VNC в Linux: настройка сервера и клиента

Оглавление: VNC в Windows и Linux: настройка и аудит безопасности

1. VNC в Windows: настройка сервера и клиента

2. VNC в Linux: настройка сервера и клиента

2.1 x11vnc

2.1.1 Как установить x11vnc

2.1.2 Быстрый запуск x11vnc

2.1.3 Как установить пароль для x11vnc

2.1.4 Файл настроек x11vnc

2.1.5 Почему x11vnc сама выключается

2.1.6 Графический интерфейс x11vnc

2.1.7 Как разрешить подключения только с определённых IP адресов

2.1.8 Как в x11vnc установить пароль только на просмотр

2.1.9 Как запретить любой ввод на VNC сервере

2.1.10 Как настроить способы ввода, разрешённые пользователям

2.1.11 Настройка совместного доступа

2.1.12 Как прослушивать определённый IP адрес в x11vnc

2.1.13 Как изменить имя рабочего стола VNC

2.1.14 Как изменить номер используемого порта

2.1.15 Демон службы x11vnc

2.1.16 Более плавное обновление картинки

2.1.17 Как запретить подключение всех клиентов

2.1.18 Как менять опции x11vnc без перезапуска службы

2.1.19 Как создать SSL сертификаты для шифрования трафика VNC сессий

2.1.20 Как использовать SSL для шифрования трафика VNC сессий

2.1.21 Как использовать имя и пароль пользователя Linux для аутентификации VNC

2.2 TigerVNC

2.2.1 Как установить TigerVNC

2.2.2 Настройка сервера TigerVNC

2.2.3 Настройки клиента TigerVNC

2.3 ssvnc

2.3.1 Как установить ssvnc

2.3.2 Возможности ssvnc

2.3.3 Подключение с ssvnc используя SSL

2.3.4 Подключение с ssvnc используя SSH

2.4 TightVNC

2.5 TurboVNC

2.6 Туннелирование трафика VNC

2.7 Создание сертификатов VNC подписанных собственным Центром Сертификации (CA)

3. Аудит безопасности VNC


Если вы не знаете, что такое VNC и для чего это нужно, то смотрите первую часть «VNC в Windows: настройка сервера и клиента» в которой объясняются основные понятия.

x11vnc

x11vnc — это сервер VNC для Linux. Пакет x11vnc также включает несколько дополнительных утилит. VNC сервер x11vnc в первую очередь предназначен для работы в качестве службы или демона, но программа имеет и графический интерфейс.

Как установить x11vnc

Пакет x11vnc присутствует в стандартных репозиториях большинства дистрибутивов Linux.

Для установки в Debian, Kali Linux, Linux Mint, Ubuntu и их производные:

sudo apt install x11vnc

Для установки в Arch Linux, BlackArch и их производные:

sudo pacman -S x11vnc

Быстрый запуск x11vnc

Быстрый запуск без предварительной настройки подходит только в экстренных ситуациях, во всех остальных случаях настоятельно рекомендуется хотя бы установить пароль.

Запуск VNC сервера выполняется командой:

x11vnc

Программа выведет длинное сообщение об основах использования.

Поскольку к серверу без пароля может подключиться кто угодно, то для его остановки нажмите CTRL-c и перейдите к настройке.

Как установить пароль для x11vnc

Запустите команду вида:

x11vnc -storepasswd ПАРОЛЬ /ПУТЬ/ДО/ФАЙЛА

В этом случае ПАРОЛЬ в кодированном виде будет записан в указанный ФАЙЛ.

Также вы можете использовать следующий синтаксис:

x11vnc -storepasswd /ПУТЬ/ДО/ФАЙЛА

В этом случае программа запросит пароль и его подтверждение, а также запросит подтверждение на запись пароля в файл.

Также можно не указывать файл для сохранения, то есть следующий синтаксис:

x11vnc -storepasswd

В этом случае пароль будет сохранён в файл по умолчанию, а именно в ~/.vnc/passwd.

Теперь чтобы сервер использовал пароль, запустите команду вида:

x11vnc -rfbauth /ПУТЬ/ДО/ФАЙЛА

Например:

x11vnc -rfbauth ~/.vnc/passwd

Если существует файл ~/.vnc/passwd от другого приложения VNC, то сервер будет работать нормально и с ним.

Кроме опции -rfbauth, после которой нужно указать путь до файла с паролем, сохранённого с помощью опции -storepasswd, имеется ещё две опции по работе с паролем:

  • -passwdfile /ПУТЬ/ДО/ФАЙЛА
  • -passwd ПАРОЛЬ

С опцией -passwdfile указывается путь до файла, в котором в первой строке хранится пароль в виде простого текста.

А опция -passwd позволяет установить пароль прямо в командной строке.

Опция -usepw сделает так, что автоматически будут использоваться файлы ~/.vnc/passwd или ~/.vnc/passwdfile. А если они не существуют, то будет сделан запрос на создание файла ~/.vnc/passwd.

Помните, что пароль защищает только от несанкционированного подключения, но трафик всё равно передаётся в незашифрованным. Чтобы трафик шифровался, его нужно туннелировать через ssh или использовать опции x11vnc SSL: -ssl и -stunnel. Эти вопросы будут рассмотрены далее.

Файл настроек x11vnc

Поддержка файла конфигурации: если файл $HOME/.x11vncrc (то есть ~/.x11vncrc) существует, то каждая строка в нем обрабатывается как один параметр командной строки.

Отключить использование файла конфигурации можно опцией -norc.

Для каждого имени опции начальный символ "-" не требуется. Например, строки "forever" и "-forever" является эквивалентными. Аналогично, «wait 100» или «-wait 100» являются приемлемыми и эквивалентными строками.

Символ "#" комментирует до конца строки (для буквального использования этого символа поставьте перед ним обратный слэш (\)).

Начальные и конечные пробелы обрезаются.

Строки могут быть продолжены символом \ как последним символом строки (он становится пробелом).

К примеру, сохраним в файл ~/.x11vncrc

gedit ~/.x11vncrc

следующую строку:

rfbauth /home/mial/.vnc/passwd

В результате служба x11vnc всегда будет использовать пароль для подключения, даже если запустить её без опций:

x11vnc

Обратите внимание, что путь до файла с паролем записан как абсолютный, а не относительный путь, чтобы независимо от способа запуска (например, при запуске демона от root) не возникало проблем с трактовой пути.

Почему x11vnc сама выключается

По умолчанию сервер x11vnc автоматически завершает работу при отключении клиента. Чтобы это не происходило, используйте опцию -forever.

Также при подключении нового клиента, существующий клиент отключается. Чтобы разрешить множественное подключение клиентов, используйте опцию -shared.

Для достижения стандартного VNC поведения без совместного подключения, когда новый VNC клиент подключается, а существующий VNC клиент отбрасывается, используйте совместно опции -nevershared -forever. Этот метод также может использоваться для защиты от зависших TCP подключений, который не исчезают.

Графический интерфейс x11vnc

Для запуска графического интерфейса x11vnc используйте опцию -gui:

x11vnc -gui

Графический интерфейс можно запускать даже когда служба x11vnc уже работает. Данный интерфейс передаёт команды службе с помощью опции, которая будет рассмотрена далее.

Как разрешить подключения только с определённых IP адресов

Для этого используйте опцию -allow host1[,host2..]

Она разрешает клиентские подключения только с хостов, соответствующих списку имён хостов или IP-адресов, в нём адреса или имена перечисляются через запятую без пробелов. Может также быть числовым префиксом IP, например, "192.168.100." чтобы соответствовать простой подсети. Если список содержит «/», он интерпретируется как файл, содержащий адреса или префиксы, которые перечитываются каждый раз, когда подключается новый клиент. Строки могут быть закомментированы символом "#".

-allow применяется в режиме -ssl, но не в режиме -stunnel.

IPv6: по состоянию на x11vnc 0.9.10, хост может быть указан в числовом формате IPv6, например 2001:4860:b009::93.

Опция -localhost это в основном так то же самое, что и "-allow 127.0.0.1".

Примечание: если вы хотите ограничить, какой сетевой интерфейс прослушивает x11vnc, смотрите опцию -listen ниже. Например. "-listen localhost" или "-listen 192.168.3.21". В особом случае опция «-localhost» подразумевает «-listen localhost».

Если вы не хотите, чтобы x11vnc прослушивал ЛЮБОЙ интерфейс (очевидно, вы используете -connect или -connect_or_exit или планируете использовать удалённое управление: -R connect: host), используйте -rfbport 0

IPv6: если IPv6 поддерживается, этот параметр автоматически подразумевает и loopback адрес IPv6 '::1'.

Как в x11vnc установить пароль только на просмотр

Вы можете в настройках VNC сервера задать пароль, который разрешит клиенту подключаться и видеть экран, но не позволит выполнять любые действия, то есть данный пароль только на просмотр без права любого ввода (с клавиатуры или с помощью мыши).

Для этого используйте опцию -viewpasswd СТРОКА.

Пароль для полного доступа (например, указанный опцией -passwd), также должен быть указан.

Как запретить любой ввод на VNC сервере

Для этого используйте опцию -viewonly, она делает так, что все VNC клиенты могут только наблюдать (по умолчанию выключено).

Как настроить способы ввода, разрешённые пользователям

Опция -input СРОКА делает точную настройку разрешённого пользовательского ввода. Если строка не содержит запятой "," настройка применяется только к обычным клиентам. В противном случае часть перед "," предназначена для обычных клиентов, а часть после для клиентов с правами только для просмотра. «K» - для ввода нажатия клавиши, «M» - для ввода движения мыши, «B» - для ввода нажатием кнопки, «C» - для ввода в буфер обмена, а «F» - для передачи файла (только ultravnc). Их присутствие в строке позволяет этот тип ввода. Например. «-input M» означает, что обычные пользователи могут перемещать только мышь, а «-input KMBCF,M» позволяет обычным пользователям делать все что угодно, и позволяет пользователям с правами только для просмотра перемещать мышь. Эта опция игнорируется, когда действует глобальное -viewonly (в этом случае все входные данные отбрасываются).

Настройка совместного доступа

Одновременное подключение нескольких клиентов к одному VNC серверу регулируется следующими опциями:

-shared

Разрешает одновременное подключение нескольких клиентов

-alwaysshared

Всегда обрабатывать новых клиентов как совместных

-nevershared

Никогда не обрабатывать новых клиентов как совместных

-dontdisconnect

Не отключать существующих клиентов когда приходит новое не-совместное подключение (вместо этого отклонять новые подключения)

Как прослушивать определённый IP адрес в x11vnc

Опцией -listen IP_АДРЕС можно установить, на каком сетевом интерфейс принимать подключения (по умолчанию на всех). Можно указать IP или имя хоста.

Как изменить имя рабочего стола VNC

Для этого есть опция -desktop ИМЯ, которая меняет имя рабочего стола VNC (по умолчанию это "LibVNCServer")

Как изменить номер используемого порта

Поменять порт можно с помощью опции -rfbport ЧИСЛО. Не забудьте указать это же значение при подключении просмотрщика VNC.

Демон службы x11vnc

x11vnc по умолчанию не регистрирует свой демон, но его легко настроить.

Создайте файл /etc/systemd/system/x11vnc.service

sudo gedit /etc/systemd/system/x11vnc.service

со следующим содержимым:

[Unit]
Description=VNC Server for X11
Requires=display-manager.service
After=network-online.target ##optional for better performance
Wants=network-online.target ##optional for better performance

[Service]
ExecStart=/usr/bin/x11vnc -auth guess -display :0 -rfbauth /etc/x11vnc.pwd -shared -forever -o /var/log/x11vnc.log
ExecStop=/usr/bin/x11vnc -R stop
Restart=on-failure
RestartSec=2

[Install]
WantedBy=multi-user.target

Установите пароль VNC (замените МОЙ_ПАРОЛЬ):

sudo x11vnc -storepasswd MY_PASSWORD /etc/x11vnc.pwd

Для запуска службы:

sudo systemctl start x11vnc

Для проверки её статуса:

systemctl status x11vnc

Для включения автозапуска службы при загрузке компьютера:

sudo systemctl enable x11vnc

Для остановки службы:

sudo systemctl stop x11vnc

Для удаления службы из автозагрузки

sudo systemctl disable x11vnc

Более плавное обновление картинки

Попробуйте опцию -ncach ЧИСЛО, например:

x11vnc -ncache 10 ...

Данная опция включает функцию кэширования пикселей на стороне клиента. ЧИСЛО по умолчанию равно 10, то есть -ncache 10.

Данная опция приводит к повышенному потреблению оперативной памяти. Рекомендуются значения ЧИСЛА от 6 до 12. ЧИСЛО должно быть чётным, если это не так, то он увеличивается на 1.

Также попробуйте опцию -ncache_cr.

Как запретить подключение всех клиентов

С помощью опции -deny_all запущенная служба x11vnc не будет принимать подключения. Действие данной опции можно отменить удалённым управлением службы, а именно командой:

x11vnc -remote nodeny

После выполнения данной команды будет разрешено подключение VNC клиентов.

Как менять опции x11vnc без перезапуска службы

Службой x11vnc можно управлять удалённо, например, завершать её работу или на лету менять опции. Для этого используется та же самая команда, которой запускается VNC сервер, то есть x11vnc с опцией -remote. У этой опции два псевдонима: -R и -r.

Список поддерживаемых команд большой, рассмотрим только несколько примеров:

  • Для установки уже запущенного сервера VNC используйте любую из следующих команд:
x11vnc -remote stop
x11vnc -R stop
  • Для разрешения совместных подключений:
x11vnc -R shared
  • Следующая команда изменит масштабирование рабочего стола:
x11vnc -R scale:3/4

Команда для разрешения подключений, если VNC сервер был запущен с опцией -deny_all:

x11vnc -remote nodeny

Для запуска последовательности команд используйте что-то вроде такого:

x11vnc -R 'script:ПЕРВАЯ КОМАНДА;ВТОРАЯ КОМАНДА;...'

Для чтения команд из файла используйте:

x11vnc -R script:file=/ПУТЬ/ДО/ФАЙЛА

Файл может состоять из нескольких строк и использовать символ '#' для комментирования. В любом случае нужно использовать разделитесь ';' для отделения каждой команды.

Как создать SSL сертификаты для шифрования трафика VNC сессий

На сервере сгенерируйте сертификаты (замените оба вхождения «192.168.0.100» на IP-адрес сервера — это может быть как локальный, так и глобальный IP):

openssl req -x509 -newkey rsa -days 365 -nodes -keyout vnc-server-private.pem -out vnc-server.pem -subj '/CN=192.168.0.100' -addext "subjectAltName=IP:192.168.0.100"

Для x11vnc нужен файл, в котором вначале идёт приватный ключ, а затем сертификат, создадим его следующей командой:

cat vnc-server-private.pem vnc-server.pem > server.pem

Эта команда просто объединила содержимое файлов vnc-server-private.pem и vnc-server.pem в файл server.pem.

Как использовать SSL для шифрования трафика VNC сессий

Сервер запустите с опцией -ssl после которой укажите путь до файла server.pem:

x11vnc -ssl server.pem

Скопируйте файл с сертификатом vnc-server.pem на компьютер с просмотрщиком VNC — то есть клиентам, которые будут подключаться — укажите в клиентском приложении путь до файла сертификата, например в TigerVNC:

После этого VNC трафик будет шифроваться:

Как использовать имя и пароль пользователя Linux для аутентификации VNC

По умолчанию для входа по VNC нужно установить специальный пароль для данной службы. Если вы хотите, чтобы аутентификация происходила с использованием учётных данных пользователей на сервере, то укажите опцию -unixpw [СПИСОК].

Для данной опции обязательно использовать шифрование с помощью SSL сертификата:

x11vnc -ssl server.pem -unixpw

В результате будет использоваться Unix имя пользователя и пароль аутентификации. x11vnc будет использовать программу su для проверки пароля пользователя. [СПИСОК] — необязательный список разрешённых имён пользователей Unix, разделённых запятыми. Если строка [СПИСОК] начинается с символа "!" тогда весь список принимается как исключающий список. Ниже приведены параметры для каждого пользователя, которые могут быть применены.

Знакомый диалог "login:" and "Password:" представлен пользователю на чёрном экране внутри vncviewer. Соединение обрывается, если пользователь не в состоянии ввести правильный пароль в 3 попытках или не отправляет его до истечения 45-секундного тайм-аута. В этот период существующие клиенты доступны только для просмотра.

Если первым полученным символом является «Escape», то имя пользователя unix не будет отображаться после «login:» по мере его введения. Это может быть полезно для просмотрщиков VNC, которые автоматически вводят имя пользователя и пароль.

Поскольку подробное поведение su может варьироваться от ОС к ОС и для локальных конфигураций, проверьте режим перед развёртыванием, чтобы убедиться, что он работает правильно. x11vnc попытается быть консервативным и отклонит вход в систему, если произойдёт что-то ненормальное.

Имена пользователей в [СПИСКЕ] через запятую могут иметь индивидуальные параметры после «:», например, "fred:opts", где "opts" - это разделённый плюсом ("+") список "viewonly", "fullaccess", "input = XXXX" или "deny", например, "karl,wally:viewonly,boss:input=M". Для «input=» это K,M,B,C, о которых рассказано при описании опции -input.

Если элемент в списке «*», это означает, что эти параметры применяются ко всем пользователям. Это также подразумевает, что все пользователи могут войти в систему после предоставления действительного пароля. Используйте «deny», чтобы явно запретить некоторых пользователей, если вы используете «*», чтобы установить глобальную опцию. Если [СПИСОК] начинается с "!", символ «*» игнорируется для проверки, разрешён ли пользователь, но значения параметров, связанные с ним, применяются как обычно.

TigerVNC

Программа TigerVNC уже знакома нам по первой части, посвящённой серверам и клиентам VNC для Windows.

Поскольку TigerVNC является кроссплатформенной программой, то можно ожидать, что она имеет одинаковый интерфейс и одинаково работает во всех операционных системах. На самом деле это не так. Клиент (просмотрщик) TigerVNC одинаковый на Windows и Linux. Но сервер TigerVNC сильно различается: на Windows это служба с графическим интерфейсом, а на Linux это служба с интерфейсом командной строки, которая прослушивает только LOOPBACK интерфейс и, следовательно, для подключение требует предварительно создать SSH туннель.

Как установить TigerVNC

Установка в Debian, Kali Linux, Linux Mint, Ubuntu и их производные:


sudo apt install tigervnc-standalone-server tigervnc-viewer tigervnc-xorg-extension

Для установки в Arch Linux, BlackArch и их производные:

sudo pacman -S tigervnc

Настройка сервера TigerVNC

Для работы сервера TigerVNC требуется файл ~/.vnc/xstartup. Если этот файл не существует, то TigerVNC пытается его создать. В моих тестах на разных дистрибутивах этот файл обычно приходилось создавать вручную.

Содержимое файла ~/.vnc/xstartup зависит от вашего окружения рабочего стола! То есть для Cinnamon, XFCE, GNOME и т. д. файлы будут разные!

Дело в том, что TigerVNC не используют текущую X сессию, а создаёт новую. Благодаря такому подходу можно, например, для пользователей выполнивших вход перед компьютером и пользователей, подключившихся по VNC, запускать различные окружения рабочего стола (при условии, что они установлены). Настройка запуска сеанса рабочего стола для VNC выполняется в файле ~/.vnc/xstartup. Общая минимальная структура файла ~/.vnc/xstartup следующая:

#!/bin/bash

PATH=/usr/bin:/usr/sbin
unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
exec ЗАПУСК &

Вместо слова ЗАПУСК должен быть указан исполнимый файл, запускающий X сессию.

  • Для Cinnamon: cinnamon-session-cinnamon
  • Для XFCE: startxfce4
  • Для GNOME: /usr/bin/gnome-session
  • Для Kodi: kodi-standalone
  • Для Mate: mate-session
  • Для lxqt: startlxqt

Вы можете самостоятельно узнать исполнимый файл для любого окружения рабочего стола, установленного в вашей системе, выполнив

ls /usr/share/xsessions/

В этой папке вы увидите файлы с расширением .desktop, например:

cinnamon2d.desktop  cinnamon.desktop  gnome.desktop  gnome-xorg.desktop  kodi.desktop

Откройте с именем интересующего вас окружения рабочего стола и найдите там строку, которая начинается на «Exec», например для файла xfce.desktop:

Exec=cinnamon-session-cinnamon

Следовательно, вместо слова «ЗАПУСК» в файле ~/.vnc/xstartup нужно вписать «cinnamon-session-cinnamon». Тогда файл ~/.vnc/xstartup будет иметь следующее содержимое:

#!/bin/bash

PATH=/usr/bin:/usr/sbin
unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
exec cinnamon-session-cinnamon &

Как создать пароль для TigerVNC сервера

Используйте утилиту:

vncpasswd

После неё можно указать файл, в который должен быть сохранён пароль, в противном случае пароль будет сохранён в файл по умолчанию, то есть в $HOME/.vnc/passwd.

После ввода пароля программа спросит:

Would you like to enter a view-only password (y/n)?

То есть хотите ли вы создать пароль для режима «только просмотр» - если хотите, то введите «y», если не хотите, то введите «n».

Запуск сервера TigerVNC

Запуск выполняется любой из следующих команд:

vncserver
tigervncserver

Пароль для аутентификации на сервере будет взят из файла $HOME/.vnc/passwd. Вы можете указать другой файл с паролем, с помощью любой из следующих опций (они все являются псевдонимами друг друга):

  • -PasswordFile ФАЙЛ
  • -passwd ФАЙЛ
  • -rfbauth ФАЙЛ

Будет выведено примерно следующее:

Cleaning stale pidfile '/home/mial/.vnc/HackWare:1.pid'!

New 'HackWare:1 (mial)' desktop at :1 on machine HackWare

Starting applications specified in /home/mial/.vnc/xstartup
Log file is /home/mial/.vnc/HackWare:1.log

Use xtigervncviewer -SecurityTypes VncAuth -passwd /home/mial/.vnc/passwd :1 to connect to the VNC server.

Может показаться, что программа завершила работу — но это не так, процесс переведён в фон. В данном сообщении сказано, что новый рабочий стол создан на дисплее с номером :1, а журнал сохраняется в файл /home/mial/.vnc/HackWare:1.log.

Чтобы убедиться, что сервер действительно работает, проверим, какие порты прослушиваются (смотрите также «Как проверить открытые порты на своём компьютере»):

ss -tulp

Как можно увидеть, прослушивается порт 5901, который также считается стандартным для VNC.

Как сделать так, чтобы TigerVNC прослушивал не только 127.0.0.1

По умолчанию TigerVNC прослушивает только интерфейс с IP адресом 127.0.0.1, это LOOPBACK (петлевой) адрес, то есть к VNC серверу можно подключиться только с этого же самого компьютера, либо через SSH туннель. Как именно использовать SSH туннель для подключения к TigerVNC будет показано чуть ниже.

Кроме этого, имеется опция -localhost, которая может принимать значение «yes» или «no». Если указать -localhost no, то TigerVNC сервер будет прослушивать любые входящие подключения, а не только локальные:

vncserver -localhost no

Как поменять порт TigerVNC сервера

Прослушиваемый TCP порт для RFB протокола можно поменять опцией -rfbport ПОРТ.

Порт для внутреннего HTTP сервера устанавливается опцией -httpPort.

Как настроить выключение TigerVNC после отключения клиента

Для этого есть две опции:

  • -autokill: завершает работу VNC сервера после завершения X сессии
  • -fg: не переводит процесс в статус демона и завершает работу VNC сервера после завершения X сессии

Как использовать SSL сертификаты в TigerVNC для шифрования трафика VNC сессий

Поскольку TLS/SSL шифрование защищает VNC трафик от прослушивания, то нет особого смысла использовать одновременно SSH туннель (который также хорошо зашифрован) и SSL сертификаты. По этой причине при генерации сертификатов в качестве IP адреса указывайте внешний, а не 127.0.0.1.

На сервере сгенерируйте сертификаты (замените оба вхождения «192.168.0.100» на IP-адрес сервера — это может быть как локальный, так и глобальный IP):

openssl req -x509 -newkey rsa -days 365 -nodes -keyout vnc-server-private.pem -out vnc-server.pem -subj '/CN=192.168.0.100' -addext "subjectAltName=IP:192.168.0.100"

Скопируйте файл с сертификатом vnc-server.pem на компьютер с просмотрщиком VNC — то есть клиентам, которые будут подключаться — укажите в клиентском приложении путь до файла сертификата:

На сервере же используйте опцию -X509Key с файлом vnc-server-private.pem и опцию -X509Cert с файлом vnc-server.pem.

По умолчанию в качестве типов безопасности предлагается только VncAuth. С помощью опции -SecurityTypes можно указать любые типы шифрования из списка: None, VncAuth, Plain, TLSNone, TLSVnc, TLSPlain, X509None, X509Vnc, X509Plain.

Для SSL сертификтов (то есть для опций -X509Key и -X509Cert) используются типы безопасности X509None, X509Vnc и X509Plain. Также нужно указать VncAuth, чтобы была возможность выполнять VNC аутентификацию.

Таким образом, собираем все необходимые опции в одну команду:

vncserver -localhost no -X509Key vnc-server-private.pem -X509Cert vnc-server.pem -SecurityTypes X509Vnc,X509Plain,VncAuth

Управление и остановка процессом TigerVNC

Чтобы вывести список запущенных рабочих столов с VNC выполните следующую команду:

vncserver -list

Будет выведено:

Где:

  • X DISPLAY # - номер дисплея
  • RFB PORT # - номер прослушиваемого порта
  • PROCESS ID - идентификатор процесса

Чтобы закрыть дисплей с любым номером, используйте опцию -kill, к примеру, чтобы закрыть дисплей :1:

vncserver -kill :1

Имеется утилита vncconfig, которая с использованием опции [-set] Xvnc-param=value позволяет изменять опции запущенного VNC сервера на лету.

Чтобы вывести список опций VNC сервера укажите флаг -list:

vncconfig -display :1 -list

Обратите внимание, что также нужно использовать опцию -display после которой указывается номер дисплея.

Как настроить автоматический запуск сервера TigerVNC

Создайте файл /etc/systemd/system/vncserver@.service:

sudo gedit /etc/systemd/system/vncserver@.service

Скопируйте в этот файл

[Unit] 
Description=Remote desktop service (VNC) 
After=network.target 

[Service] 
Type=forking
User=mial
ExecStartPre=-/usr/bin/vncserver -kill :%i > /dev/null 2>&1
ExecStart=/usr/bin/vncserver -localhost no :%i
ExecStop=/usr/bin/vncserver -kill :%i

[Install] 
WantedBy=multi-user.target

Обратите внимание на строку User=mial — впишите в неё имя вашего пользователя вместо mial.

Сохраните и закройте этот файл.

Теперь перезагрузите конфигурацию менеджера systemctl для чтения свежесозданного файла юнита следующим образом:

sudo systemctl daemon-reload

Для запуска службы VNC выполните команду:

sudo systemctl start vncserver@1

Обратите внимание, что вместо 1 вы можете указывать любой номер дисплея.

Для проверки статуса службы:

systemctl status vncserver@1

Для добавления службы в автозагрузку:

sudo systemctl enable vncserver@1

Для остановки службы:

sudo systemctl stop vncserver@1

Для удаления службы из автозагрузки:

sudo systemctl disable vncserver@1

Настройки клиента TigerVNC

Опции просмотрщика TigerVNC

С настройкой клиента TigerVNC мы уже познакомились в разделе, посвящённому Windows, поэтому перейдите туда: https://hackware.ru/?p=12383#76

Обратите внимание, что в Linux меню настроек TigerVNC переведено на русский язык, что в ещё большей степени должно облегчить знакомство с программой:

Как подключиться к серверу TigerVNC

При использовании опции -localhost no VNC сервер прослушивает все сетевые интерфейсы, а не только петлевой, поэтому при использовании опции -localhost no подключение к такому серверу ничем не отличается от типичной работы с удалёнными рабочими столами по VNC. Разве что нужно помнить, что вместо порта 5900 первым дисплеем прослушивается порт 5901, поэтому нужно указать его, например, 192.168.0.100:5901.

Рассмотрим, как подключиться к TigerVNC, прослушивающему только петлевой интерфейс (localhost).

Для успешного подключения необходим доступ по SSH к компьютеру с VNC сервером. На компьютере с VNC сервером должна быть запущена служба SSH.

Для создания SSH туннеля выполните команду вида:

ssh -L 5901:127.0.0.1:5901 -N -f -l ПОЛЬЗОВАТЕЛЬ IP

Где:

  • ПОЛЬЗОВАТЕЛЬ — это пользователь Linux на удалённом компьютере, где запущен сервер VNC
  • IP — это IP адрес удалённого компьютера с VNC сервером

Например, имя пользователя на удалённой системе mial, а IP адрес сервера 192.168.0.100, тогда команда для создания туннеля следующая:

ssh -L 5901:127.0.0.1:5901 -N -f -l mial 192.168.0.100

Теперь при запуске VNC просмотрщика в качестве хоста для подключения нужно указать 127.0.0.1:5901:

Как закрыть SSH туннель

Поскольку запущенный процесс SSH уходит в фон, то находим его ID с помощью команды:

ss -tulp

Пример вывода:

Netid           State            Recv-Q           Send-Q                     Local Address:Port                     Peer Address:Port          Process
tcp             LISTEN           0                128                            127.0.0.1:5901                          0.0.0.0:*              users:(("ssh",pid=20292,fd=5))
tcp             LISTEN           0                128                                [::1]:5901                             [::]:*              users:(("ssh",pid=20292,fd=4))

Как можно увидеть, идентификатор процесса в моём случае равен 20292 (строка «pid=20292»), тогда запускаем команду для закрытия этого процесса:

kill PID

т. е.

kill 20292

ssvnc

ssvnc — это продвинутый TightVNC просмотрщик с помощником для шифрования VNC сессий с помощью SSL сертификатов и SSH туннелирования.

Как установить ssvnc

Для установки ssvnc в Debian, Kali Linux, Linux Mint, Ubuntu и их производные выполните команду:

sudo apt install ssvnc xfonts-cyrillic

Установка ssvnc в Arch Linux, BlackArch и их производные

Пакет ssvnc отсутствует в стандартных репозиториях Arch Linux, но присутствует в AUR, поэтому его можно установить вручную (смотрите статью «Как установить программу из Arch User Repository (AUR) – пользовательского репозитория Arch»):

git clone https://aur.archlinux.org/ssvnc.git
cd ssvnc
makepkg -si

Вместо ручного способа рекомендуется познакомиться с программой pikaur (вы её полюбите! Подробности смотрите в статье «Автоматическая установка и обновление пакетов AUR») и установить с помощью pikaur:

pikaur -S ssvnc

Возможности ssvnc

Программа ssvnc имеет графический интерфейс, хотя также поддерживает настройку с помощью опций командной строки.

Для запуска программы выполните:

ssvnc

Поле VNC Host:Display предназначена для ввода IP адреса хоста и номера дисплея. На самом деле, обычно номер дисплея вводить не требуется. Здесь же после двоеточия вы можете указать номер порта, если он отличается от стандартного. Записи IP:1 (первый дисплей на IP) и IP:5901 (порт 5901 на IP) являются идентичными. То есть 192.168.0.100:1 и 192.168.0.100:5901 для программы это одно и то же.

Если после двоеточия вы используете цифру < 200, то программа думает, что вы указали номер дисплея и пытается подключиться к порту 5900 + n. Если вам нужно использовать порт TCP менее чем 200, то укажите отрицательное число, например: 24.67.132.27:-80

В это поле можно указать различные протоколы, которые укажут программе, использовать ли SSL, SSH, их вместе или вообще ничего не использовать. Но, на мой взгляд, проще переключать значения в графическом меню, чем запоминать малоупотребительные обозначения.

VNC Password — здесь вы можете указать пароль для VNC аутентификации — можно оставить поле пустым и в этом случае VNC просмотрщик покажет диалоговое окно ввода пароля.

Proxy/Gateway — прокси и шлюз, большинству пользователей это не нужно.

Use SSL — использовать SSL

Use SSH — использовать SSH

Use SSL+SSH — использовать SSL вместе с SSH. Это обычно не нужно, поскольку SSH также обеспечивает шифрование как и SSL. На практике может понадобиться только при определённых настройках файервола для обхода ограничений.

None — не использовать шифрование, просто запустить просмотрщик VNC

Save — сохранить профиль с введёнными настройками

Load — загрузить профиль с введёнными настройками

Подключение с ssvnc используя SSL

В настройках сервера здесь и здесь говорилось, что нужно перенести сертификат на клиентскую машину — именно этот сертификат и будет нужен для шифрования трафика с помощью SSL.

Важно: сертификат SSL может быть подменён на лету!!! То есть шифрование с помощью SSL предотвратит пассивный перехват трафика, но если атакующий использует инструменты для подмены сертификатов, то от этой атаки вы не защищены!

Если вы знаете про протокол HTTPS, то вы в курсе, что там также используются сертификаты SSL и эти сертификаты вам не требуется проверять вручную. Дело в том, что в вашей системе установлено множество сертификатов CA (Центров Сертификации) и владелец сайта заплатил деньги за подпись его сертификата одним из этих CA. В результате ваш веб-браузер проверяет все сертификаты сайтов, что они выданы уполномоченным Центром Сертификации.

С SSL сертификатами для VNC, которые вы сами генерируете, это не так. Ваш самоподписанный SSL сертификат ничем не лучше самоподписанного SSL сертификата хакера, который может выполнять атаку человек-посередине.

Чтобы избежать подмены сертификата атакующим, есть два метода:

  • создать свой собственный CA (Центров Сертификации) и подписать самостоятельно сгенерированные SSL сертификаты с его помощью. Благодаря этому всегда можно проверить сертификат, выдан ли он данным CA. Этот вопрос не рассматривается в этой статье — если вам это интересно, то пишите в комментариях и я дополню
  • верифицировать сертификат вручную или передавать его через безопасный канал.

Верификация сертификата

Введите адрес хоста и нажмите кнопку «Fetch Cert»:

Данный сертификат вам нужно будет проверить, например, по отпечатку (Fingerprint) который был передан по другому надёжному каналу (например, продиктован по телефону).

Это же самое окно с информацией о сертификате появится при подключении. Если всё правильно, вы можете сохранить этот сертификат в доверенных. Если в дальнейшем сертификат измениться (будет подменён атакующим), то вы вновь увидите это окно для проверки.

Другой вариант — это передать сертификат по надёжному каналу, например, по электронной почте. В этом случае нажмите кнопку «Cert». В открывшемся окне в поле «CerverCert» укажите путь до сертификата сервера:

Сохраните этот профиль, чтобы не пришлось заново вводить путь до сертификата:

Для подключения нажмите кнопку «Connect».

Если вы не указали VNC пароль в интерфейсе, то вам будет предложено его ввести:

Подключение с ssvnc используя SSH

В главном интерфейсе переключитесь на «Use SSH».

У вас должна быть возможность выполнить вход по SSH на удалённом компьютере. Для этого на нём должна быть запущена служба SSH, а у вас должен быть логин и пароль для входа.

При вводе хоста используйте следующую конструкцию:

ПОЛЬЗОВАТЕЛЬ@ХОСТ:ДИСПЛЕЙ

К примеру, имя пользователя на удалённом хосте mial, IP адрес удалённого хоста 192.168.0.100, я хочу подключиться к дисплею :0 на стандартном порту (можно не указывать), тогда запись следующая:

mial@192.168.0.100

Сохраните данные настройки в файл, чтобы не вводить их каждый раз.

При подключении вам будет предложено ввести пароль SSH для создания туннеля до удалённого компьютера:

Выполнен вход на удалённую систему по VNC:

TightVNC

Пакет TightVNC очень похож на TigerVNC, который рассмотрен ранее.

Для установки TightVNC в Debian, Kali Linux, Linux Mint, Ubuntu и их производные выполните:

sudo apt install tightvncserver xtightvncviewer

О том, как работать с данным клиентом и сервером смотрите справку по TigerVNC.

TurboVNC

TurboVNC — оптимизированная версия TightVNC. Следовательно, программы из пакетов TigerVNC, TightVNC и TurboVNC очень похожи.

Для установки TurboVNC в Arch Linux с помощью pikaur и их производные выполните команду:

pikaur -S turbovnc

Туннелирование трафика VNC

УНИВЕРСАЛЬНАЯ ИНСТРУКЦИЯ — БУДЕТ ДОБАВЛЕНА ПОЗЖЕ

Смотрите также http://www.karlrunge.com/x11vnc/#tunnelling

Создание сертификатов VNC подписанных собственным Центром Сертификации (CA)

БУДЕТ ДОБАВЛЕНА ПОЗЖЕ

Рекомендуется Вам:

Добавить комментарий

Ваш адрес email не будет опубликован.