Od 1.7.2001 je bezplatnou součástí každé zakoupené licence X-Win32 také F-Secure SSH klient včetně propojovacího modulu. Následující informace proto slouží především vlastníkům licencí zakoupených před tímto datem (případně "věčným" uživatelům demoverze).

Současná verze programu X-Win32 umožňuje spouštět programy na vzdálených počítačích s OS UNIX prostřednictvím protokolu rexec nebo rsh. Bohužel tyto protokoly nelze označit za úplně bezpečné - mimo jiné i proto, že přenos dat mezi počítači komunikujícími prostřednictvím rexec nebo rsh není nijak šifrován.

Problém bezpečné komunikace do značné míry řeší použití protokolu ssh (secure shell), který získává v poslední době značnou oblibu mezi administrátory a uživateli UNIXových serverů. Následující odstavce popisují jednu z možných metod, jak používat program X-Win32 ve spojení s bezpečnou komunikací ssh.

Základním předpokladem použití této metody je existence a běh sshd programu verze 1 na UNIXovém serveru, s nímž chceme komunikovat. Standardní implementaci protokolu ssh a další informace o něm lze nalézt na serveru SSH Communications Security Ltd., binární balíky ssh verze 1 pro distribuce Linuxu RedHat a Debian pak např. v FTP archivech ftp.muni.cz resp. non-us.debian.org.

Na straně PC je nutno nainstalovat ssh klientský software, který kromě vlastního protokolu ssh podporuje i přesměrování X Windows relací přes šifrovaný kanál (princip funkce přesměrování komunikace prostřednictvím ssh je stručně popsán na stránkách P. Šimka). Implementací klienta pro platformy Windows, kterou lze získat zdarma, vytvořil C. Igaly, jinou možností může být použití rozšíření ssh pro program Teraterm nabízené Robertem O'Callahanem. Zatímco o použití Teratermu ve spojení s X-Win32 nemáme žádné informace (že to bude fungovat je však velmi pravděpodobné), program C. Igalyho používáme pro navázání šifrovaného spojení a přesměrování X Windows komunikace již delší dobu.

Instalační balíky programu ssh pro Windows si můžete stáhnout z našeho WWW serveru (ssh3299054.zip je verze pro Windows 95/98/NT, ssh1699054.zip verze pro Windows 3.1x - tato verze nebyla testována) nebo přímo ze stránek C. Igalyho. Ke spuštění programu budete dále potřebovat kryptografickou knihovnu crypt.dll (pro Windows 3.1x) resp. crypt32.dll (95/98/NT) verze 1.10, které jsou obsaženy v archivu crdll110.zip (resp. crypl110.zip včetně zdrojového kódu), experimentálně lze použít i knihovny verze 2.00 (crdll200.zip resp. crypl200.zip včetně zdrojového kódu).

Instalace. Rozbalte sshXXXXXXX.zip do libovolného adresáře a do téhož adresáře vyextrahujte příslušnou kryptografickou knihovnu. Po spuštění ssh32.exe resp. ssh.exe zadáte na dotaz programu cestu ke knihovně emulátoru terminálu (vtxxx.dll, je součástí balíku sshXXXXXXX.zip) a ke kryptografické knihovně.

Použití. Spusťte X-Win32 a v menu XUtil - Options - Xhost přidejte do seznamu povolených klientů jméno localhost. Spusťte ssh32.exe a vyplňte minimálně políčka Profile name, Host name a User ID. Zkontrolujte, zda je políčko X11 forward zaškrtnuto. Po stisknutí OK a případném zadání hesla (závisí na konfiguraci sshd serveru) se otevře textové terminálové okno na požadovaný stroj. Neměňte nastavení proměnné DISPLAY (!) a spusťte přímo požadovanou X aplikaci. Okno aplikace by se mělo otevřít na Vašem PC. Pokud je tento postup úspěšný, můžete si vytvořit vlastní konfigurace programu ssh a pro každou z nich v okénku Command předepsat, jaký příkaz má být po přihlášení ke vzdálenému serveru spuštěn. Pozor ! Na rozdíl od konfigurace relací v programu X-Win32 se zde nezadává parametr -display; program ssh resp. jeho protějšek na straně serveru nastaví proměnnou DISPLAY odpovídajícím způsobem.

Jak to pracuje. Po ustavení ssh spojení vytvoří ssh klient spolu s sshd serverem šifrovaný komunikační kanál. sshd server automaticky nastaví pro uživatele po jeho přihlášení proměnnou DISPLAY tak, že veškerá komunikace směřující k X serveru bude zachycena sshd serverem na straně UNIXu, poslána ssh klientu na PC přes šifrovaný kanál a tam 'podvržena' spuštěnému X-Win32 serveru, pro nějž je složitá komunikace protokolem ssh naprosto transparentní.

RedHat Linux je zřejmě nejrozšířenější distribucí Linuxu v současnosti. Použití X-Win32 pro spojení s RedHat serverem je zcela bez problémů, pozornost je však třeba při konfiguraci serveru věnovat nastavení přístupu ke službám rexec nebo rsh.

Chceme-li spouštět vzdálené aplikace přes rsh, musí být splněny následující podmínky:

1. V souboru /etc/inetd.conf musí být povoleno spoštění démonu in.rshd - standardní konfiguraci představuje řádek
   shell stream tcp nowait root /usr/sbin/tcpd in.rshd
   který umožní spuštění in.rshd při příchodu požadavku na port 514.

2. V souborech /etc/hosts.allow a /etc/hosts.deny musí být povolen přístup z PC na port 514 (služba shell) - viz man 5 hosts_access.

3. V souboru .rhosts v domovském adresáři uživatele nebo v souboru /etc/hosts.equiv musí být uvedeno doménové jméno nebo IP adresa PC, z něhož se k Linux serveru přistupuje. Pokud jsou navíc přihlašovací jména uživatele ve Windows a v Linuxu různá, musí soubor .rhosts obsahovat také přihlašovací jméno uživatele ve Windows.

Obdobné podmínky platí pro spouštění vzdálené aplikace přes službu rexec:

1. V souboru /etc/inetd.conf musí být povoleno spoštění démonu in.rexecd - standardní konfiguraci představuje řádek
   exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
   který umožní spuštění in.rexecd při příchodu požadavku na port 512.

2. V souborech /etc/hosts.allow a /etc/hosts.deny musí být povolen přístup z PC na port 512 (služba exec) - viz man 5 hosts_access.

3. V souboru /etc/pam.d/rexec musí být zakomentován nebo smazán řádek obsahující pam_securetty.so (potenciálně nebezpečné - viz vysvětlení níže)

V obou případech samozřejmě platí, že na straně PC musí být povoleno otevření X relace z Linuxu v menu X-Util / Options / Xhost a provoz mezi PC a Linuxem nesmí na portech 512 (rexec) či 514 (rsh) blokovat firewall nebo paketový filtr.

Vysvětlení k modulu pam_securetty. RedHat Linux implementuje systém autentifikace pomocí modulů PAM (Password Authetification Modules) - viz /usr/doc/pam-x.xx. Modul pam_securetty je používán při autentifikaci v několika případech a má za úkol zakázat přístup k počítači, přihlašuje-li se superuživatel (root) z terminálu, který není uveden v souboru /etc/securetty. Při autentifikaci služby rexec ovšem není terminál nastaven - proměnná, která má jméno terminálu obsahovat je prázdná - a modul v takovém případě přístup odmítne, ať už je přihlašovaným uživatelem kdokoliv (těžko říct, zda je to chyba nebo vlastnost, myslím ale, že spíš to první). Pokud tedy potřebujeme použít rexec, je řešením smazat nebo zakomentovat řádek v /etc/pam.d/rexec, který nastavuje kontrolu pomocí pam_securetty. Nepříjemné je, že tím umožníme přístup ke službě rexec i superuživateli, což je samozřejmě potenciálně nebezpečné (více či méně - v závislosti na nastavení jiných ochranných mechanismů). Možnost řešení spočívá buď v úpravě zdrojového kódu modulu pam_securetty, nebo v použití modulu pam_noroot, který zakáže jakýkoliv přístup pro superuživatele a tím se stane pam_securetty zbytečným. Modul pam_noroot lze získat např. jednoduchou úpravou zdrojového kódu modulu pam_rootok (inverzí podmínky) a novým překladem balíku PAM.

Pro zobrazování českých textů v oknech programu X-Win32 je třeba mít k dispozici česká písma v kódování, které je standardní a ve světě Unixu nejrozšířenější - ISO-8859-2 (alias ISO Latin 2). Písma lze sice většinou získávat přímo z počítače, k němuž se připojujeme (pokud na něm běží server fontů - X font server), ale toto řešení mívá za následek značné zpomalení práce zvláště v okamžiku, kdy je nutno zobrazit větší části textu, výpisy souborů apod. Připravili jsme proto pro Vás sadu standardních středoevropských písem šířených převážně pod licencí GNU, kterou můžete doinstalovat k písmům dodávaným s programem X-Win32 a obejít se tak bez nutnosti spolupráce s fontserverem. Stáhněte si samorozbalovací archív fon_8859_2.exe, uložte jej do adresáře <X-Win32 Install Dir>\Lib\Fonts\ a spusťe jej; při rozbalování budou vytvořeny tři adresáře fontů a dva informační soubory. Cestu ke vzniklým adresářům 100dpi-il2, 75dpi-il2 a misc-il2 pak přidejte pomocí programu X-Config (resp. X-Util32) do tabulky Font Path.

Máte-li nějaké dotazy nebo komentáře k programu X-Win32, napište nám. Rádi také zveřejníme Vaše zkušenosti s používáním programu, různé nápady, tipy a triky, které jste při používání X-Win32 objevili.