Có một nhược điểm để cài đặt VNC?

Chúng tôi có một Intel NUC trong khoa ngôn ngữ của trường đại học của tôi, nơi sẽ sớm lưu trữ một ứng dụng web được sử dụng bởi các giảng viên và sinh viên trong khoa. NUC chạy Ubuntu (14.10).

Tôi cảm thấy thoải mái với thiết bị đầu cuối và SSH vào máy chủ, tuy nhiên tôi thấy rằng rất nhiều nhiệm vụ tôi cần thực hiện dễ dàng hơn nhiều thông qua chia sẻ màn hình (VNC).

Tôi đã đề nghị với giám đốc kỹ thuật mới của chúng tôi rằng chúng tôi cài đặt VNC trên máy chủ này để giúp cuộc sống của tôi dễ dàng hơn rất nhiều (thực tế nó đã cài đặt VNC trước khi anh ta thuê, và sau đó anh ta gỡ cài đặt nó). Tuy nhiên, ông đã trả lời với bình luận sau:

Tôi rất muốn không chạy X hoặc VNC trên máy chủ nếu chúng tôi có thể thoát khỏi nó. Nó là một máy chủ sau tất cả.

Tôi thực sự không hiểu logic này. Nó không được nối với một màn hình; truy cập duy nhất vào nó thông qua SSH. Có một số nhược điểm kỳ diệu khi có VNC truy cập vào một máy chủ mà tôi không biết?

Rõ ràng là bạn đang mở một cổng khác cho kẻ tấn công; phản bác: chúng tôi đứng sau hai tường lửa của trường đại học (tường lửa mạng đại học chính cũng như tường lửa đặc biệt của mạng con của chúng tôi). VNC sẽ chỉ có thể được thực hiện trong mạng con của chúng tôi, vì vậy tôi không biết tại sao đây lại là một vấn đề khác ngoài "đó là một gói khác để duy trì" và với apttrình quản lý gói của Ubuntu không phải là vấn đề.

Nhược điểm của việc cài đặt VNC trên máy chủ là gì?

Chỉnh sửa : đây không chỉ là một máy chủ web. Đó là lưu trữ một số ứng dụng khác. Không chắc chắn nếu điều đó làm cho một sự khác biệt.

Có rất nhiều lý do:

• Bề mặt tấn công: nhiều chương trình, đặc biệt là các chương trình được nối mạng, có nghĩa là có nhiều cơ hội hơn để ai đó tìm ra lỗi và xâm nhập.

• Khiếm khuyết bề mặt: như trên, nhưng thay thế "ai đó" bằng " Murphy " và "xâm nhập" bằng "hủy hoại ngày của bạn". Trên thực tế, "hủy hoại ngày của bạn" có lẽ cũng áp dụng cho điểm trước đó.

• Hiệu quả hệ thống: X11 và môi trường GUI mà mọi người có xu hướng chạy trên chúng, tiêu thụ một lượng RAM kha khá, đặc biệt là trên một hệ thống tài nguyên hạn chế như NUC. Không chạy chúng có nghĩa là nhiều tài nguyên hơn để làm công việc hữu ích.

• Hiệu quả của người vận hành: GUI không cho vay vào kịch bản và các hình thức tự động hóa khác. Nhấp vào mọi thứ cảm thấy hiệu quả, nhưng thực sự đó là cách tồi tệ nhất để làm một cái gì đó kỹ thuật sâu sắc. Bạn cũng sẽ thấy cơ hội việc làm trong tương lai của mình bị hạn chế nghiêm trọng nếu bạn không thể viết kịch bản và tự động hóa công việc của mình - ngành công nghiệp sẽ tránh xa các công cụ quản trị GUI. Heck, thậm chí máy chủ Windows có thể được cài đặt GUI miễn phí trong những ngày này và nếu điều đó không khiến bạn nghĩ về những ưu điểm tương đối của việc chỉ biết cách nhấp vào mọi thứ, tôi thực sự không biết phải nói gì với bạn.

Vấn đề không phải là VNC - đừng hiểu sai ý tôi, VNC là một giao thức khủng khiếp và có nhiều lỗ hổng (lớn nhất là thiếu hỗ trợ mã hóa nên mọi thứ đều đi qua mạng bằng văn bản thuần túy), nhưng nó không phải là chính Lý do sử dụng của nó không được khuyến khích trên các máy chủ.

Bạn sẽ cài đặt VNC để truy cập cái gì, màn hình đen? Không, bạn muốn truy cập toàn bộ môi trường máy tính để bàn và đó là vấn đề thực sự.

Khi bạn cài đặt tất cả phần mềm Gnome (hoặc tương tự) dành cho máy tính để bàn này, bạn có thể coi máy chủ của mình bị xâm nhập, vì có rất nhiều lỗi còn sót lại trong bộ sưu tập ứng dụng khổng lồ khủng khiếp này (bên cạnh thực tế là nó không được thiết kế cho năng suất và sử dụng một tấn tài nguyên). Một trong những lý do khác khiến tôi không khuyên dùng phần mềm này và hầu hết các môi trường máy tính để bàn Linux là vì chúng chiếm toàn bộ hệ thống gần giống như rootkit và thực hiện các phiên bản riêng của mọi thứ (xác thực? , hãy chạy Bộ chính sách vô nghĩa này dưới dạng root cung cấp quyền dựa trên một số tệp XML khó hiểu, khó hiểu ... Ai cần các tệp cấu hình có thể đọc được của con người? Hãy lưu trữ mọi thứ trong cơ sở dữ liệu nhị phân mà bạn có thể '

Cố gắng cài đặt môi trường máy tính để bàn Gnome trên máy chủ Archlinux của tôi cho tôi biết "Tổng kích thước đã cài đặt: 1370,86 MiB". Đó là rất lớn, hãy tưởng tượng bề mặt tấn công thêm mà máy chủ cũ này sẽ có khi nó được cài đặt. Các môi trường máy tính để bàn khác không tốt hơn nhiều.

Rõ ràng là bạn đang mở một cổng khác cho kẻ tấn công; phản bác: chúng tôi đứng sau hai tường lửa của trường đại học (tường lửa mạng đại học chính cũng như tường lửa đặc biệt của mạng con của chúng tôi). VNC sẽ chỉ có thể được thực hiện trong mạng con của chúng tôi, vì vậy tôi bị thua lỗ ...

Đừng bao giờ cho rằng vì hệ thống của bạn đứng sau tường lửa, trên mạng riêng, bạn không cần phải lo lắng về bảo mật. Nhiều, nếu không phải hầu hết, các cuộc xâm nhập thành công được thực hiện bởi những người trong cuộc (nhân viên, sinh viên, v.v.) có quyền truy cập vào các mạng nói trên.

Hãy thử điều này để giữ cho giám đốc kỹ thuật hài lòng:

• Cài đặt VNC và bất cứ máy tính để bàn nào bạn thích

• KHÔNG cài đặt bất kỳ loại bảo vệ màn hình nào. Tại sao? Bạn không có màn hình và máy tính để bàn chỉ ngồi đó không tiêu tốn nhiều tài nguyên.

• KHÔNG chuyển tiếp cổng VNC. Nếu bạn cần sử dụng nó, hãy tạo đường hầm cho cổng VNC (5900) qua SSH (cổng 22) và kết nối với nó theo cách đó.

Quá trình này giúp bạn mã hóa và tất cả bảo mật của SSH, đã được mở. Bạn không thêm bất kỳ vấn đề bảo mật nào mà bạn chưa có trước đây.

Tôi đã làm điều này trên máy chủ của riêng tôi, không có sự chậm trễ đáng chú ý nào trong quy trình VNC so với kết nối trực tiếp.