基于CentOS7搭建RealVNC实现远程访问 (含安全策略设置、常见问题处理等)

nidiya

感谢分享

churchmice

swicap 发表于 2023-1-28 16:46
请教:
1. 如果vnc卡死，用户如果不被允许ssh/telnet方式登录server，还有什么方式能自己kill 进程吗?
2. 能 ...

这种方案我搞过
1) 可以限制ssh只能运行特定的命令，你可以限制只能运行一个叫做restart_vnc的命令
用户一登录ssh，就直接运行restart_vnc
2) 当然可以了，你的服务器可以只开放特定端口，每个端口都和用户一一绑定，当然这个绑定规则你需要用个文件做下维护


当然用vnc是有一个巨大的漏洞的，假设你给用户分配了端口x用于访问vnc,那用户完全可以登录vnc之后写个脚本，直接把vnc关掉，运行一个ftp在端口x上，进行数据传输，然后再自动把ftp干掉，接着在端口x上启动vnc,你作为一个管理员是很难发现的
除非写个脚本一秒钟扫描一次端口x是不是被类似/usr/bin/vncserver使用

我不想搞的这么不优雅，所以后来都用etx玩了

lover2012

谢谢分享。。。。

百事可乐001

swicap 发表于 2023-1-28 16:46
请教:
1. 如果vnc卡死，用户如果不被允许ssh/telnet方式登录server，还有什么方式能自己kill 进程吗?
2. 能 ...

问题1：因为桌面卡死后不仅要kill桌面，桌面上的仿真软件也会受到影响，所以我们公司要求的是运维人员为研发人员处理卡死问题，而不是让他们自己操作。如果非要让他们自己操作的话，可以新建一个公共桌面，用户登录进去后通过Terminal程序su - 用户名到自己的环境，然后结束桌面

问题2：
CentOS6系统可以安装tigervnc-server，然后su - 用户环境，通过运行vncpasswd设置连接密码，再按以下格式编辑/etc/sysconfig/vncservers文件实现批量定义端口号和连接参数
VNCSERVERS="1:用户1 2:用户2"
VNCSERVERARGS[1]="-geometry 1920x1080 -nolisten tcp -alwaysshared -depth 24 -SendCutText=0"
VNCSERVERARGS[2]="-geometry 1920x1080 -nolisten tcp -alwaysshared -depth 24 -SendCutText=0"

CentOS7系统的tigervnc-server演变成了为每个用户单独创建/etc/systemd/system/vncserver@:1.service服务的形式，通过/etc/sysconfig/vncservers批量定义的方式无法使用

为了方便在防火墙做策略，以及防止用户私自开文件类的应用传输数据，我们公司的防火墙只允许客户机与服务器进行5999端口的通信。不过公司有几台很老的redhat服务器上面的realvnc可以通过/etc/sysconfig/vncservers批量定义用户端口，我把服务器上的相同版本realvnc装到CentOS7系统却无法实现这个功能，有了最新进展我再回复

swicap

churchmice 发表于 2023-1-28 22:53
这种方案我搞过
1) 可以限制ssh只能运行特定的命令，你可以限制只能运行一个叫做restart_vnc的命令
用户 ...

多谢回复，我也去试试

swicap

百事可乐001 发表于 2023-1-29 09:39
问题1：因为桌面卡死后不仅要kill桌面，桌面上的仿真软件也会受到影响，所以我们公司要求的是运维人员为 ...

多谢两位分享，要安全使用vnc看来还需要挺多配置~

垂直雨林

小白弱弱问一句，意思是我如此设定了实验室服务器后，可以用VNC远程登陆？

cxmcxm666888

thanks

cxmcxm666888

tigervnc和realvnc哪个更好？

百事可乐001

cxmcxm666888 发表于 2023-2-2 15:11
tigervnc和realvnc哪个更好？

要看使用环境和系统：如果是centos7系统、需要访问服务器人数较多的话，tigervnc要为每个用户创建单独的服务、realvnc可以实现所有用户连接5999端口访问不同的桌面，在这方面realvnc略胜一筹，如果是个人单用户使用的话两款软件区别不是很大