问题过程描述
许多经常部署Oracle数据的管理员经常需要对数据库软件进行部署,但大多数都是通过远程部署的方式进行部署,使用远程部署有两种方式,一种是通过脚本部署,另一种就是通过图形化进行部署。
但linux使用图形化并不像windows那么一帆风顺,这也是由于对linux图形的不了解造成。一般连接过程是通常是用putty或xshell等ssh远程客户端连接到服务器,本地电脑运行一个支持X Server协议应用,利用ssh加密隧道将图形界面传送到本地电脑X Server上使用图形化界面,这样就可以看到服务器的图形界面。
但大多数时候却显示下面错误:
- 不能打开
display
1 [user@pc ~]$ xclock Error: Can't open display: 2 [user@pc ~]$ xclock No protocol specified Error: Can't open display: :0 3 [user@pc ~]$ xclock Error: Can't open display: localhost:10.0
那么这个display到底要怎么解决呢?
X-Window
要理解display还是要了解什么是x-windows,网上也有很多文章说的很详细,这里我重点是讲解怎么去排查和解决这个问题。先了解一下基本信息。
1. Xserver和Xclinet
Xserver提供基础硬件环境,如配置键盘、鼠标、显卡、显示器驱动等。
Xclinet进行图形运算,如gimp、火狐这些应用属于客户端。
可以简单的这样理解,Xserver如同我们的操作系统一样,将基础的硬件资源初始化,如cpu内存这些,xclinet在操作系统上使用cpu和内存.
2. 连接方式
这里的连接方式有两种,一种是直接连接,另一种是利用ssh进行转发
1). 直接访问
直接访问就是X客户端直接进行访问X服务端进行连接传输。这里也分两种场景,一种是X客户端主动连接X服务端,这就要求X服务端进行监听,另一种X服务器去主动连接。
想要X客户端连接X服务端,X服务端可通过下面几种方式进行监听:
- tcp
表示使用IP`v4或IPv6的TCP协议, - inet
表示只使用IPv4的TCP协议 - inet6
表示只使用IPv6的TCP协议 - unix
UNIX主机套接字,使用socket文件实现进程间通信,不支持在windows上进行访问
本机一般使用UNIX套接字进行通信,在设备上同时部署X服务端和X客户端,启动图形桌面时,X服务器先初始化相关硬件设备,并加载驱动,具体日志可参考X启动日志:/var/log/Xorg.0.log
,Xserver启动时创建socket文件,窗口管理器则以X客户端启动,xclient连接到socket进行通信,这时现实屏幕就显示出画面。
使用套接字好处是连接安全、传输高效稳定,缺点是只能在本机进行访问。
查看X服务端socket文件位置和连接情况
[user@pc ~]$ ss -xla|grep X11
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
u_str LISTEN 0 4096 /tmp/.X11-unix/X0 15212 * 0
u_str LISTEN 0 4096 @/tmp/.X11-unix/X0 15211 * 0
u_str ESTAB 0 0 @/tmp/.X11-unix/X0 24473 * 22233
u_str ESTAB 0 0 @/tmp/.X11-unix/X0 89299 * 86989
……
远程环境下我们需要将远端画面传输到本地,就需要使用网络远程连接,Windows环境下可以使用Xmanage相关软件完成本地监听。linux环境下Xserver默认不进行监听,所以需要在启动Xserver加入选项-listen tcp
,这时X服务根据启动的显示编号监听相关端口,如:0
则监听6000端口,:1
监听6001端口。
不管是windows还是linux在配置X服务端时需要配置这个displaynumb(显示编号),X客户端才可将画面传过来。
Linux查看X服务器监听状态
这里使用的是Xephyr
,它的功能与X类似,它可以在图形模式下运行,而X只能在文本模式下运行。
X默认监听模式
-nolisten tcp
,此选项表示不监听tcp协议,即监听unix套接字。
[user@pc ~]$ sudo ss -atlp
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 4096 0.0.0.0:6001 0.0.0.0:* users:(("Xephyr",pid=15335,fd=5))
XDMCP:还有一种模式不常用到,那就是使用X服务器去主动连接,这种方式的效果和Windows远程桌面类似。但X客户端本身不会监听端口,这时就需要使用显示管理器进行监听,显示管理器使用的是XDMCP
协议进行通信,通常监听端口为177
,现在主流的显示管理器有gdm、LightDM、LXDM、SDDM,这些显示管理器为了安全一般没有对177端口进行监听,需要根据文档具体配置开启监听功能。
[user@pc ~]$ sudo ss -lunp
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
UNCONN 0 0 *:177 *:* users:(("gdm3",pid=364775,fd=12))
提示:
除了开启监听外,大多数故障可能来之放火墙未放通相应服务端口。
这时在启动本端X服务端时,XDMCP协议可以使用三种方式连接远端图形界面。
- IP地址直接访问
使用windows端X服务器软件时,软件会询问你远端主机的IP地址,使用LInux端时加入参数-query
后面跟远端主机IP地址或主机名;
具体访问过程是X客户端连接远端主机显示管理器端口177建立连接,显示管理器配置相关显示环境变量,再启动登陆管理器,这时你的X服务端就能显示远端的登陆界面。
这种模式适用与点对点,跨三层网络。 - 广播地址泛访问
使用广播时X服务端发起本地广播,当显示管理器收到广播包就像X服务端回包,这个模式和DHCP类似,好处是不用填写目标主机的IP,不好的地方就是X服务端只响应第一个回复的主机。 - 主机间接访问
这个用于间接访问,A主机不能直接访问C主机,A就使用B主机间接访问C主机。
XDMCP没有使用压缩和优化传输算法,流量带宽占用较大,一般只在本地网络中进行使用。
2)SSH转发
X windows在传输时没有进行加密,安全得不到保障,还需要配置相关策略才可进行访问,而是用SSH转发X windows就可以解决刚刚讲的问题。SSH转发的原理是SSH本地监听unix套接字,显示编号为:10
,X客户端访问:10
时ssh服务端将流量转发到ssh连接客户端上。
这里需要配置sshd服务开启X转发功能,而ssh客户端也需要配置将转发过来的数据交給谁处理。
开启SSHD X转发
修改SSHD配置文件/etc/ssh/sshd_config
,找到下面按需求取消注释进行启用
#开启X图形转发。yes开启转发,no关闭转发。
X11Forwarding yes
#设置显示编号,从10开始。当第一个用户连接使用10,第二个用户则11,以此类推。
X11DisplayOffset 10
#设置SSHD本地监听方式,yes使用unix套接字,no使用网络模式。
X11UseLocalhost yes
客户端开启X转发
ssh客户端开启的前提条件是本地已经启动了X服务端,ssh连接客户端启一个连接桥梁的作用,ssh客户端开启后将sshd服务的图形流量转发到本地X服务端上,ssh客户端可以是Putty、Xshell、SecureCRT等,开启方式是修改会话的X转发功能,将复选框打上勾就完成功能开启。
LInux的ssh客户端可以在连接时加入参数-X
表示开启转发,如ssh -X username@hostname
。也可修改全局配置文件/etc/ssh/ssh_config
或用户配置文件~/.ssh/config
加入配置参数:ForwardX11 no
开启转发功能
提示
ssh客户端和ssh服务但都启用X转发的功能后,ssh客户端在登陆到远程端时会自动配置DISPLAY
的环境变量,并且会协商auth
的sookit值。
3. 安全认证
X服务端在开放监听时,X客户端只要知道X服务端的显示编号就能在X服务端进行显示,但这就存在一个不安全的因素,其他用户或主机知道X服务的显示标号也可将自己的内容显示到X服务端,那这个X服务端可能就会像windows弹窗广告一样,满屏幕都是其他人的X客户端,为了避免这个问题X服务端开启了安全认证。
X WIndows在以前使用使用的是xhost
命令来管理授权,现在则推荐另外一个命令完成认证:xauth
.
1). xhost
xhost的使用方法很简单,+
表示关闭访问控制,-
表示开启访问控制,默认是所有主机都不信任。
开启验证模式后,只允许xhoost允许的主机进行连接和用户的.Xauthority
文件中有Xserver的cookie条目的用户连接。
# 查看现在信任主机清单
xhost
————————————————————————————————————————————————————————————————
INET:220.181.38.148 (no nameserver response within 5 seconds)
INET:39.156.69.79 (no nameserver response within 5 seconds)
# 关闭访问控制,允许所有主机进行访问(不推荐)
xhost +
————————————————————————————————————————————————————————————————
access control disabled, clients can connect from any host
# 开启访问控制
xhost -
————————————————————————————————————————————————————————————————
access control enabled, only authorized clients can connect
# 信任某台主机
xhost 192.168.1.1
————————————————————————————————————————————————————————————————
192.168.1.1 being added to access control list
# 信任某个网段
xhost 192.168.1.0
————————————————————————————————————————————————————————————————
192.168.1.0 being added to access control list
# 移除信任主机
xhost -192.168.1.1
————————————————————————————————————————————————————————————————
192.168.1.1 being removed from access control list
2). xauth
xhost控制的方式简单粗暴,xauth则是根据cookie
值进行验证的,X服务端和用户各自拥有各自的cookie
文件,X客户端连接时会获取用户的cookie
值,再将用户的cockie
发送给X服务器,X服务器会对比客户端发来的cookie
值和自身是否条目中是否匹配,只有匹配时才可连接。
查看用户auth文件路径信息
xauth文件路径是根据用户环境变量:
XAUTHORITY
来决定,如果未配置XAUTHORITY
环境变量,默认存放路径在:$HOME/.Xauthority
。
.Xauthority
文件是有脚本startx
生成的。
xauth -info
———————————————————————————————————————————
Authority file: /home/user/.Xauthority
File new: no
File locked: no
Number of entries: 1
Changes honored: yes
Changes made: no
Current input: (argv):1
查看X服务端xauth路径
ps -aux | grep X
———————————————————————————————————————————
root 596 1.3 0.8 1097120 136228 tty1 Ssl+ Oct23 18:45 /usr/lib/Xorg :0 -nolisten tcp -auth /var/lib/xdm/authdir/authfiles/A:0-H7d7G9
查看cookie
条目值
# 查看当前用户cookie条目值
xauth list
————————————————————————————————————————————
pc/unix:0 MIT-MAGIC-COOKIE-1 87ff7969963f5bd8953094d4ab106f5
# 查看X服务端cookie值(普通用户无权访问该文件)
xauth -f /var/lib/xdm/authdir/authfiles/A:0-H7d7G9 list
————————————————————————————————————————————
#ffff##: MIT-MAGIC-COOKIE-1 87ff7969963f5bd8953094d4ab106f5
这里可以发现用户端的cookie值与X服务端的一致;当不一致时就会发生不能显示错误。
cookie的生成
cookie是使用mcookie
命令生成的,命令很简单,只需要输入该命令,就打印一个cookie直
$ mcookie
84bb129ea77405217b1802d15c42441f
排除故障
1. 确定问题
由上面内容知道Xwindows是如何连接的,掌握了上面知识就可以对问题进行定位。