VNC'yi kurmanın bir dezavantajı var mı?

Üniversitemin dil bölümünde, yakında fakülte ve bölüm öğrencileri tarafından kullanılan bir web uygulamasına ev sahipliği yapacak bir Intel NUC var. NUC, Ubuntu'yu (14.10) çalıştırır.

Terminalde ve sunucuya SSH-ing ile rahatım, ancak yapmam gereken birçok görevin ekran paylaşımı (VNC) ile çok daha kolay olduğunu düşünüyorum.

Yeni teknik direktörümüze hayatımı daha kolay hale getirmek için VNC'yi bu sunucuya kurmamızı önerdim (aslında işe alınmadan önce VNC kurulmuştu ve sonra kaldırmıştı). Ancak, aşağıdaki yorumu yanıtladı:

Bundan kurtulabilirsek X veya VNC'yi sunucuda çalıştırmamayı tercih ederim. Ne de olsa bir sunucudur.

Bu mantığı gerçekten anlamıyorum. Bir monitöre bağlanmaz; SSH üzerinden tek erişim. VNC'nin farkında olmadığım bir sunucuya erişmesinin mucizevi bir dezavantajı var mı?

Açıkçası bir saldırgan için başka bir liman açıyorsunuz; rebuttal: iki üniversite güvenlik duvarının (ana üniversite ağ güvenlik duvarı ve alt ağımızın kendi özel güvenlik duvarı) arkasındayız. VNC sadece alt ağımız içinde gerçekleştirilebildiğinden, bunun neden "bakımı sürdürmek için başka bir paket" dışında bir sorun olabileceği ve Ubuntu'nun aptsorun olmayan paket yöneticisi ile ilgili bir kayıp olacağım .

Bir sunucuya VNC kurmanın dezavantajları nelerdir?

Düzenleme : Bu sadece bir web sunucusu değil. Bir dizi başka uygulamaya ev sahipliği yapıyor. Bunun bir fark yaratıp yaratmadığından emin değilim.

Bunun birçok nedeni var:

• Saldırı yüzeyi: Daha fazla program, özellikle de ağa bağlı olanlar, birisinin bir hata bulması ve içeri girmesi için daha fazla fırsat anlamına gelir.

• Kusurlu yüzey: yukarıdaki gibi, ancak "birini" " Murphy " ile değiştirin ve "içeri girin" ile "gününüzü mahvet". Aslında, "gününüzü mahvet" muhtemelen bir önceki nokta için de geçerlidir.

• Sistem verimliliği: X11 ve insanların üzerinde çalıştıkları GUI ortamları, özellikle NUC gibi sınırlı bir kaynak sisteminde iyi miktarda RAM tüketir. Onları çalıştırmamak, faydalı işler yapmak için daha fazla kaynak anlamına gelir.

• Operatör verimliliği: GUI'ler komut dosyalarına ve diğer otomasyon şekillerine borç vermezler. Bir şeylere tıklamak üretken hissettiriyor, ancak aslında derin bir teknik yapmanın en kötü yolu hakkında. Ayrıca, işinizi kodlayamaz ve otomatikleştiremezseniz, gelecekteki istihdam fırsatlarınızı ciddi şekilde sınırlanmış bulacaksınız - endüstri GUI yönetici araçlarından uzaklaşıyor . Heck, Windows sunucusu bile bu günlerde GUI'siz olarak kurulabilir ve eğer bu sadece şeyleri nasıl tıklayacağınızı bilmenin göreli yararları hakkında düşünmenizi sağlamazsa, size ne söyleyeceğimi gerçekten bilmiyorum.

Sorun VNC değil - beni yanlış anlamayın, VNC korkunç bir protokoldür ve birçok kusuru vardır (en büyüğü şifreleme desteğinin olmamasıdır, bu yüzden her şey düz metin olarak ağ üzerinden geçer), ancak ana değildir bu nedenle sunucularda kullanılması önerilmez.

Ne, siyah bir ekrana erişmek için VNC yükleyeceksiniz? Hayır, tüm masaüstü ortamına erişmek istediniz ve asıl sorun bu.

Tüm bu masaüstü sınıfı Gnome (veya benzeri) yazılımları yükledikten sonra, sunucunuzun güvenliği ihlal edildiğini düşünebilirsiniz, çünkü bu korkunç, devasa uygulama koleksiyonunda (üretkenlik için tasarlanmamış olmasının yanı sıra) kullanılmayacak çok fazla hata var ve bir ton kaynak kullanır). Bu yazılımı ve Linux masaüstü ortamlarının çoğunu önermememin diğer nedenlerinden biri, tüm sistemi neredeyse bir rootkit gibi ele geçirmeleri ve her şeyin kendi sürümlerini uygulamalarıdır (kimlik doğrulama? Artık sağlam kullanıcılar ve gruplar yok) , bu Policykit saçmalığını bazı okunamayan, belirsiz XML dosyalarına dayalı izinler veren kök olarak çalıştıralım ... Yapılandırma kimin okuyabileceği yapılandırma dosyalarına ihtiyaç duyuyor? Her şeyi yapabileceğiniz ikili veritabanlarında saklayalım '

Archlinux sunucuma bir Gnome masaüstü ortamı kurmaya çalışmak bana "Toplam Kurulu Boyut: 1370.86 MiB" diyor. Bu çok büyük, bu eski sunucunun kurulduktan sonra ekstra saldırı yüzeyini hayal edin. Diğer masaüstü ortamları çok daha iyi değil.

Açıkçası bir saldırgan için başka bir liman açıyorsunuz; rebuttal: iki üniversite güvenlik duvarının (ana üniversite ağ güvenlik duvarı ve alt ağımızın kendi özel güvenlik duvarı) arkasındayız. VNC sadece alt ağımız içinde gerçekleştirilebilirdi, bu yüzden kaybım var ...

Sisteminiz bir güvenlik duvarının arkasında, özel bir ağda olduğu için güvenlik konusunda endişelenmenize gerek olmadığını asla varsaymayın. Çoğu olmasa da, pek çok başarılı saldırı, söz konusu ağlara erişimi olan içericiler (çalışanlar, öğrenciler vb.) Tarafından gerçekleştirilir.

Teknik direktörü mutlu etmek için bunu deneyin:

• VNC'yi ve istediğiniz masaüstünü yükleyin

• Herhangi bir ekran koruyucu TAKMAYIN. Niye ya? Bir ekranınız yok ve sadece orada oturan bir masaüstü çok fazla kaynak tüketmiyor.

• VNC bağlantı noktasını iletmeyin. Kullanmanız gerekiyorsa, VNC portunu (5900) SSH (port 22) üzerinden tünelleyin ve bu şekilde bağlayın.

Bu işlem size şifreleme ve zaten açık olan SSH'nin tüm güvenliğini sağlar. Daha önce sahip olmadığınız hiçbir güvenlik sorununu eklemiyorsunuz.

Bunu zaten kendi sunucumda yapıyorum, VNC işleminde doğrudan bir bağlantıya kıyasla belirgin bir ek gecikme yok.