

Можно указать несколько параметров в виде строки, разделенной запятыми, например: --ssh=paramiko:auth=agent+key,stricthostkeychecking=no:

$ xpra start --ssh=paramiko:auth=agent+key ssh/user@192.168.0.99:22 -d ssh --start=xterm

Пароль можно указать в URI командной строки:

$ xpra attach ssh://USERNAME:PASSWORD@HOSTNAME/

Шифрование AES

Шифрование AES следует использовать, если есть возможность безопасно передать ключ AES каждому клиенту.

Уровень шифрования AES Xpra использует криптографическую библиотеку python для шифрования сетевых пакетов с помощью AES-256.

Ключ шифрования можно сохранить в файле или указать с помощью параметра keydata. Если не указано ни того, ни другого и используется модуль аутентификации, в качестве данных ключа будет использоваться пароль.

Пример использования шифрования с ключом, сохранённым в файле:

1. Сгененрировать ключ:

   $ uuidgen > ./key.txt
   

2. Передать ключ на клиентский узел
3. Запустить сервер:

   $ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=/home/user/key.txt -d crypto
   

4. Подключение на клиенте (содержимое файла key.txt должно быть одинаковым на клиенте и сервере):

   $ xpra attach "tcp://server:10000/?encryption=AES&encryption-keyfile=key.txt"
   

Начиная с xpra версии 4.3, клиент может указать точный режим шифрования AES, например, encryption=AES-GCM.

Пример запуска сервера, когда порт 10000 использует шифрование, а порт 10001 — нет:

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=./key.txt --bind-tcp=0.0.0.0:10001 -d crypto

В новых версиях вместо использования параметра encryption-keyfile (keyfile), для указания ключа шифрования можно использовать параметр keydata:

• keydata=0x... — для шестнадцатеричных ключей;
• keydata=base64:... — для ключей в кодировке base64;
• keydata=... — для простых текстовых ключей.

Недостатком такого способа является то, что ключевые данные могут попасть в список процессов. Однако в некоторых случаях может быть проще создать команды, для запуска которых не требуются дополнительные файлы.

Пример с простым текстовым ключом в keydata:

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,keydata=0123456789ABCDEF -d crypto
$ xpra attach "tcp://server:10000/?encryption=AES&keydata=0123456789ABCDEF"

SSL

Запустить сервер с поддержкой TCP и SSL, используя существующий сертификат cert.pem (сертификат должен быть предварительно создан):

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 --ssl-cert=/path/to/ssl-cert.pem

Подключение:

$ xpra attach ssl://server:10000/

Чтобы избежать ошибки, когда сервер использует самоподписанный сертификат можно использовать один из вариантов:

• добавить параметр --ssl-server-verify-mode=none в строку подключения клиента:

  $ xpra attach ssl://server:10000/ --ssl-server-verify-mode=none
  

• скопировать ключ клиенту, и использовать параметр ssl-ca-certs, чтобы указать ключ для проверки:

  $ xpra attach ssl://server:10000/ --ssl-ca-certs=cert.pem
  

Генерация самоподписанного сертификата:

$ openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem -sha256
$ cat key.pem cert.pem > ssl-cert.pem

После настройки сервера для SSL (обычно путем добавления параметра --ssl-cert) его сокеты TCP (параметр bind-tcp) могут быть автоматически обновлены до:

• ssl;
• http и ws (веб-сокеты) можно обновить до https и wss (защищенные веб-сокеты).

Это позволяет использовать один порт с несколькими протоколами (включая также SSH), которые могут легче проходить через некоторые брандмауэры и могут требоваться некоторыми сетевыми политиками. Клиентские сертификаты также могут использоваться для аутентификации.

TCP-сокеты

Запуск на сервере:

$ xpra start --start=kolourpaint --bind-tcp=0.0.0.0:9878

или для управления запущенной графической сессией:

$ xpra shadow --bind-tcp=0.0.0.0:9878

Подключение:

$ xpra attach ws://192.168.0.154:9878

Этот же адрес можно открыть в веб-браузере:

Параметры подключения можно указать с помощью диалоговой формы подключения (http://host:port/connect.html) или указаны как параметры URL, например uri|http://192.168.0.154:9878/?username=user.

Создание TCP сеанса (начиная с версии 4.0.1-alt1 с защитой паролем (пароль записан в файл password):

$ xpra start --start=kolourpaint --bind-tcp=0.0.0.0:9878,auth=file:filename=./password

При подключении указать имя пользователя (и по запросу ввести пароль):

$ xpra attach ws:user//192.168.0.154:9878

Графический интерфейс

Графический интерфейс xpra («Меню запуска приложений» → «Интернет/Сеть» → «Xpra»):

«Browse» — просмотреть список и подключиться к локальному дисплею.

«Connect» — подключиться к удалённому серверу :

«Shadow» — предоставить доступ к рабочему столу.

«Start» — запустить сервер xpra: