Linux X-Window Error: Can‘t open display: :0

问题过程描述

许多经常部署Oracle数据的管理员经常需要对数据库软件进行部署，但大多数都是通过远程部署的方式进行部署，使用远程部署有两种方式，一种是通过脚本部署，另一种就是通过图形化进行部署。

但linux使用图形化并不像windows那么一帆风顺，这也是由于对linux图形的不了解造成。一般连接过程是通常是用putty或xshell等ssh远程客户端连接到服务器，本地电脑运行一个支持X Server协议应用，利用ssh加密隧道将图形界面传送到本地电脑X Server上使用图形化界面，这样就可以看到服务器的图形界面。

但大多数时候却显示下面错误：

• 不能打开 display

  1
  [user@pc ~]$ xclock
  Error: Can't open display:
  
  2
  [user@pc ~]$ xclock
  No protocol specified
  Error: Can't open display: :0												
  
  3
  [user@pc ~]$ xclock
  Error: Can't open display: localhost:10.0									
  

那么这个display到底要怎么解决呢？

X-Window

要理解display还是要了解什么是x-windows,网上也有很多文章说的很详细，这里我重点是讲解怎么去排查和解决这个问题。先了解一下基本信息。

1. Xserver和Xclinet

Xserver提供基础硬件环境，如配置键盘、鼠标、显卡、显示器驱动等。
Xclinet进行图形运算，如gimp、火狐这些应用属于客户端。
可以简单的这样理解，Xserver如同我们的操作系统一样，将基础的硬件资源初始化，如cpu内存这些，xclinet在操作系统上使用cpu和内存.

2. 连接方式

这里的连接方式有两种，一种是直接连接，另一种是利用ssh进行转发

1). 直接访问

直接访问就是X客户端直接进行访问X服务端进行连接传输。这里也分两种场景，一种是X客户端主动连接X服务端，这就要求X服务端进行监听，另一种X服务器去主动连接。

想要X客户端连接X服务端，X服务端可通过下面几种方式进行监听：

• tcp
  表示使用IP`v4或IPv6的TCP协议，
• inet
  表示只使用IPv4的TCP协议
• inet6
  表示只使用IPv6的TCP协议
• unix
  UNIX主机套接字，使用socket文件实现进程间通信，不支持在windows上进行访问

本机一般使用UNIX套接字进行通信，在设备上同时部署X服务端和X客户端，启动图形桌面时，X服务器先初始化相关硬件设备，并加载驱动，具体日志可参考X启动日志：/var/log/Xorg.0.log，Xserver启动时创建socket文件，窗口管理器则以X客户端启动，xclient连接到socket进行通信，这时现实屏幕就显示出画面。

使用套接字好处是连接安全、传输高效稳定，缺点是只能在本机进行访问。

查看X服务端socket文件位置和连接情况

[user@pc ~]$ ss -xla|grep X11
Netid State  Recv-Q Send-Q                                  Local Address:Port   Peer Address:Port  Process
u_str LISTEN 0      4096                                /tmp/.X11-unix/X0 15212             * 0            
u_str LISTEN 0      4096                               @/tmp/.X11-unix/X0 15211             * 0            
u_str ESTAB  0      0                                  @/tmp/.X11-unix/X0 24473             * 22233        
u_str ESTAB  0      0                                  @/tmp/.X11-unix/X0 89299             * 86989
……

远程环境下我们需要将远端画面传输到本地，就需要使用网络远程连接，Windows环境下可以使用Xmanage相关软件完成本地监听。linux环境下Xserver默认不进行监听，所以需要在启动Xserver加入选项-listen tcp，这时X服务根据启动的显示编号监听相关端口，如：0则监听6000端口，：1监听6001端口。
不管是windows还是linux在配置X服务端时需要配置这个displaynumb（显示编号），X客户端才可将画面传过来。

Linux查看X服务器监听状态
这里使用的是Xephyr，它的功能与X类似，它可以在图形模式下运行，而X只能在文本模式下运行。
X默认监听模式
-nolisten tcp，此选项表示不监听tcp协议，即监听unix套接字。

[user@pc ~]$ sudo ss -atlp
State	Recv-Q	Send-Q	Local Address:Port	Peer Address:Port	Process                                                        
LISTEN	0		4096	0.0.0.0:6001		0.0.0.0:*			users:(("Xephyr",pid=15335,fd=5))

XDMCP：还有一种模式不常用到，那就是使用X服务器去主动连接，这种方式的效果和Windows远程桌面类似。但X客户端本身不会监听端口，这时就需要使用显示管理器进行监听，显示管理器使用的是XDMCP协议进行通信，通常监听端口为177，现在主流的显示管理器有gdm、LightDM、LXDM、SDDM，这些显示管理器为了安全一般没有对177端口进行监听，需要根据文档具体配置开启监听功能。

[user@pc ~]$ sudo ss -lunp
State  Recv-Q Send-Q	Local Address:Port    Peer Address:Port	Process
UNCONN 0      0			 *:177                *:*				users:(("gdm3",pid=364775,fd=12))

提示：
除了开启监听外，大多数故障可能来之放火墙未放通相应服务端口。

这时在启动本端X服务端时，XDMCP协议可以使用三种方式连接远端图形界面。

1. IP地址直接访问
   使用windows端X服务器软件时，软件会询问你远端主机的IP地址，使用LInux端时加入参数-query后面跟远端主机IP地址或主机名;
   具体访问过程是X客户端连接远端主机显示管理器端口177建立连接，显示管理器配置相关显示环境变量，再启动登陆管理器，这时你的X服务端就能显示远端的登陆界面。
   这种模式适用与点对点，跨三层网络。
2. 广播地址泛访问
   使用广播时X服务端发起本地广播，当显示管理器收到广播包就像X服务端回包，这个模式和DHCP类似，好处是不用填写目标主机的IP,不好的地方就是X服务端只响应第一个回复的主机。
3. 主机间接访问
   这个用于间接访问，A主机不能直接访问C主机，A就使用B主机间接访问C主机。

XDMCP没有使用压缩和优化传输算法，流量带宽占用较大，一般只在本地网络中进行使用。

2）SSH转发

X windows在传输时没有进行加密，安全得不到保障，还需要配置相关策略才可进行访问，而是用SSH转发X windows就可以解决刚刚讲的问题。SSH转发的原理是SSH本地监听unix套接字，显示编号为：10，X客户端访问：10时ssh服务端将流量转发到ssh连接客户端上。

这里需要配置sshd服务开启X转发功能，而ssh客户端也需要配置将转发过来的数据交給谁处理。

开启SSHD X转发
修改SSHD配置文件/etc/ssh/sshd_config，找到下面按需求取消注释进行启用

#开启X图形转发。yes开启转发，no关闭转发。
X11Forwarding yes
#设置显示编号，从10开始。当第一个用户连接使用10,第二个用户则11,以此类推。
X11DisplayOffset 10
#设置SSHD本地监听方式，yes使用unix套接字，no使用网络模式。
X11UseLocalhost yes

客户端开启X转发
ssh客户端开启的前提条件是本地已经启动了X服务端，ssh连接客户端启一个连接桥梁的作用，ssh客户端开启后将sshd服务的图形流量转发到本地X服务端上，ssh客户端可以是Putty、Xshell、SecureCRT等，开启方式是修改会话的X转发功能，将复选框打上勾就完成功能开启。

LInux的ssh客户端可以在连接时加入参数-X表示开启转发，如ssh -X username@hostname。也可修改全局配置文件/etc/ssh/ssh_config或用户配置文件~/.ssh/config加入配置参数：ForwardX11 no开启转发功能

提示
ssh客户端和ssh服务但都启用X转发的功能后，ssh客户端在登陆到远程端时会自动配置DISPLAY的环境变量，并且会协商auth的sookit值。

3. 安全认证

X服务端在开放监听时，X客户端只要知道X服务端的显示编号就能在X服务端进行显示，但这就存在一个不安全的因素，其他用户或主机知道X服务的显示标号也可将自己的内容显示到X服务端，那这个X服务端可能就会像windows弹窗广告一样，满屏幕都是其他人的X客户端，为了避免这个问题X服务端开启了安全认证。

X WIndows在以前使用使用的是xhost命令来管理授权，现在则推荐另外一个命令完成认证：xauth.

1). xhost

xhost的使用方法很简单，+表示关闭访问控制，- 表示开启访问控制，默认是所有主机都不信任。
开启验证模式后，只允许xhoost允许的主机进行连接和用户的.Xauthority文件中有Xserver的cookie条目的用户连接。

# 查看现在信任主机清单
xhost
————————————————————————————————————————————————————————————————
INET:220.181.38.148     (no nameserver response within 5 seconds)
INET:39.156.69.79       (no nameserver response within 5 seconds)


# 关闭访问控制，允许所有主机进行访问（不推荐）
xhost +
————————————————————————————————————————————————————————————————
access control disabled, clients can connect from any host

# 开启访问控制
xhost -
————————————————————————————————————————————————————————————————
access control enabled, only authorized clients can connect


# 信任某台主机
xhost 192.168.1.1
————————————————————————————————————————————————————————————————
192.168.1.1 being added to access control list

# 信任某个网段
xhost 192.168.1.0
————————————————————————————————————————————————————————————————
192.168.1.0 being added to access control list

# 移除信任主机
xhost -192.168.1.1
————————————————————————————————————————————————————————————————
192.168.1.1 being removed from access control list

2). xauth

xhost控制的方式简单粗暴，xauth则是根据cookie值进行验证的，X服务端和用户各自拥有各自的cookie文件，X客户端连接时会获取用户的cookie值，再将用户的cockie发送给X服务器，X服务器会对比客户端发来的cookie值和自身是否条目中是否匹配，只有匹配时才可连接。
查看用户auth文件路径信息

xauth文件路径是根据用户环境变量：XAUTHORITY来决定，如果未配置XAUTHORITY环境变量，默认存放路径在：$HOME/.Xauthority。
.Xauthority 文件是有脚本startx生成的。

xauth -info
———————————————————————————————————————————
Authority file:       /home/user/.Xauthority
File new:             no
File locked:          no
Number of entries:    1
Changes honored:      yes
Changes made:         no
Current input:        (argv):1

查看X服务端xauth路径

ps -aux | grep X
———————————————————————————————————————————
root	596  1.3  0.8 1097120 136228 tty1   Ssl+ Oct23  18:45 /usr/lib/Xorg :0 -nolisten tcp -auth /var/lib/xdm/authdir/authfiles/A:0-H7d7G9

查看cookie条目值

# 查看当前用户cookie条目值
xauth list
————————————————————————————————————————————
pc/unix:0  MIT-MAGIC-COOKIE-1  87ff7969963f5bd8953094d4ab106f5


# 查看X服务端cookie值（普通用户无权访问该文件）
xauth -f /var/lib/xdm/authdir/authfiles/A:0-H7d7G9 list
————————————————————————————————————————————
#ffff##:  MIT-MAGIC-COOKIE-1  87ff7969963f5bd8953094d4ab106f5

这里可以发现用户端的cookie值与X服务端的一致;当不一致时就会发生不能显示错误。

cookie的生成

cookie是使用mcookie命令生成的，命令很简单，只需要输入该命令，就打印一个cookie直

$ mcookie
84bb129ea77405217b1802d15c42441f

排除故障

1. 确定问题

由上面内容知道Xwindows是如何连接的，掌握了上面知识就可以对问题进行定位。

A：确定自己的连接方式

SSH远程连接