Che cosa è considerato un metodo accettabile e sicuro per la connessione remota a un sistema Linux?

8

Dato che VNC e X11 non sono stati sviluppati pensando alla sicurezza, cosa si vede tipicamente fare per connettersi da remoto a un sistema Linux in cui è richiesta una GUI. Mentre l'accesso SSH da solo può essere preferito, spesso ci sono dei requisiti in cui uno sviluppatore o un amministratore ha bisogno dell'accesso GUI a un sistema Linux.

Finora, vedo le seguenti soluzioni:

  • Richiede l'uso di VNC su un tunnel SSH sicuro. Tuttavia, dovrei fare affidamento su dev / admin per impostare un tunnel ogni volta
  • Usa X11Forwarding. X11 non è stato progettato per la sicurezza e inoltre è molto più lento di VNC.
  • desktop remoto Nomachine. Non ho ancora giocato con questo, ma pretendono di essere una soluzione desktop remota sicura

Mentre molte persone sostengono di impostare X11Forwarding su "no" in sshd_config, mi sembra che questa sia l'alternativa nativa più sicura. Tuttavia, sono più che aperto alle idee dei guru della sicurezza qui fuori!

    
posta appsecguy 23.03.2015 - 04:05
fonte

2 risposte

7

NoMachine è più o meno X11 su SSH con miglioramenti nelle prestazioni. Quindi i due vantaggi sono che SSH è gestito per te e che non hai le orribili prestazioni di X11 su una rete. (ISTR che SSH non è l'impostazione predefinita, ma è essenzialmente un'opzione a discesa, non una saga di installazione).

VNC offre anche prestazioni migliori rispetto a X11 e può essere protetto tramite SSH o utilizzando una delle varie varianti rinforzate (come UltraVNC o RealVNC Enterprise o Personal ). Tuttavia, il guazzabuglio di varianti e la natura manuale dell'integrazione SSH (ad esempio, TightVNC in pratica dice "fai da te") non è la soluzione più coerente.

X11 Il passaggio varia da cattivo ad abissale attraverso la rete. È essenzialmente inutilizzabile attraverso la WAN. E non a causa di SSH, è a causa del modo in cui la latenza influisce sul protocollo X11. Non mi preoccuperei di questo per questo motivo.

Il mio consiglio personale è di guardare NoMachine . È un prodotto molto più coerente e solido rispetto a * VNC e avere il bit SSH è facile e integrato.

    
risposta data 23.03.2015 - 05:27
fonte
0

Una possibile alternativa potrebbe essere una VPN completa. Ciò crea una rete sicura su reti non sicure e consentirebbe agli utenti di accedere al sistema come se fossero sulla rete locale.

Ci sono, naturalmente, dei pericoli con questo approccio dato che stai estendendo la tua rete locale a località potenzialmente sconosciute. Ma è altamente sicuro se eseguito correttamente.

Le VPN prendono un sovraccarico sulla larghezza di banda della rete e aggiungono anche un po 'di latenza, quindi dovresti assicurarti che le prestazioni siano accettabili.

    
risposta data 23.03.2015 - 10:09
fonte

Leggi altre domande sui tag