Xpra

Материал из ALT Linux Wiki

Описание

Xpra — это инструмент, который запускает программы X11, обычно на удаленном хосте, и направляет их отображение на локальный компьютер без потери состояния (позволяет отключение и повторное подключение без прерывания перенаправленного приложения).

Xpra может предоставить удаленный доступ как к отдельным приложениям, так и к новым/существующим сеансам рабочего стола.

Xpra не имеет root-доступа: т.е. приложения, перенаправленные xpra, отображаются на локальном рабочем столе как обычные окна, управляемые локальным оконным менеджером. Xpra также использует собственный протокол, который самонастраивается и относительно нечувствителен к задержкам.

На сервере утилита Xpra запускает в режиме де­мона нужную программу с заданным идентификатором сеанса, а на клиенте происходит присоединение к сеансу с этим идентификатором.

Доступ к сеансам можно получить по SSH или через защищённые паролем сокеты TCP (с SSL или без).

Установка

Установить пакет xpra на сервере и на клиенте:

# apt-get install xpra

Можно использовать клиент html5, и в этом случае на клиенте ничего устанавливать не нужно. А на сервере, начиная с xpra версии 4.4.4, необходимо дополнительно установить пакет xpra-html5:

# apt-get install xpra-html5

Режимы работы

Запуск приложения

Запуск приложения или бесшовный режим (seamless) — позволяет пересылать клиенту отдельные окна приложений, эти окна появляются на рабочем столе клиента так же, как и другие локальные приложения.

Все операции по управлению окнами выполняются непосредственно клиентской ОС или оконным менеджером, поэтому любые задержки между клиентом и сервером не мешают действиям по управлению окнами (сворачивание, перемещение, изменение размера окна).

Бесшовный режим xpra

Примечание: Этот режим недоступен в MS Windows и MacOS.


Пример запуска приложения xterm удалённо, через SSH, без предварительного запуска xpra на сервере:

$ xpra start ssh://user@192.168.0.101 --start="xterm"
Примечание: И xpra и запускаемое приложение должны быть установлены на сервере.


Вместо параметра --start=команда, можно использовать параметр --start-child=команда, позволяющий учитывать параметр --exit-with-children. Если параметр --exit-with-children=yes, то сервер xpra будет отслеживать состояние дочерних элементов, запущенных --start-child, и автоматически завершится, когда последний из них завершит работу.

Запуск приложения, с предварительным запуском сервера xpra:

  1. На сервере: запустить экземпляр сервера xpra, автоматически выбрать дисплей и запустить программу (например, xterm) на этом виртуальном дисплее:
    $ xpra start --start=kolourpaint
    Entering daemon mode; any further errors will be reported to:
      '/run/user/500/xpra/1/server.log'
    
  2. С клиента подключиться к этому экземпляру сервера:
    $ xpra attach ssh://user@192.168.0.101/1
    

Локальное подключение:

  1. Запустить экземпляр сервера xpra на дисплее 101 (или автоматически выбрать дисплей) и запустить программу (например, kolourpaint) на этом виртуальном дисплее:
    $ xpra start :101 —start=kolourpaint
    Entering daemon mode; any further errors will be reported to:
      '/run/user/500/xpra/101/server.log'
    
  2. Подключиться к этому экземпляру сервера
    $ xpra attach :101
    

Подключение с использованием сокетов TCP:

  1. Запустить экземпляр сервера xpra:
    $ xpra start --start=xterm --bind-tcp=0.0.0.0:10000
    Entering daemon mode; any further errors will be reported to:
      '/run/user/500/xpra/S9454/server.log'
    Actual display used: :1
    Actual log file name is now: '/run/user/500/xpra/1/server.log'
    
  2. Подключиться к серверу, используя выбранный порт:
    $ xpra attach tcp://192.168.0.109:10000
    
Внимание! Использование параметра --bind-tcp без использования параметра tcp-auth не рекомендуется и представляет серьезную угрозу безопасности (особенно при 0.0.0.0), т.к. кто угодно может подключиться к этому порту и получить доступ к сеансу. Доступ к сеансам Xpra в режиме TCP и websocket можно защитить, используя аутентификацию и шифрование.


Вместо ввода команды подключения, можно создать файл сеанса. В файл сеанса (.xpra) можно записать все параметры сеанса, включая параметры подключения, например (содержимое файла example.xpra):

mode=ssh
host=192.168.0.101
username=user
password=newpassword
speaker=off
autoconnect=true

Двойной щелчок по файлу сеанса запустит средство запуска (launcher), а если файл сеанса содержит значение autoconnect=true, то соединение будет установлено без предварительного отображения диалогового окна средства запуска. Клиент html5 также может генерировать файлы сеанса из своей формы подключения.

Запуск новой графической сессии

Режим рабочего стола (desktop) позволяет запустить вложенный сервер X11.

Запуск приложения в режиме рабочего стола:

$ xpra start-desktop --start=xterm

Та же команда, но с запуском сеанса и подключением к нему со стороны клиента:

$ xpra start-desktop --start=xterm ssh://user@192.168.0.101/

Xpra. Режим рабочего стола

Чтобы запустить оконный менеджер (WM) или среду рабочего стола (DE) достаточно в примере выше заменить команду xterm командой, которая запускает WM или DE, например:

$ xpra start-desktop --start=fluxbox
$ xpra start-desktop --start=xfce4-session
$ xpra start-desktop :101 --start-child=startkde5  --exit-with-children
$ xpra start-desktop ssh://user@192.168.0.99  --exit-with-children --start-child=mate-session

Подключение:

$ xpra attach ssh://user@192.168.0.154:101 --min-size=1200x800 --clipboard-direction=both --clipboard=yes --opengl=no
Примечание: Чтобы сеанс завершался при выходе из WM, следует использовать --start-child и --exit-with-children

.

Получение управления запущенной графической сессией (shadow режим)

Этот режим позволяет использовать xpra для удаленного доступа к существующему сеансу рабочего стола (обычно подключенному к реальному физическому дисплею).

Shadow режим поддерживается на всех платформах, включая MS Windows и Mac OS X, но не на Wayland. В некоторых случаях, использование этого режима, может вызвать высокую нагрузку на процессор как на сервере, так и на клиенте. На большинстве платформ затеняемый дисплей должен быть активен: не заблокирован и не выключен.

Если к машине, к дисплею X11 которой необходимо получить удалённый доступ, есть SSH-доступ, можно на клиенте запустить команду:

$ xpra shadow ssh://user@HOST/

В результате выполнения этой команды будет произведено подключение по SSH к HOST, запущен теневой сервер xpra и произведено подключение к нему. Теневой сервер будет остановлен после отключения.

При этом на сервере в трее появится значок («Exit» — остановить сервер, «Read Only» — запретить управление, только просмотр рабочего стола):

Xpra. Управление режимом shadow

Если запуск через SSH не поддерживается или нужно запустить теневой сервер вручную и, возможно, настроить дополнительные параметры, можно запустить его из оболочки. Пример запуска управления запущенной графической сессией через TCP-сокеты:

$xpra shadow :0 --bind-tcp=0.0.0.0:9876


Использование

Некоторые команды xpra

Команда Описание Пример
xpra start Запустить новый сервер xpra (при запуске удалённого сервера со строкой подключения ssh://HOST/DISPLAY новый сеанс также будет присоединен)
$ xpra start :7
$ xpra start --start=gimp
xpra start-desktop Запустить вложенный сервер X11, все дочерние команды будут запускаться на вложенном сервере X11
$ xpra start-desktop --start=xfce4-session
xpra attach Подключиться к работающему серверу xpra. Любые приложения, использующие этот сервер, будут перенаправляться на текущий экран
$ xpra attach :7
$ xpra attach ssh://user@test/7
xpra detach Отсоединить данный дисплей xpra
$ xpra detach :7
xpra screenshot Сделать снимок экрана и сохранить его в файле с указанным именем (снимки экрана можно делать только при подключенном клиенте)
$ xpra screenshot my.jpg
xpra version Вывести версию сервера
$ xpra version
4.4.4-r0
xpra info Вывести версию, статус и статистику сервера
xpra top Отобразить ключевые атрибуты работоспособности сервера
xpra control Изменить параметры запущенного сервера. Список команд можно получить, указав «help» в качестве команды (например, xpra control :1 help)
$ xpra control :1 min-quality 20
xpra stop Подключиться к работающему серверу xpra и запросить его немедленное завершение. Обычно это приводит к тому, что любые приложения, использующие этот сервер, также прекращают работу
xpra exit Подключиться к работающему серверу xpra и запросить его немедленное завершение. В отличие от команды xpra stop, процесс Xvfb и его клиенты X11 (если таковые имеются) останутся запущенными.
xpra showconfig Вывести конфигурацию xpra. В качестве дополнительных аргументов можно указать определенные параметры, или использовать специальное значение all, чтобы отобразить все параметры
$ xpra showconfig clipboard-direction
clipboard-direction            = 'both'
xpra list Вывести список всех серверов xpra, запущенные текущим пользователем на текущей машине
xpra shadow Предоставить доступ к рабочему столу (существующему дисплею X11). Если активен только один дисплей X11 и его номер меньше 10, он может быть обнаружен автоматически. Для этого режима работы настоятельно рекомендуется использовать видеокодек (h264 или vp8)
xpra proxy Позволяет одному серверу проксировать соединения для нескольких других, потенциально выступая в качестве точки входа для балансировки нагрузки или аутентификации для многих сеансов. Прокси-сервер будет создавать новый процесс для каждого прокси-соединения, этот прокси-процесс создаст неаутентифицированный новый сокет домена unix, который можно использовать с подкомандами info, version и stop.

Строка подключения

Локальный дисплей (только для локальных дисплеев локального пользователя):

:DISPLAY

Подключение с использованием SSH:

ssh://[USERNAME[:PASSWORD]@]HOST[:SSH_PORT]/[DISPLAY][?QUERYSTRING]

QUERYSTRING можно использовать для указания прокси-сервера ssh: ?proxy=ssh://[ИМЯ ПОЛЬЗОВАТЕЛЯ[:ПАРОЛЬ]@]HOST[:SSH_PORT] В этом случае xpra установит SSH-соединение с указанным «прокси-сервером» и с этого хоста xpra установит SSH-соединение с сервером xpra.

Для обратной совместимости режим SSH также поддерживает синтаксис:

ssh:[USERNAME[ PASSWORD]@HOST:DISPLAY

Пароль необходимо указывать только тогда, когда он требуется модулю аутентификации сервера.

Примечание: При подключении по ssh может потребоваться указать системный ssh-клиент:
$ xpra start --ssh=ssh ssh://user@192.168.0.101 --start=scratch-desktop

Или дописать в файл ~/.xpra/xpra.conf строку:

ssh = ssh


В режиме TCP используются номера портов, а не номера дисплеев. Если через один TCP-порт доступно несколько дисплеев(например, при использовании прокси-сервера), то можно также указать номер дисплея:

tcp://[USERNAME@]HOST:PORT[/DISPLAY]

Режим SSL (добавляет безопасный уровень сокетов поверх режима TCP):

ssl://[USERNAME@]HOST:PORT[/DISPLAY]

Подключиться по протоколу websocket:

ws://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]

Подключиться по защищённому протоколу websocket (websocket с SSL):

 wss://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]

Дисплей

При запуске xpra сервера (xpra start) можно не использовать номер дисплея, в этом случае он будет выбран автоматически. Номер дисплея будет указан в выводе команды, также его можно увидеть, выполнив команду xpra list.

В противном случае, при запуске сервера xpra может потребоваться указать номер дисплея. Для этого можно выбрать любое число и поставьте перед ним двоеточие (например, :7, :12 и :3117). Необходимо учитывать, что:

  • каждый X или xpra сервер, работающие на одном хосте должны использовать уникальный номер дисплея;
  • первые несколько цифр (0, 1, 2) обычно используются реальными X серверами.

При указании сервера xpra в клиентской программе (xpra attach, xpra detach, xpra stop, xpra exit, xpra version, xpra info, xpra list, xpra screenshot) можно использовать указание дисплея в формате :DISPLAY при подключении к локальному узлу или одну из форм ssh://[USER@]HOST/DISPLAY при подключении к удалённому узлу. Если на узле запущен только один сеанс xpra, то номер дисплея можно не указывать.

Если при запуске сервера был указан параметр --bind-tcp, --bind-ssl --bind-udp=[HOST]:PORT, --bind-ws, --bind-wss или --bind-vsock, то к нему можно подключаться используя следующие строки: tcp://HOST:PORT[/DISPLAY], udp://HOST:PORT[/DISPLAY], ssl://HOST:PORT[/DISPLAY], ws://HOST:PORT[/DISPLAY], wss://HOST:PORT[/DISPLAY] или vsock://HOST:PORT[/DISPLAY].

Сеть и аутентификация

Xpra поддерживает разные типы сетевых подключений (tcp, ssl, ws, wss, vnc, ssh, vsock, quic и т. д.), и большинство из них можно шифровать и мультиплексировать через один порт.

Безопасность зависит от типа подключения клиента xpra (ssl, quic и ssh считаются самыми безопасными, поскольку они обеспечивают проверку хоста и шифрование в одном протоколе).

Доступ к сеансам Xpra через сокеты TCP можно защитить с помощью модулей аутентификации, но так как они не защищают само сетевое соединение от атак «человек посередине», то для защиты от таких атак можно использовать один из трёх вариантов:

  • шифрование AES
  • SSL
  • SSH

Модули аутентификации

Примечание: При использовании для подключения к серверу SSH разделы шифрование и аутентификация можно пропустить (по умолчанию сокеты, используемые ssh, не используют аутентификацию).


Модули аутентификации
Модуль Описание Примечание
allow Аутентификация всегда успешна (используется имя пользователя, предоставленное клиентом) Не безопасно и должно использоваться только для тестирования
none Аутентификация всегда успешна (используется имя пользователя, под которым работает сервер) Не безопасно и должно использоваться только для тестирования
fail Аутентификация всегда не успешна (пароль не запрашивается) Полезно для тестирования
reject Аутентификация всегда не успешна (пароль запрашивается) Полезно для тестирования
env Пароль сопоставляется с указанной переменной среды (по умолчанию XPRA_PASSWORD) --auth=env:name=SOME_OTHER_ENV_VAR_NAME
password Пароль сопоставляется с паролем, указанным с помощью опции value --auth=password:value=mysecret
file Сравнивает пароль с паролем, записанным в файле, указанным с помощью опции filename --auth=file:filename=./password.txt

Содержимое файла пароля будет рассматриваться как двоичные данные, ограничений на кодировку символов или размер файла нет. Следует остерегаться завершающих символов новой строки, которые будут включены в данные пароля (пример создания файла с паролем: echo -n "mypassword" > password.txt)

multifile Сопоставляет имя пользователя и пароль с содержимым файла аутентификации, указанным с помощью опции filename Файл аутентификации должен содержать учетные данные пользователей в формате:

username|password|uid|gid|displays|env_opts|session_opts Имя пользователя и пароль не должны содержать символ вертикальной черты (|), который используется в качестве разделителя. Этот модуль устарел, вместо него следует использовать sqlite

pam Проверяет имя пользователя и пароль с помощью системы PAM Аутентификация ОС Linux
win32 Проверяет имя пользователя и пароль с помощью win32security Аутентификация MS Windows
sys Системная аутентификация Автоматически выбирает соответствующий системный модуль аутентификации (либо pam, либо win32)
sqlite, mysql, sql Сверяет имя пользователя и пароль с файлом базы данных sqlite, указанным с помощью параметра filename (sqlite), или с базой данных, указанной с помощью параметра uri (mysql и sql) Аутентификация будет обработана с использованием следующего запроса (настраивается с помощью параметра password_query): SELECT password FROM users WHERE username=(?)

Сеансы, доступные для каждого пользователя, будут запрашиваться с помощью запроса (настраивается с помощью параметра session_query): SELECT uid, gid, displays, env_options, session_options FROM users WHERE username=(?)

exec Делегирует процедуру аутентификации внешней команде. Команда указывается с помощью атрибута command Команда должна вернуть 0, чтобы разрешить доступ, любое другое значение будет запрещать доступ
peercred Аутентификация SO_PEERCRED
hosts Проверяет хост с помощью системной библиотеки tcp-wrappers Подробнее см. в hosts.allow и hosts.deny
kerberos-password Проверяет имя пользователя и пароль с помощью проверки подлинности Kerberos Модуль не использует билеты Kerberos, и пароль будет отправлен на сервер в виде открытого текста. Следует использовать только для тестирования
kerberos-ticket Проверяет билет Kerberos, полученный клиентом
gss Проверяет билет GSS, полученный клиентом
u2f Запрашивает у клиента токен U2F
ldap Проверяет имя пользователя и пароль на сервере LDAP, используя библиотеку python-ldap
ldap3 Проверяет имя пользователя и пароль на сервере LDAP, используя библиотеку python-ldap3

Предпочтительный способ указания аутентификации — в опции сокета.

Примеры:

$ XPRA_PASSWORD=mysecret
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,auth=env

$ SOME_OTHER_ENV_VAR_NAME=mysecret
$ xpra start --bind-tcp=0.0.0.0:10000,auth=env:name=SOME_OTHER_ENV_VAR_NAME

$ xpra start --bind-tcp=0.0.0.0:10000,auth=password:value=mysecret

$ xpra start --bind-tcp=0.0.0.0:10000,auth=file:filename=/path/to/mypasswordfile.txt

$ xpra start --bind-tcp=0.0.0.0:10000,auth=sqlite:filename=/path/to/userlist.sdb

Разные сокеты могут использовать разные модули аутентификации:

$ xpra start --start=xterm -d auth \
--bind-tcp=0.0.0.0:10000,auth=hosts,auth=file:filename=password.txt --bind \
--bind-tcp=0.0.0.0:10001,auth=sys

Имя пользователя можно указать:

  • в файлах подключения;
  • в строке подключения клиента.

Пример подключения по TCP:

$ xpra attach tcp://username:password@host:port/

Когда модуль аутентификации используется для защиты одного сеанса, многие модули полностью игнорируют имя пользователя, и его можно опустить, например:

$ xpra attach tcp://:password@host:port/

Модули kerberos-password, ldap, ldap3, sys (pam и win32), sqlite, multifile и u2f используют для аутентификации, как имя пользователя, так и пароль.

Процесс аутентификации:

  • если на сервере не настроена аутентификация, клиентское соединение должно быть принято;
  • если у клиента не настроена аутентификация, может появиться диалоговое окно запроса пароля, и соединение завершится ошибкой аутентификации, если правильное значение не будет указано;
  • если указано несколько модулей аутентификации, клиент может вызвать несколько диалогов аутентификации;
  • то, как клиент обрабатывает вызовы, отправленные сервером, можно настроить с помощью параметра challenge-handlers, порядок по умолчанию: uri (независимо от того, какой пароль может быть указан в строке подключения), файл (если использовалась опция password-file), env (если присутствует переменная окружения), kerberos, gss, keycloak, u2f, prompt.

Примечания специфичные для конкретных модулей и платформ (эта информация относится ко всем клиентам, кроме клиента HTML5):

  • каждый модуль аутентификации указывает тип хеширования пароля, который он поддерживает (обычно HMAC);
  • некоторые модули аутентификации (pam, win32, kerberos-password, ldap и ldap3) требуют отправки пароля для выполнения аутентификации на сервер — поэтому они используют слабое хеширование xor, которое небезопасно;
  • необходимо использовать шифрование, чтобы иметь возможность использовать xor-хеширование, чтобы пароль был защищен во время обмена: система откажется отправлять xor-хешированный пароль в незашифрованном виде;
  • шифрование обрабатывается перед аутентификацией;
  • при использовании сокетов TCP, аутентификация по паролю уязвима для атак «человек посередине», когда злоумышленник может перехватить первоначальный обмен и использовать украденный ответ на запрос аутентификации для доступа к сеансу. Для предупреждения этой атаки следует использовать шифрование;
  • клиент не проверяет подлинность сервера, использование шифрования позволяет это исправить;
  • включение в журнал информации об аутентификации (-d auth) может привести к утечке некоторой аутентификационной информации;
  • обеспечить безопасное соединение может транспорт SSH.

SSH

OpenSSH

К серверам, на которых запущен SSH-сервер, доступ к сеансам xpra возможен без какой-либо дополнительной настройки, например:

$ xpra attach ssh://USERNAME@HOST/DISPLAY

Аналогично можно запускать новые сессии и подключаться к ним одной командой:

$ xpra start ssh://USERNAME@HOST/ --start=xterm
Встроенный SSH-сервер

Этот режим можно использовать для создания SSH-соединений на серверах, на которых нет запущенного SSH-сервера (например, на серверах MS Windows), или для получения возможности использования SSH-аутентификации и шифрования, но без разрешения входа в систему по SSH в серверную систему (поскольку данное соединение можно использовать только для подключения к серверу xpra).

Этот режим можно использовать с сокетами TCP, которые в конечном итоге будут обновлены до SSH. Сервер также поддерживает опцию bind-ssh (такие сокеты разрешают только соединения SSH):

$ xpra start --bind-ssh=0.0.0.0:10000 --start=xterm

Подключение клиента к этому порту используя ssh:

$ xpra attach ssh://server:10000/

Закрытый ключ сервера SSH (ssh_host_<rsa/dsa/ecdsa/ed25519>_key) должен быть доступен пользователю, работающему с сервером xpra. По умолчанию при запуске сервер попытается открыть файлы ключей, находящиеся в ~/.ssh/.

Клиент SSH

Клиент может использовать как встроенный клиент ssh (на основе paramiko), так и системный инструмент.

Для настройки клиента ssh используется параметр ssh. По умолчанию установлено значение auto, при котором будет использоваться paramiko, если он присутствует, или системный инструмент, если его нет. На большинстве платформ внешним инструментом по умолчанию является команда ssh (механизм основан на openssh), а в MS Windows это putty plink.

Пример использования системного ssh-клиента:

$ xpra start --ssh=ssh ssh://user@server --start=xterm

Если дописать в файл ~/.xpra/xpra.conf строку ssh = ssh, то клиент можно не указывать:

$ xpra start ssh://user@server --start=xterm

Бэкенд paramiko встроен в код подключения клиента и обеспечивает лучшую диагностику (-d ssh), а также предоставляет графический интерфейс для подтверждения ключей хоста, ввода ключевых фраз-паролей или паролей.

Paramiko может принимать параметры конфигурации в командной строке:

  • auth — позволяет указать используемые методы аутентификации в том порядке, в котором они будут использоваться. Доступные значения: agent, key, password, none;
  • stricthostkeychecking — указывает, что ssh не должен автоматически добавлять ключи хоста в файл ~/.ssh/known_hosts и отказывается подключаться к хостам, чей ключ хоста изменился. Доступные значения: yes (по умолчанию), no.

Можно указать несколько параметров в виде строки, разделенной запятыми, например: --ssh=paramiko:auth=agent+key,stricthostkeychecking=no:

$ xpra start --ssh=paramiko:auth=agent+key ssh/user@192.168.0.99:22 -d ssh --start=xterm

Пароль можно указать в URI командной строки:

$ xpra attach ssh://USERNAME:PASSWORD@HOSTNAME/

Шифрование AES

Шифрование AES следует использовать, если есть возможность безопасно передать ключ AES каждому клиенту.

Уровень шифрования AES Xpra использует криптографическую библиотеку python для шифрования сетевых пакетов с помощью AES-256.

Ключ шифрования можно сохранить в файле или указать с помощью параметра keydata. Если не указано ни того, ни другого и используется модуль аутентификации, в качестве данных ключа будет использоваться пароль.

Пример использования шифрования с ключом, сохранённым в файле:

  1. Сгененрировать ключ:
    $ uuidgen > ./key.txt
    
  2. Передать ключ на клиентский узел
  3. Запустить сервер:
    $ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=/home/user/key.txt -d crypto
    
  4. Подключение на клиенте (содержимое файла key.txt должно быть одинаковым на клиенте и сервере):
    $ xpra attach "tcp://server:10000/?encryption=AES&encryption-keyfile=key.txt"
    

Начиная с xpra версии 4.3, клиент может указать точный режим шифрования AES, например, encryption=AES-GCM.

Пример запуска сервера, когда порт 10000 использует шифрование, а порт 10001 — нет:

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=./key.txt --bind-tcp=0.0.0.0:10001 -d crypto

В новых версиях вместо использования параметра encryption-keyfile (keyfile), для указания ключа шифрования можно использовать параметр keydata:

  • keydata=0x... — для шестнадцатеричных ключей;
  • keydata=base64:... — для ключей в кодировке base64;
  • keydata=... — для простых текстовых ключей.

Недостатком такого способа является то, что ключевые данные могут попасть в список процессов. Однако в некоторых случаях может быть проще создать команды, для запуска которых не требуются дополнительные файлы.

Пример с простым текстовым ключом в keydata:

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,keydata=0123456789ABCDEF -d crypto
$ xpra attach "tcp://server:10000/?encryption=AES&keydata=0123456789ABCDEF"

SSL

Запустить сервер с поддержкой TCP и SSL, используя существующий сертификат cert.pem (сертификат должен быть предварительно создан):

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 --ssl-cert=/path/to/ssl-cert.pem

Подключение:

$ xpra attach ssl://server:10000/

Чтобы избежать ошибки, когда сервер использует самоподписанный сертификат можно использовать один из вариантов:

  • добавить параметр --ssl-server-verify-mode=none в строку подключения клиента:
    $ xpra attach ssl://server:10000/ --ssl-server-verify-mode=none
    
  • скопировать ключ клиенту, и использовать параметр ssl-ca-certs, чтобы указать ключ для проверки:
    $ xpra attach ssl://server:10000/ --ssl-ca-certs=cert.pem
    

Генерация самоподписанного сертификата:

$ openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem -sha256
$ cat key.pem cert.pem > ssl-cert.pem

После настройки сервера для SSL (обычно путем добавления параметра --ssl-cert) его сокеты TCP (параметр bind-tcp) могут быть автоматически обновлены до:

  • ssl;
  • http и ws (веб-сокеты) можно обновить до https и wss (защищенные веб-сокеты).

Это позволяет использовать один порт с несколькими протоколами (включая также SSH), которые могут легче проходить через некоторые брандмауэры и могут требоваться некоторыми сетевыми политиками. Клиентские сертификаты также могут использоваться для аутентификации.

Прокси-сервер

Прокси-сервер используется для запуска или доступа к нескольким сеансам xpra через единую точку входа, не требуя SSH для транспорта или аутентификации.

Такое соединение может потребоваться для хостов с ограниченным количеством общедоступных портов или для клиентов, обращающихся к серверам через брандмауэры с фильтрацией портов (например, можно развернуть прокси-сервер на 80 или 443 порту и получить доступ к разным сеансам с этого порта).

При запуске от имени пользователя root, в случае, когда прокси-сервер работает как системная служба, это также гарантирует, что сеансы переживут среду, из которой они были запущены.

Можно также использовать прокси-сервер Apache.

Конфигурация

В зависимости от настроенного модуля аутентификации прокси-сервер может:

  • раскрыть все локальные сеансы и запустить новые (поведение по умолчанию);
  • предоставить доступ к пользовательскому списку сеансов (например, с помощью модуля проверки подлинности sqlite).
Внимание! В примере, для упрощения, используется модуль аутентификации, который не выполняет никакой проверки!


  1. Запустить экземпляр сервера xpra на дисплее 100 и запустить программу xterm (этот сеанс не отображается через TCP, так как нет опции bind-tcp):
    $ xpra start :100 --start=xterm
    
    $ xpra start :100 --start=xterm
  2. Запустить прокси-сервер, доступный на TCP-порту 14501:
    $ xpra proxy :20 --tcp-auth=allow --bind-tcp=0.0.0.0:14501
    
  3. С клиента подключиться к этому экземпляру сервера:
    Без указания номера дисплея, если для пользователя существует только одна сессия:
    $ xpra attach tcp://foo:bar@PROXYHOST:14501/
    
    С указанием номера дисплея, если для учётной записи пользователя доступно несколько существующих сеансов:
    $ xpra attach tcp://foo:bar@PROXYHOST:14501/100
    
Примечание:
  • в примере используется TCP, но прокси одинаково хорошо работает и с другим транспортом (SSL и т. д.);
  • имя пользователя «foo» и пароль «bar» можно заменить на что угодно, поскольку модуль проверки подлинности не проверяет учетные данные;
  • если запустить прокси от имени пользователя root, все сеансы пользователей будут открыты;
  • если запустить прокси под обычным пользователем, будет открыта только сессия этого пользователя;
  • при запуске прокси-сервера от имени пользователя root, после аутентификации прокси-сервер запускает новый процесс и больше не работает от имени пользователя root;
  • номер дисплея, выбранный для прокси-сервера, используется только для идентификации прокси-сервера и взаимодействия с ним с помощью обычных инструментов (xpra info и т.д.);
  • чтобы использовать порты ниже 1024, можно использовать опцию --min-port и запустить прокси от имени пользователя root.


Как и любой другой экземпляр сервера xpra, к экземпляру прокси также можно обращаться напрямую. Поскольку экземпляры прокси не имеют своего собственного отображаемого номера, каждый экземпляр прокси будет создавать сокет, используя вместо этого идентификатор процесса (например, :proxy-15452), просмотреть их имена, можно используя команду xpra list.

Остановить прокси-сервер можно, как и любые другие серверы, с помощью команды:

$ xpra stop :PROXYDISPLAY

Для остановки отдельного прокси-соединения, следует идентифицировать экземпляр прокси, который нужно остановить, а затем использовать команду:

$ xpra stop :proxy-$PROXYPID

Идентифицировать экземпляры прокси можно несколькими способами:

  • используя системные сетевые инструменты, которые перечисляют процессы и хосты, к которым они подключены (например, lsof, netstat);
  • использовать xpra info для конкретного экземпляра прокси;
  • из файла журнала прокси-сервера;
  • из файла журнала экземпляра прокси и т. д.

Пример настройки удаленных хостов

В примере используется база данных sqlite для предоставления доступа к двум экземплярам удаленного сервера (TARGETHOST) через прокси-сервер TCP (PROXYHOST). Для целей TARGETHOST может быть тот же хост, что и PROXYHOST.

На TARGETHOST запустить два сеанса, к которым нужно получить доступ через PROXYHOST:

$ xpra start :200 --bind-tcp=0.0.0.0:10100 --start=xterm
$ xpra start :201 --bind-tcp=0.0.0.0:10101 --start=xterm

На PROXYHOST запустить прокси-сервер на порту 14501 с использованием модуля аутентификации sqlite:

$ xpra proxy :100 --bind-tcp=0.0.0.0:14501,auth=sqlite:filename=xpra-auth.sdb --socket-dir=/tmp

Добавить пользовательские записи (например, пользователь test с паролем pass), указывающие на сеансы TARGETHOST (192.168.0.102 — это IP-адрес TARGETHOST):

$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb create
$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb add test pass nobody nobody tcp://192.168.0.102:10100/
$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb add test2 pass2 nobody nobody tcp://192.168.0.102:10101/ "" "compression=0"

Подключить клиента через прокси-сервер к первой сессии:

$ xpra attach tcp://test:pass@$PROXYHOST:14501/

Подключение ко второй сессии:

$ xpra attach tcp://test2:pass2@$PROXYHOST:14501/

Чтобы скрыть пароль из истории командной строки и списка процессов, можно использовать файл паролей:

$ echo -n "pass" > password.txt
$ xpra attach --password-file=/home/user/password.txt tcp://foo@$PROXYHOST:14501/

Процесс подключения:

  • клиент подключается к прокси-серверу;
  • прокси-сервер запрашивает у клиента аутентификацию и отправляет ему вызов;
  • клиент отвечает на вызов;
  • прокси-сервер проверяет вызов (и при необходимости отключает пользователя);
  • прокси-сервер идентифицирует желаемый сеанс (тот, который находится в TARGETHOST);
  • прокси-сервер создает новое соединение с реальным сервером (TARGETHOST);
  • прокси-сервер порождает новый процесс;
  • новый прокси-процесс меняет свой uid и gid на «nobody»/«nobody» (только, если прокси-сервер работает от имени пользователя root);
  • пакеты теперь должны проходить между клиентом и реальным сервером.

Дополнительные примечания:

  • для аутентификации между прокси и реальным сервером достаточно указать логин и пароль в строке подключения;
  • можно опустить uid и gid, и будет использоваться специальный пользователь/группа «nobody» (только серверы Posix);
  • в примере используется socket-dir=/tmp, чтобы гарантировать, что экземпляры прокси могут создавать свои сокеты, независимо от того, под каким пользователем они работают. Это не всегда необходимо (например, обычно не требуется при работе без полномочий root);
  • можно указать uid и gid, как используя их имена (например, uid="user", gid="users", только серверы Posix) или числовые значения (например, 500);
  • можно указать более одной строки удаленного сеанса для каждой пары имени пользователя и пароля, используя формат CSV, но тогда клиент должен будет указать, какой из них он хочет, в URL-адресе подключения.

Системный прокси-сервер

Прокси-сервер также можно использовать для динамического предоставления доступа ко всем локальным сеансам.

В этом случае имя пользователя, uid и gid используются для поиска всех сеансов пользователя после его аутентификации, точно так же, как пользователь может составить список сеансов, запустив xpra list. Этот тип прокси-сервера обычно работает от имени пользователя root, чтобы иметь доступ к сеансам для нескольких пользователей.

Этот режим работы нельзя использовать с модулями аутентификации sqlite или multifile, поскольку эти модули явно указывают список сеансов. Не следует использовать модули аутентификации file, env или exec, так как они разрешат доступ ко всем именам пользователей с одним и тем же значением пароля.

Для некоторых модулей аутентификации uid и gid могут быть получены из имени пользователя автоматически с использованием базы данных паролей (например, pam, другие позволяют указать их в качестве опции модуля (например: --tcp-auth=ldap,uid=xpraproxy, gid=xpraproxy), что позволяет нелокальным учетным записям запускать экземпляр прокси-процесса от имени пользователя без полномочий root. Значение по умолчанию: nobody uid и nobody gid может иметь или не иметь достаточных привилегий для выполнения экземпляра прокси-процесса.

Эта служба позволяет запускать и получать доступ к сеансам через один аутентифицированный порт (по умолчанию 14500). Для запуска системного прокси необходим сертификат (начиная с версии xpra 4.4.4-alt3 сертификат создаётся при установке пакета и первый шаг можно пропустить):

  1. Создать сертификат и разместить его в /etc/xpra/:
    # openssl req -new -newkey rsa:4096 -days 3650 -nodes -x509 \
    -subj "/C=RU/ST=Russia/L=Moscow/O=Alt/CN=localhost" \
    -keyout "/etc/xpra/key.pem" -out "/etc/xpra/cert.pem"
    # cat /etc/xpra/key.pem /etc/xpra/cert.pem > /etc/xpra/ssl-cert.pem
    
  2. Запустить службу xpra:
    # systemctl start xpra.service
    

Подключение к существующему сеансу, через системный прокси:

$ xpra attach wss://user@192.168.0.99:14500/ -d auth --ssl-server-verify=none

Или в браузере, если установлен xpra HTML5 Client (xpra-html5: https://192.168.0.99:14500/index.html?username=user (потребуется ввести пароль пользователя)

Xpra-html5. Подключение к существующему сеансу, через системный прокси

Также в браузере можно открыть страницу https://192.168.0.99:14500/connect.html, на которой можно не только указывать имя пользователя/пароль для подключения к существующему сеансу, но и запускать новые:

Xpra-html5.Страница подключения

Журналирование

Журналирование управляется опцией --debug (-d).

Например, запуск сервера xpra с включенной отладкой фокуса:

$ xpra start -d focus --start=xterm

Список возможных категорий журналов можно получить, выполнив команду:

$ xpra -d help

Для записи в журнал событий всех категорий используется значение all (следует избегать применение этого значения, так как вывод будет очень подробным и сложным для восприятия).

Добавление к категории знака «-» отключает для данной категории ведение журнала. Например, регистрировать все категории, кроме window и focus:

$ xpra start :10 -d all,-window,-focus

Категорию журналирования также можно включить с помощью переменных среды. Это может потребоваться, если нет возможности изменить командную строку, или если регистрация должна происходить очень рано. Например, включить отладку «геометрии» с помощью подкоманды attach:

XPRA_GEOMETRY_DEBUG=1 xpra attach

У запущенного сервера xpra можно изменить параметры журналирования с помощью подкоманды control (эту команду можно использовать как на сервере, так и на клиенте):

$ xpra control :DISPLAY debug enable CATEGORY

Сервер также может пересылать команды управления отладкой подключенным к нему клиентам:

$ xpra control :DISPLAY client debug enable geometry

Можно включить сразу несколько категорий:

$ xpra control :2 debug enable window geometry screen

Включить только регистраторы, которые соответствуют категориям с +:

$ xpra control :2  debug disable focus+grab

Конфиденциальная информация, такая как пароли и ключи обычно не отображается в журнале, но все же, используя журнал можно собрать достаточно данных, чтобы представлять реальную угрозу. Хорошей превентивной мерой является отключение удаленного ведения журнала и выключение канала управления сервером.

xpra shell — это очень мощная функция отладки, которая обеспечивает полный доступ ко всем структурам данных, хранящимся на клиенте и сервере. По умолчанию эта функция отключена.

Клиент HTML5

Пример запуска экземпляра сервера:

$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 --html=on

Или:

$ xpra start --start=xterm --bind-ws=0.0.0.0:10000

Теперь можно получить доступ к этому сеансу в веб-браузере:

Xpra. Подключение из веб-браузера

Параметры подключения можно указать с помощью диалоговой формы подключения (http://host:port/connect.html) или указать как параметры URL, например: http://192.168.0.99:10000/?username=user&keyboard_layout=us.

Значения по умолчанию можно указать в файле /etc/xpra/html5-client/default-settings.txt.

Конфигурация
Параметр Описание
Параметры подключения
server Имя хоста или IP-адрес xpra-сервера
port Номер порта xpra-сервера
username Аутентификация на сервере
password Аутентификация на сервере
ssl Включить SSL-соединение с сервером xpra
insecure Разрешить отправку паролей по незашифрованным соединениям (No)
path Путь WebSocket для подключения (обычно не требуется)
display Дисплей для подключения (для прокси-серверов)
password Аутентификация на сервере
encryption Для включения шифрования, следует указать AES-CBC, AES-CTR или AES-CFB
key Ключ шифрования AES
sharing Разрешить другим клиентам подключаться к тому же сеансу (No)
steal Взять на себя управление сеансом и отключить всех существующих клиентов (Yes)
reconnect Автоматически переподключаться при обрыве соединения (Yes)
bandwidth_limit Бюджет пропускной способности в битах в секунду (0 — без ограничений)
override_width Ширина рабочего стола клиента, ширина окна браузера в пикселях (по умолчанию — ширина окна браузера)
Функции
keyboard Включить ввод с клавиатуры
keyboard_layout Раскладка клавиатуры, которую будет использовать клиент (по умолчанию язык браузера)
clipboard Включить общий доступ к буферу обмена
printing Включить переадресацию принтера
file_transfer Включить передачу файлов
swap_keys Поменять местами клавиши Command и Control
scroll_reverse_x Реверс оси X указателя мыши
floating_menu Показывать плавающее меню
toolbar_position Положение панели инструментов по умолчанию (например, top, top-right)
autohide Скрыть большую часть панели инструментов до наведения на нее указателя
sound Переадресация звука с сервера («выход динамика»)
video Разрешить использование программного декодирования видео
Дополнительные параметры
audio_codec Используемый аудиоформат detected)
encoding Кодировка изображения, например, png, jpeg, webp и т. д. (auto)
remote_logging Отправлять важные события на сервер
action Режим подключения, например, start, shadow (connect)
shadow_display Дисплей, если action=shadow
submit Показать диагностику при отключении
start Запустить сервер
exit_with_children Завершить сессию, когда завершается последняя команда запуска (при запуске нового сеанса)
exit_with_clien Завершить сеанс при закрытии соединения (при запуске нового сеанса)

Значения параметров server, port и ssl отражают соединение, которое использовалось для загрузки клиента HTML5 (то, что указано в строке URL-адреса браузера), и эти значения обычно не нужно изменять.


Примечание: Если в окне клиента при ввод с клавиатуры ничего не происходит, попробуйте изменить раскладку клавиатуры (параметр keyboard_layout).


Графический интерфейс

Графический интерфейс xpra («Меню запуска приложений» → «Интернет/Сеть» → «Xpra»):

Графический интерфейс Xpra

«Browse» — просмотреть список и подключиться к локальному дисплею.

Xpra. Список локальных дисплеев

«Connect» — подключиться к удалённому серверу :

Xpra. Подключение к удалённому серверу

«Shadow» — предоставить доступ к рабочему столу.

«Start» — запустить сервер xpra: Запуск сервера Xpra