Xpra
Описание
- Сайт: https://xpra.org
- Страница проекта на GitHub: https://github.com/Xpra-org/xpra
Xpra — это инструмент, который запускает программы X11, обычно на удаленном хосте, и направляет их отображение на локальный компьютер без потери состояния (позволяет отключение и повторное подключение без прерывания перенаправленного приложения).
Xpra может предоставить удаленный доступ как к отдельным приложениям, так и к новым/существующим сеансам рабочего стола.
Xpra не имеет root-доступа: т.е. приложения, перенаправленные xpra, отображаются на локальном рабочем столе как обычные окна, управляемые локальным оконным менеджером. Xpra также использует собственный протокол, который самонастраивается и относительно нечувствителен к задержкам.
На сервере утилита Xpra запускает в режиме демона нужную программу с заданным идентификатором сеанса, а на клиенте происходит присоединение к сеансу с этим идентификатором.
Доступ к сеансам можно получить по SSH или через защищённые паролем сокеты TCP (с SSL или без).
Установка
Установить пакет xpra на сервере и на клиенте:
# apt-get install xpra
Можно использовать клиент html5, и в этом случае на клиенте ничего устанавливать не нужно. А на сервере, начиная с xpra версии 4.4.4, необходимо дополнительно установить пакет xpra-html5:
# apt-get install xpra-html5
Режимы работы
Запуск приложения
Запуск приложения или бесшовный режим (seamless) — позволяет пересылать клиенту отдельные окна приложений, эти окна появляются на рабочем столе клиента так же, как и другие локальные приложения.
Все операции по управлению окнами выполняются непосредственно клиентской ОС или оконным менеджером, поэтому любые задержки между клиентом и сервером не мешают действиям по управлению окнами (сворачивание, перемещение, изменение размера окна).
Пример запуска приложения xterm удалённо, через SSH, без предварительного запуска xpra на сервере:
$ xpra start ssh://user@192.168.0.101 --start="xterm"
Вместо параметра --start=команда, можно использовать параметр --start-child=команда, позволяющий учитывать параметр --exit-with-children. Если параметр --exit-with-children=yes, то сервер xpra будет отслеживать состояние дочерних элементов, запущенных --start-child, и автоматически завершится, когда последний из них завершит работу.
Запуск приложения, с предварительным запуском сервера xpra:
- На сервере: запустить экземпляр сервера xpra, автоматически выбрать дисплей и запустить программу (например, xterm) на этом виртуальном дисплее:
$ xpra start --start=kolourpaint Entering daemon mode; any further errors will be reported to: '/run/user/500/xpra/1/server.log'
- С клиента подключиться к этому экземпляру сервера:
$ xpra attach ssh://user@192.168.0.101/1
Локальное подключение:
- Запустить экземпляр сервера xpra на дисплее 101 (или автоматически выбрать дисплей) и запустить программу (например, kolourpaint) на этом виртуальном дисплее:
$ xpra start :101 —start=kolourpaint Entering daemon mode; any further errors will be reported to: '/run/user/500/xpra/101/server.log'
- Подключиться к этому экземпляру сервера
$ xpra attach :101
Подключение с использованием сокетов TCP:
- Запустить экземпляр сервера xpra:
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 Entering daemon mode; any further errors will be reported to: '/run/user/500/xpra/S9454/server.log' Actual display used: :1 Actual log file name is now: '/run/user/500/xpra/1/server.log'
- Подключиться к серверу, используя выбранный порт:
$ xpra attach tcp://192.168.0.109:10000
Вместо ввода команды подключения, можно создать файл сеанса. В файл сеанса (.xpra) можно записать все параметры сеанса, включая параметры подключения, например (содержимое файла example.xpra):
mode=ssh
host=192.168.0.101
username=user
password=newpassword
speaker=off
autoconnect=true
Двойной щелчок по файлу сеанса запустит средство запуска (launcher), а если файл сеанса содержит значение autoconnect=true, то соединение будет установлено без предварительного отображения диалогового окна средства запуска. Клиент html5 также может генерировать файлы сеанса из своей формы подключения.
Запуск новой графической сессии
Режим рабочего стола (desktop) позволяет запустить вложенный сервер X11.
Запуск приложения в режиме рабочего стола:
$ xpra start-desktop --start=xterm
Та же команда, но с запуском сеанса и подключением к нему со стороны клиента:
$ xpra start-desktop --start=xterm ssh://user@192.168.0.101/
Чтобы запустить оконный менеджер (WM) или среду рабочего стола (DE) достаточно в примере выше заменить команду xterm командой, которая запускает WM или DE, например:
$ xpra start-desktop --start=fluxbox
$ xpra start-desktop --start=xfce4-session
$ xpra start-desktop :101 --start-child=startkde5 --exit-with-children
$ xpra start-desktop ssh://user@192.168.0.99 --exit-with-children --start-child=mate-session
Подключение:
$ xpra attach ssh://user@192.168.0.154:101 --min-size=1200x800 --clipboard-direction=both --clipboard=yes --opengl=no
.
Получение управления запущенной графической сессией (shadow режим)
Этот режим позволяет использовать xpra для удаленного доступа к существующему сеансу рабочего стола (обычно подключенному к реальному физическому дисплею).
Shadow режим поддерживается на всех платформах, включая MS Windows и Mac OS X, но не на Wayland. В некоторых случаях, использование этого режима, может вызвать высокую нагрузку на процессор как на сервере, так и на клиенте. На большинстве платформ затеняемый дисплей должен быть активен: не заблокирован и не выключен.
Если к машине, к дисплею X11 которой необходимо получить удалённый доступ, есть SSH-доступ, можно на клиенте запустить команду:
$ xpra shadow ssh://user@HOST/
В результате выполнения этой команды будет произведено подключение по SSH к HOST, запущен теневой сервер xpra и произведено подключение к нему. Теневой сервер будет остановлен после отключения.
При этом на сервере в трее появится значок («Exit» — остановить сервер, «Read Only» — запретить управление, только просмотр рабочего стола):
Если запуск через SSH не поддерживается или нужно запустить теневой сервер вручную и, возможно, настроить дополнительные параметры, можно запустить его из оболочки. Пример запуска управления запущенной графической сессией через TCP-сокеты:
$xpra shadow :0 --bind-tcp=0.0.0.0:9876
Использование
Некоторые команды xpra
Команда | Описание | Пример |
---|---|---|
xpra start | Запустить новый сервер xpra (при запуске удалённого сервера со строкой подключения ssh://HOST/DISPLAY новый сеанс также будет присоединен) | $ xpra start :7
$ xpra start --start=gimp
|
xpra start-desktop | Запустить вложенный сервер X11, все дочерние команды будут запускаться на вложенном сервере X11 | $ xpra start-desktop --start=xfce4-session
|
xpra attach | Подключиться к работающему серверу xpra. Любые приложения, использующие этот сервер, будут перенаправляться на текущий экран | $ xpra attach :7
$ xpra attach ssh://user@test/7
|
xpra detach | Отсоединить данный дисплей xpra | $ xpra detach :7
|
xpra screenshot | Сделать снимок экрана и сохранить его в файле с указанным именем (снимки экрана можно делать только при подключенном клиенте) | $ xpra screenshot my.jpg
|
xpra version | Вывести версию сервера | $ xpra version
4.4.4-r0
|
xpra info | Вывести версию, статус и статистику сервера | |
xpra top | Отобразить ключевые атрибуты работоспособности сервера | |
xpra control | Изменить параметры запущенного сервера. Список команд можно получить, указав «help» в качестве команды (например, xpra control :1 help) | $ xpra control :1 min-quality 20
|
xpra stop | Подключиться к работающему серверу xpra и запросить его немедленное завершение. Обычно это приводит к тому, что любые приложения, использующие этот сервер, также прекращают работу | |
xpra exit | Подключиться к работающему серверу xpra и запросить его немедленное завершение. В отличие от команды xpra stop, процесс Xvfb и его клиенты X11 (если таковые имеются) останутся запущенными. | |
xpra showconfig | Вывести конфигурацию xpra. В качестве дополнительных аргументов можно указать определенные параметры, или использовать специальное значение all, чтобы отобразить все параметры | $ xpra showconfig clipboard-direction
clipboard-direction = 'both'
|
xpra list | Вывести список всех серверов xpra, запущенные текущим пользователем на текущей машине | |
xpra shadow | Предоставить доступ к рабочему столу (существующему дисплею X11). Если активен только один дисплей X11 и его номер меньше 10, он может быть обнаружен автоматически. Для этого режима работы настоятельно рекомендуется использовать видеокодек (h264 или vp8) | |
xpra proxy | Позволяет одному серверу проксировать соединения для нескольких других, потенциально выступая в качестве точки входа для балансировки нагрузки или аутентификации для многих сеансов. Прокси-сервер будет создавать новый процесс для каждого прокси-соединения, этот прокси-процесс создаст неаутентифицированный новый сокет домена unix, который можно использовать с подкомандами info, version и stop. |
Строка подключения
Локальный дисплей (только для локальных дисплеев локального пользователя):
:DISPLAY
Подключение с использованием SSH:
ssh://[USERNAME[:PASSWORD]@]HOST[:SSH_PORT]/[DISPLAY][?QUERYSTRING]
QUERYSTRING можно использовать для указания прокси-сервера ssh: ?proxy=ssh://[ИМЯ ПОЛЬЗОВАТЕЛЯ[:ПАРОЛЬ]@]HOST[:SSH_PORT] В этом случае xpra установит SSH-соединение с указанным «прокси-сервером» и с этого хоста xpra установит SSH-соединение с сервером xpra.
Для обратной совместимости режим SSH также поддерживает синтаксис:
ssh:[USERNAME[ PASSWORD]@HOST:DISPLAY
Пароль необходимо указывать только тогда, когда он требуется модулю аутентификации сервера.
$ xpra start --ssh=ssh ssh://user@192.168.0.101 --start=scratch-desktop
Или дописать в файл ~/.xpra/xpra.conf строку:
ssh = ssh
В режиме TCP используются номера портов, а не номера дисплеев. Если через один TCP-порт доступно несколько дисплеев(например, при использовании прокси-сервера), то можно также указать номер дисплея:
tcp://[USERNAME@]HOST:PORT[/DISPLAY]
Режим SSL (добавляет безопасный уровень сокетов поверх режима TCP):
ssl://[USERNAME@]HOST:PORT[/DISPLAY]
Подключиться по протоколу websocket:
ws://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]
Подключиться по защищённому протоколу websocket (websocket с SSL):
wss://[USERNAME[:PASSWORD]@]HOST:PORT/[DISPLAY]
Дисплей
При запуске xpra сервера (xpra start) можно не использовать номер дисплея, в этом случае он будет выбран автоматически. Номер дисплея будет указан в выводе команды, также его можно увидеть, выполнив команду xpra list.
В противном случае, при запуске сервера xpra может потребоваться указать номер дисплея. Для этого можно выбрать любое число и поставьте перед ним двоеточие (например, :7, :12 и :3117). Необходимо учитывать, что:
- каждый X или xpra сервер, работающие на одном хосте должны использовать уникальный номер дисплея;
- первые несколько цифр (0, 1, 2) обычно используются реальными X серверами.
При указании сервера xpra в клиентской программе (xpra attach, xpra detach, xpra stop, xpra exit, xpra version, xpra info, xpra list, xpra screenshot) можно использовать указание дисплея в формате :DISPLAY при подключении к локальному узлу или одну из форм ssh://[USER@]HOST/DISPLAY при подключении к удалённому узлу. Если на узле запущен только один сеанс xpra, то номер дисплея можно не указывать.
Если при запуске сервера был указан параметр --bind-tcp, --bind-ssl --bind-udp=[HOST]:PORT, --bind-ws, --bind-wss или --bind-vsock, то к нему можно подключаться используя следующие строки: tcp://HOST:PORT[/DISPLAY], udp://HOST:PORT[/DISPLAY], ssl://HOST:PORT[/DISPLAY], ws://HOST:PORT[/DISPLAY], wss://HOST:PORT[/DISPLAY] или vsock://HOST:PORT[/DISPLAY].
Сеть и аутентификация
Xpra поддерживает разные типы сетевых подключений (tcp, ssl, ws, wss, vnc, ssh, vsock, quic и т. д.), и большинство из них можно шифровать и мультиплексировать через один порт.
Безопасность зависит от типа подключения клиента xpra (ssl, quic и ssh считаются самыми безопасными, поскольку они обеспечивают проверку хоста и шифрование в одном протоколе).
Доступ к сеансам Xpra через сокеты TCP можно защитить с помощью модулей аутентификации, но так как они не защищают само сетевое соединение от атак «человек посередине», то для защиты от таких атак можно использовать один из трёх вариантов:
- шифрование AES
- SSL
- SSH
Модули аутентификации
Модуль | Описание | Примечание |
---|---|---|
allow | Аутентификация всегда успешна (используется имя пользователя, предоставленное клиентом) | Не безопасно и должно использоваться только для тестирования |
none | Аутентификация всегда успешна (используется имя пользователя, под которым работает сервер) | Не безопасно и должно использоваться только для тестирования |
fail | Аутентификация всегда не успешна (пароль не запрашивается) | Полезно для тестирования |
reject | Аутентификация всегда не успешна (пароль запрашивается) | Полезно для тестирования |
env | Пароль сопоставляется с указанной переменной среды (по умолчанию XPRA_PASSWORD) | --auth=env:name=SOME_OTHER_ENV_VAR_NAME |
password | Пароль сопоставляется с паролем, указанным с помощью опции value | --auth=password:value=mysecret |
file | Сравнивает пароль с паролем, записанным в файле, указанным с помощью опции filename | --auth=file:filename=./password.txt
Содержимое файла пароля будет рассматриваться как двоичные данные, ограничений на кодировку символов или размер файла нет. Следует остерегаться завершающих символов новой строки, которые будут включены в данные пароля (пример создания файла с паролем: echo -n "mypassword" > password.txt) |
multifile | Сопоставляет имя пользователя и пароль с содержимым файла аутентификации, указанным с помощью опции filename | Файл аутентификации должен содержать учетные данные пользователей в формате:
username|password|uid|gid|displays|env_opts|session_opts Имя пользователя и пароль не должны содержать символ вертикальной черты (|), который используется в качестве разделителя. Этот модуль устарел, вместо него следует использовать sqlite |
pam | Проверяет имя пользователя и пароль с помощью системы PAM | Аутентификация ОС Linux |
win32 | Проверяет имя пользователя и пароль с помощью win32security | Аутентификация MS Windows |
sys | Системная аутентификация | Автоматически выбирает соответствующий системный модуль аутентификации (либо pam, либо win32) |
sqlite, mysql, sql | Сверяет имя пользователя и пароль с файлом базы данных sqlite, указанным с помощью параметра filename (sqlite), или с базой данных, указанной с помощью параметра uri (mysql и sql) | Аутентификация будет обработана с использованием следующего запроса (настраивается с помощью параметра password_query): SELECT password FROM users WHERE username=(?)
Сеансы, доступные для каждого пользователя, будут запрашиваться с помощью запроса (настраивается с помощью параметра session_query): SELECT uid, gid, displays, env_options, session_options FROM users WHERE username=(?) |
exec | Делегирует процедуру аутентификации внешней команде. Команда указывается с помощью атрибута command | Команда должна вернуть 0, чтобы разрешить доступ, любое другое значение будет запрещать доступ |
peercred | Аутентификация SO_PEERCRED | |
hosts | Проверяет хост с помощью системной библиотеки tcp-wrappers | Подробнее см. в hosts.allow и hosts.deny |
kerberos-password | Проверяет имя пользователя и пароль с помощью проверки подлинности Kerberos | Модуль не использует билеты Kerberos, и пароль будет отправлен на сервер в виде открытого текста. Следует использовать только для тестирования |
kerberos-ticket | Проверяет билет Kerberos, полученный клиентом | |
gss | Проверяет билет GSS, полученный клиентом | |
u2f | Запрашивает у клиента токен U2F | |
ldap | Проверяет имя пользователя и пароль на сервере LDAP, используя библиотеку python-ldap | |
ldap3 | Проверяет имя пользователя и пароль на сервере LDAP, используя библиотеку python-ldap3 |
Предпочтительный способ указания аутентификации — в опции сокета.
Примеры:
$ XPRA_PASSWORD=mysecret
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,auth=env
$ SOME_OTHER_ENV_VAR_NAME=mysecret
$ xpra start --bind-tcp=0.0.0.0:10000,auth=env:name=SOME_OTHER_ENV_VAR_NAME
$ xpra start --bind-tcp=0.0.0.0:10000,auth=password:value=mysecret
$ xpra start --bind-tcp=0.0.0.0:10000,auth=file:filename=/path/to/mypasswordfile.txt
$ xpra start --bind-tcp=0.0.0.0:10000,auth=sqlite:filename=/path/to/userlist.sdb
Разные сокеты могут использовать разные модули аутентификации:
$ xpra start --start=xterm -d auth \
--bind-tcp=0.0.0.0:10000,auth=hosts,auth=file:filename=password.txt --bind \
--bind-tcp=0.0.0.0:10001,auth=sys
Имя пользователя можно указать:
- в файлах подключения;
- в строке подключения клиента.
Пример подключения по TCP:
$ xpra attach tcp://username:password@host:port/
Когда модуль аутентификации используется для защиты одного сеанса, многие модули полностью игнорируют имя пользователя, и его можно опустить, например:
$ xpra attach tcp://:password@host:port/
Модули kerberos-password, ldap, ldap3, sys (pam и win32), sqlite, multifile и u2f используют для аутентификации, как имя пользователя, так и пароль.
Процесс аутентификации:
- если на сервере не настроена аутентификация, клиентское соединение должно быть принято;
- если у клиента не настроена аутентификация, может появиться диалоговое окно запроса пароля, и соединение завершится ошибкой аутентификации, если правильное значение не будет указано;
- если указано несколько модулей аутентификации, клиент может вызвать несколько диалогов аутентификации;
- то, как клиент обрабатывает вызовы, отправленные сервером, можно настроить с помощью параметра challenge-handlers, порядок по умолчанию: uri (независимо от того, какой пароль может быть указан в строке подключения), файл (если использовалась опция password-file), env (если присутствует переменная окружения), kerberos, gss, keycloak, u2f, prompt.
Примечания специфичные для конкретных модулей и платформ (эта информация относится ко всем клиентам, кроме клиента HTML5):
- каждый модуль аутентификации указывает тип хеширования пароля, который он поддерживает (обычно HMAC);
- некоторые модули аутентификации (pam, win32, kerberos-password, ldap и ldap3) требуют отправки пароля для выполнения аутентификации на сервер — поэтому они используют слабое хеширование xor, которое небезопасно;
- необходимо использовать шифрование, чтобы иметь возможность использовать xor-хеширование, чтобы пароль был защищен во время обмена: система откажется отправлять xor-хешированный пароль в незашифрованном виде;
- шифрование обрабатывается перед аутентификацией;
- при использовании сокетов TCP, аутентификация по паролю уязвима для атак «человек посередине», когда злоумышленник может перехватить первоначальный обмен и использовать украденный ответ на запрос аутентификации для доступа к сеансу. Для предупреждения этой атаки следует использовать шифрование;
- клиент не проверяет подлинность сервера, использование шифрования позволяет это исправить;
- включение в журнал информации об аутентификации (-d auth) может привести к утечке некоторой аутентификационной информации;
- обеспечить безопасное соединение может транспорт SSH.
SSH
OpenSSH
К серверам, на которых запущен SSH-сервер, доступ к сеансам xpra возможен без какой-либо дополнительной настройки, например:
$ xpra attach ssh://USERNAME@HOST/DISPLAY
Аналогично можно запускать новые сессии и подключаться к ним одной командой:
$ xpra start ssh://USERNAME@HOST/ --start=xterm
Встроенный SSH-сервер
Этот режим можно использовать для создания SSH-соединений на серверах, на которых нет запущенного SSH-сервера (например, на серверах MS Windows), или для получения возможности использования SSH-аутентификации и шифрования, но без разрешения входа в систему по SSH в серверную систему (поскольку данное соединение можно использовать только для подключения к серверу xpra).
Этот режим можно использовать с сокетами TCP, которые в конечном итоге будут обновлены до SSH. Сервер также поддерживает опцию bind-ssh (такие сокеты разрешают только соединения SSH):
$ xpra start --bind-ssh=0.0.0.0:10000 --start=xterm
Подключение клиента к этому порту используя ssh:
$ xpra attach ssh://server:10000/
Закрытый ключ сервера SSH (ssh_host_<rsa/dsa/ecdsa/ed25519>_key) должен быть доступен пользователю, работающему с сервером xpra. По умолчанию при запуске сервер попытается открыть файлы ключей, находящиеся в ~/.ssh/.
Клиент SSH
Клиент может использовать как встроенный клиент ssh (на основе paramiko), так и системный инструмент.
Для настройки клиента ssh используется параметр ssh. По умолчанию установлено значение auto, при котором будет использоваться paramiko, если он присутствует, или системный инструмент, если его нет. На большинстве платформ внешним инструментом по умолчанию является команда ssh (механизм основан на openssh), а в MS Windows это putty plink.
Пример использования системного ssh-клиента:
$ xpra start --ssh=ssh ssh://user@server --start=xterm
Если дописать в файл ~/.xpra/xpra.conf строку ssh = ssh, то клиент можно не указывать:
$ xpra start ssh://user@server --start=xterm
Бэкенд paramiko встроен в код подключения клиента и обеспечивает лучшую диагностику (-d ssh), а также предоставляет графический интерфейс для подтверждения ключей хоста, ввода ключевых фраз-паролей или паролей.
Paramiko может принимать параметры конфигурации в командной строке:
- auth — позволяет указать используемые методы аутентификации в том порядке, в котором они будут использоваться. Доступные значения: agent, key, password, none;
- stricthostkeychecking — указывает, что ssh не должен автоматически добавлять ключи хоста в файл ~/.ssh/known_hosts и отказывается подключаться к хостам, чей ключ хоста изменился. Доступные значения: yes (по умолчанию), no.
Можно указать несколько параметров в виде строки, разделенной запятыми, например: --ssh=paramiko:auth=agent+key,stricthostkeychecking=no:
$ xpra start --ssh=paramiko:auth=agent+key ssh/user@192.168.0.99:22 -d ssh --start=xterm
Пароль можно указать в URI командной строки:
$ xpra attach ssh://USERNAME:PASSWORD@HOSTNAME/
Шифрование AES
Шифрование AES следует использовать, если есть возможность безопасно передать ключ AES каждому клиенту.
Уровень шифрования AES Xpra использует криптографическую библиотеку python для шифрования сетевых пакетов с помощью AES-256.
Ключ шифрования можно сохранить в файле или указать с помощью параметра keydata. Если не указано ни того, ни другого и используется модуль аутентификации, в качестве данных ключа будет использоваться пароль.
Пример использования шифрования с ключом, сохранённым в файле:
- Сгененрировать ключ:
$ uuidgen > ./key.txt
- Передать ключ на клиентский узел
- Запустить сервер:
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=/home/user/key.txt -d crypto
- Подключение на клиенте (содержимое файла key.txt должно быть одинаковым на клиенте и сервере):
$ xpra attach "tcp://server:10000/?encryption=AES&encryption-keyfile=key.txt"
Начиная с xpra версии 4.3, клиент может указать точный режим шифрования AES, например, encryption=AES-GCM.
Пример запуска сервера, когда порт 10000 использует шифрование, а порт 10001 — нет:
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,encryption-keyfile=./key.txt --bind-tcp=0.0.0.0:10001 -d crypto
В новых версиях вместо использования параметра encryption-keyfile (keyfile), для указания ключа шифрования можно использовать параметр keydata:
- keydata=0x... — для шестнадцатеричных ключей;
- keydata=base64:... — для ключей в кодировке base64;
- keydata=... — для простых текстовых ключей.
Недостатком такого способа является то, что ключевые данные могут попасть в список процессов. Однако в некоторых случаях может быть проще создать команды, для запуска которых не требуются дополнительные файлы.
Пример с простым текстовым ключом в keydata:
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000,encryption=AES,keydata=0123456789ABCDEF -d crypto
$ xpra attach "tcp://server:10000/?encryption=AES&keydata=0123456789ABCDEF"
SSL
Запустить сервер с поддержкой TCP и SSL, используя существующий сертификат cert.pem (сертификат должен быть предварительно создан):
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 --ssl-cert=/path/to/ssl-cert.pem
Подключение:
$ xpra attach ssl://server:10000/
Чтобы избежать ошибки, когда сервер использует самоподписанный сертификат можно использовать один из вариантов:
- добавить параметр --ssl-server-verify-mode=none в строку подключения клиента:
$ xpra attach ssl://server:10000/ --ssl-server-verify-mode=none
- скопировать ключ клиенту, и использовать параметр ssl-ca-certs, чтобы указать ключ для проверки:
$ xpra attach ssl://server:10000/ --ssl-ca-certs=cert.pem
Генерация самоподписанного сертификата:
$ openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout key.pem -sha256
$ cat key.pem cert.pem > ssl-cert.pem
После настройки сервера для SSL (обычно путем добавления параметра --ssl-cert) его сокеты TCP (параметр bind-tcp) могут быть автоматически обновлены до:
- ssl;
- http и ws (веб-сокеты) можно обновить до https и wss (защищенные веб-сокеты).
Это позволяет использовать один порт с несколькими протоколами (включая также SSH), которые могут легче проходить через некоторые брандмауэры и могут требоваться некоторыми сетевыми политиками. Клиентские сертификаты также могут использоваться для аутентификации.
Прокси-сервер
Прокси-сервер используется для запуска или доступа к нескольким сеансам xpra через единую точку входа, не требуя SSH для транспорта или аутентификации.
Такое соединение может потребоваться для хостов с ограниченным количеством общедоступных портов или для клиентов, обращающихся к серверам через брандмауэры с фильтрацией портов (например, можно развернуть прокси-сервер на 80 или 443 порту и получить доступ к разным сеансам с этого порта).
При запуске от имени пользователя root, в случае, когда прокси-сервер работает как системная служба, это также гарантирует, что сеансы переживут среду, из которой они были запущены.
Можно также использовать прокси-сервер Apache.
Конфигурация
В зависимости от настроенного модуля аутентификации прокси-сервер может:
- раскрыть все локальные сеансы и запустить новые (поведение по умолчанию);
- предоставить доступ к пользовательскому списку сеансов (например, с помощью модуля проверки подлинности sqlite).
- Запустить экземпляр сервера xpra на дисплее 100 и запустить программу xterm (этот сеанс не отображается через TCP, так как нет опции bind-tcp):
- $ xpra start :100 --start=xterm
$ xpra start :100 --start=xterm
- Запустить прокси-сервер, доступный на TCP-порту 14501:
$ xpra proxy :20 --tcp-auth=allow --bind-tcp=0.0.0.0:14501
- С клиента подключиться к этому экземпляру сервера:
- Без указания номера дисплея, если для пользователя существует только одна сессия:
$ xpra attach tcp://foo:bar@PROXYHOST:14501/
- С указанием номера дисплея, если для учётной записи пользователя доступно несколько существующих сеансов:
$ xpra attach tcp://foo:bar@PROXYHOST:14501/100
- в примере используется TCP, но прокси одинаково хорошо работает и с другим транспортом (SSL и т. д.);
- имя пользователя «foo» и пароль «bar» можно заменить на что угодно, поскольку модуль проверки подлинности не проверяет учетные данные;
- если запустить прокси от имени пользователя root, все сеансы пользователей будут открыты;
- если запустить прокси под обычным пользователем, будет открыта только сессия этого пользователя;
- при запуске прокси-сервера от имени пользователя root, после аутентификации прокси-сервер запускает новый процесс и больше не работает от имени пользователя root;
- номер дисплея, выбранный для прокси-сервера, используется только для идентификации прокси-сервера и взаимодействия с ним с помощью обычных инструментов (xpra info и т.д.);
- чтобы использовать порты ниже 1024, можно использовать опцию --min-port и запустить прокси от имени пользователя root.
Как и любой другой экземпляр сервера xpra, к экземпляру прокси также можно обращаться напрямую. Поскольку экземпляры прокси не имеют своего собственного отображаемого номера, каждый экземпляр прокси будет создавать сокет, используя вместо этого идентификатор процесса (например, :proxy-15452), просмотреть их имена, можно используя команду xpra list.
Остановить прокси-сервер можно, как и любые другие серверы, с помощью команды:
$ xpra stop :PROXYDISPLAY
Для остановки отдельного прокси-соединения, следует идентифицировать экземпляр прокси, который нужно остановить, а затем использовать команду:
$ xpra stop :proxy-$PROXYPID
Идентифицировать экземпляры прокси можно несколькими способами:
- используя системные сетевые инструменты, которые перечисляют процессы и хосты, к которым они подключены (например, lsof, netstat);
- использовать xpra info для конкретного экземпляра прокси;
- из файла журнала прокси-сервера;
- из файла журнала экземпляра прокси и т. д.
Пример настройки удаленных хостов
В примере используется база данных sqlite для предоставления доступа к двум экземплярам удаленного сервера (TARGETHOST) через прокси-сервер TCP (PROXYHOST). Для целей TARGETHOST может быть тот же хост, что и PROXYHOST.
На TARGETHOST запустить два сеанса, к которым нужно получить доступ через PROXYHOST:
$ xpra start :200 --bind-tcp=0.0.0.0:10100 --start=xterm
$ xpra start :201 --bind-tcp=0.0.0.0:10101 --start=xterm
На PROXYHOST запустить прокси-сервер на порту 14501 с использованием модуля аутентификации sqlite:
$ xpra proxy :100 --bind-tcp=0.0.0.0:14501,auth=sqlite:filename=xpra-auth.sdb --socket-dir=/tmp
Добавить пользовательские записи (например, пользователь test с паролем pass), указывающие на сеансы TARGETHOST (192.168.0.102 — это IP-адрес TARGETHOST):
$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb create
$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb add test pass nobody nobody tcp://192.168.0.102:10100/
$ python3 $SQLITE_AUTH_PY ./xpra-auth.sdb add test2 pass2 nobody nobody tcp://192.168.0.102:10101/ "" "compression=0"
Подключить клиента через прокси-сервер к первой сессии:
$ xpra attach tcp://test:pass@$PROXYHOST:14501/
Подключение ко второй сессии:
$ xpra attach tcp://test2:pass2@$PROXYHOST:14501/
Чтобы скрыть пароль из истории командной строки и списка процессов, можно использовать файл паролей:
$ echo -n "pass" > password.txt
$ xpra attach --password-file=/home/user/password.txt tcp://foo@$PROXYHOST:14501/
Процесс подключения:
- клиент подключается к прокси-серверу;
- прокси-сервер запрашивает у клиента аутентификацию и отправляет ему вызов;
- клиент отвечает на вызов;
- прокси-сервер проверяет вызов (и при необходимости отключает пользователя);
- прокси-сервер идентифицирует желаемый сеанс (тот, который находится в TARGETHOST);
- прокси-сервер создает новое соединение с реальным сервером (TARGETHOST);
- прокси-сервер порождает новый процесс;
- новый прокси-процесс меняет свой uid и gid на «nobody»/«nobody» (только, если прокси-сервер работает от имени пользователя root);
- пакеты теперь должны проходить между клиентом и реальным сервером.
Дополнительные примечания:
- для аутентификации между прокси и реальным сервером достаточно указать логин и пароль в строке подключения;
- можно опустить uid и gid, и будет использоваться специальный пользователь/группа «nobody» (только серверы Posix);
- в примере используется socket-dir=/tmp, чтобы гарантировать, что экземпляры прокси могут создавать свои сокеты, независимо от того, под каким пользователем они работают. Это не всегда необходимо (например, обычно не требуется при работе без полномочий root);
- можно указать uid и gid, как используя их имена (например, uid="user", gid="users", только серверы Posix) или числовые значения (например, 500);
- можно указать более одной строки удаленного сеанса для каждой пары имени пользователя и пароля, используя формат CSV, но тогда клиент должен будет указать, какой из них он хочет, в URL-адресе подключения.
Системный прокси-сервер
Прокси-сервер также можно использовать для динамического предоставления доступа ко всем локальным сеансам.
В этом случае имя пользователя, uid и gid используются для поиска всех сеансов пользователя после его аутентификации, точно так же, как пользователь может составить список сеансов, запустив xpra list. Этот тип прокси-сервера обычно работает от имени пользователя root, чтобы иметь доступ к сеансам для нескольких пользователей.
Этот режим работы нельзя использовать с модулями аутентификации sqlite или multifile, поскольку эти модули явно указывают список сеансов. Не следует использовать модули аутентификации file, env или exec, так как они разрешат доступ ко всем именам пользователей с одним и тем же значением пароля.
Для некоторых модулей аутентификации uid и gid могут быть получены из имени пользователя автоматически с использованием базы данных паролей (например, pam, другие позволяют указать их в качестве опции модуля (например: --tcp-auth=ldap,uid=xpraproxy, gid=xpraproxy), что позволяет нелокальным учетным записям запускать экземпляр прокси-процесса от имени пользователя без полномочий root. Значение по умолчанию: nobody uid и nobody gid может иметь или не иметь достаточных привилегий для выполнения экземпляра прокси-процесса.
Эта служба позволяет запускать и получать доступ к сеансам через один аутентифицированный порт (по умолчанию 14500). Для запуска системного прокси необходим сертификат (начиная с версии xpra 4.4.4-alt3 сертификат создаётся при установке пакета и первый шаг можно пропустить):
- Создать сертификат и разместить его в /etc/xpra/:
# openssl req -new -newkey rsa:4096 -days 3650 -nodes -x509 \ -subj "/C=RU/ST=Russia/L=Moscow/O=Alt/CN=localhost" \ -keyout "/etc/xpra/key.pem" -out "/etc/xpra/cert.pem" # cat /etc/xpra/key.pem /etc/xpra/cert.pem > /etc/xpra/ssl-cert.pem
- Запустить службу xpra:
# systemctl start xpra.service
Подключение к существующему сеансу, через системный прокси:
$ xpra attach wss://user@192.168.0.99:14500/ -d auth --ssl-server-verify=none
Или в браузере, если установлен xpra HTML5 Client (xpra-html5: https://192.168.0.99:14500/index.html?username=user (потребуется ввести пароль пользователя)
Также в браузере можно открыть страницу https://192.168.0.99:14500/connect.html, на которой можно не только указывать имя пользователя/пароль для подключения к существующему сеансу, но и запускать новые:
Журналирование
Журналирование управляется опцией --debug (-d).
Например, запуск сервера xpra с включенной отладкой фокуса:
$ xpra start -d focus --start=xterm
Список возможных категорий журналов можно получить, выполнив команду:
$ xpra -d help
Для записи в журнал событий всех категорий используется значение all (следует избегать применение этого значения, так как вывод будет очень подробным и сложным для восприятия).
Добавление к категории знака «-» отключает для данной категории ведение журнала. Например, регистрировать все категории, кроме window и focus:
$ xpra start :10 -d all,-window,-focus
Категорию журналирования также можно включить с помощью переменных среды. Это может потребоваться, если нет возможности изменить командную строку, или если регистрация должна происходить очень рано. Например, включить отладку «геометрии» с помощью подкоманды attach:
XPRA_GEOMETRY_DEBUG=1 xpra attach
У запущенного сервера xpra можно изменить параметры журналирования с помощью подкоманды control (эту команду можно использовать как на сервере, так и на клиенте):
$ xpra control :DISPLAY debug enable CATEGORY
Сервер также может пересылать команды управления отладкой подключенным к нему клиентам:
$ xpra control :DISPLAY client debug enable geometry
Можно включить сразу несколько категорий:
$ xpra control :2 debug enable window geometry screen
Включить только регистраторы, которые соответствуют категориям с +:
$ xpra control :2 debug disable focus+grab
Конфиденциальная информация, такая как пароли и ключи обычно не отображается в журнале, но все же, используя журнал можно собрать достаточно данных, чтобы представлять реальную угрозу. Хорошей превентивной мерой является отключение удаленного ведения журнала и выключение канала управления сервером.
xpra shell — это очень мощная функция отладки, которая обеспечивает полный доступ ко всем структурам данных, хранящимся на клиенте и сервере. По умолчанию эта функция отключена.
Клиент HTML5
Пример запуска экземпляра сервера:
$ xpra start --start=xterm --bind-tcp=0.0.0.0:10000 --html=on
Или:
$ xpra start --start=xterm --bind-ws=0.0.0.0:10000
Теперь можно получить доступ к этому сеансу в веб-браузере:
Параметры подключения можно указать с помощью диалоговой формы подключения (http://host:port/connect.html) или указать как параметры URL, например: http://192.168.0.99:10000/?username=user&keyboard_layout=us.
Значения по умолчанию можно указать в файле /etc/xpra/html5-client/default-settings.txt.
Параметр | Описание |
---|---|
Параметры подключения | |
server | Имя хоста или IP-адрес xpra-сервера |
port | Номер порта xpra-сервера |
username | Аутентификация на сервере |
password | Аутентификация на сервере |
ssl | Включить SSL-соединение с сервером xpra |
insecure | Разрешить отправку паролей по незашифрованным соединениям (No) |
path | Путь WebSocket для подключения (обычно не требуется) |
display | Дисплей для подключения (для прокси-серверов) |
password | Аутентификация на сервере |
encryption | Для включения шифрования, следует указать AES-CBC, AES-CTR или AES-CFB |
key | Ключ шифрования AES |
sharing | Разрешить другим клиентам подключаться к тому же сеансу (No) |
steal | Взять на себя управление сеансом и отключить всех существующих клиентов (Yes) |
reconnect | Автоматически переподключаться при обрыве соединения (Yes) |
bandwidth_limit | Бюджет пропускной способности в битах в секунду (0 — без ограничений) |
override_width | Ширина рабочего стола клиента, ширина окна браузера в пикселях (по умолчанию — ширина окна браузера) |
Функции | |
keyboard | Включить ввод с клавиатуры |
keyboard_layout | Раскладка клавиатуры, которую будет использовать клиент (по умолчанию язык браузера) |
clipboard | Включить общий доступ к буферу обмена |
printing | Включить переадресацию принтера |
file_transfer | Включить передачу файлов |
swap_keys | Поменять местами клавиши Command и Control |
scroll_reverse_x | Реверс оси X указателя мыши |
floating_menu | Показывать плавающее меню |
toolbar_position | Положение панели инструментов по умолчанию (например, top, top-right) |
autohide | Скрыть большую часть панели инструментов до наведения на нее указателя |
sound | Переадресация звука с сервера («выход динамика») |
video | Разрешить использование программного декодирования видео |
Дополнительные параметры | |
audio_codec | Используемый аудиоформат detected) |
encoding | Кодировка изображения, например, png, jpeg, webp и т. д. (auto) |
remote_logging | Отправлять важные события на сервер |
action | Режим подключения, например, start, shadow (connect) |
shadow_display | Дисплей, если action=shadow |
submit | Показать диагностику при отключении |
start | Запустить сервер |
exit_with_children | Завершить сессию, когда завершается последняя команда запуска (при запуске нового сеанса) |
exit_with_clien | Завершить сеанс при закрытии соединения (при запуске нового сеанса) |
Значения параметров server, port и ssl отражают соединение, которое использовалось для загрузки клиента HTML5 (то, что указано в строке URL-адреса браузера), и эти значения обычно не нужно изменять.
Графический интерфейс
Графический интерфейс xpra («Меню запуска приложений» → «Интернет/Сеть» → «Xpra»):
«Browse» — просмотреть список и подключиться к локальному дисплею.
«Connect» — подключиться к удалённому серверу :
«Shadow» — предоставить доступ к рабочему столу.