Come utilizzare VNC con il tunnel SSH - "questo è sicuro?"

5

PC-A: la macchina locale, da dove voglio vedere la macchina remota [Fedora]
PC-B: la macchina remota, dove il server vnc sarà [Ubuntu]
installa un client vnc [da dove vuoi connetterti] su PC-A

yum -y install vinagre

ssh alla macchina di destinazione [da PC-A a PC-B], quindi: [se PC-B è dietro NAT, quindi porta in avanti la porta ssh!]
con root su PC-B
avrai bisogno dei repository "universe" [vi /etc/apt/sources.list]

apt-get update; apt-get -y upgrade; apt-get install -y tightvncserver
exit

con l'utente normale ancora su PC-B

tightvncserver give a very-very-very good password!!
echo 'gnome-session &' >> ~/.vnc/xstartup

se hai bisogno di aiuto con la regola di port forwarding nel tuo router OpenWrt [testato il 10.03]
aggiungi le regole di port forward

iptables -t nat -I prerouting_wan -p tcp --dport 22 -j DNAT --to REMOTE-PC-B-PRIVATE-IPADDRESS:22
iptables -I forwarding_wan -p tcp --dport 22 -d REMOTE-PC-B-PRIVATE-IPADDRESS -j ACCEPT

cancella le regole di port forward

iptables -t nat -D prerouting_wan -p tcp --dport 22 -j DNAT --to REMOTE-PC-B-PRIVATE-IPADDRESS:22
iptables -D forwarding_wan -p tcp --dport 22 -d REMOTE-PC-B-PRIVATE-IPADDRESS -j ACCEPT

tieni presente che il traffico di vnc non è criptato! Quindi ssh tunnel al computer di destinazione [da PC-A a PC-B]

ssh -f -L 5901:localhost:5901 USERNAME@REMOTE-PC-B-PUBLIC-IPADDRESS -N -p 22

quindi connettiti con vinagre: "127.0.0.1:5901" su PC-A

p.s .: se si preme il tasto "d", e ha un effetto come "mostra desktop", quindi premere "ALT + F2", quindi digitare: "gnome-keybinding-properties"

importante: rimuovi vnc dal lato bersaglio dopo aver finito !!

pkill vnc
apt-get purge -y tightvncserver


QUI arriva la DOMANDA: questo è abbastanza sicuro? La connessione VNC attraversa davvero solo il tunnel SSH ?

    
posta LanceBaynes 17.03.2011 - 12:34
fonte

3 risposte

7

Se ti connetti a localhost (127.0.0.1) su una porta di inoltro SSH (il tuo 5901 inoltrato), allora sì la tua connessione all'host remoto è crittografata.

    
risposta data 17.03.2011 - 16:03
fonte
6

Ricorda che tutte le app locali che sono in grado di connettersi a localhost non avranno alcuna barriera per attaccare il servizio di vnc in ascolto, quindi assicurati almeno che l'autenticazione di vnc rimanga attiva.

    
risposta data 17.03.2011 - 16:37
fonte
1

Se vuoi essere sicuro al 100% che sia sicuro, assicurati che l'unica porta aperta sul tuo host remoto sia la porta 22, la porta SSH. Sicuramente non vuoi vedere nulla sulle porte 59xx. Se sono aperti, qualcuno può connettersi direttamente a VNC. Utilizza sempre nmap o qualche altro port scanner per verificare le porte aperte quando apporti modifiche al firewall:

nmap ip_of_your_remote_host

o

nmap -PN -p 22,5900-5999 ip_of_your_remote_host
    
risposta data 28.05.2011 - 19:25
fonte

Leggi altre domande sui tag