阅读量:80
以下是Debian下TigerVNC的安全设置技巧:
-
用户权限管理
- 创建专用VNC用户(非root),加入
vncusers组,并配置/etc/systemd/system/vncserver@:1.service中运行用户为该专用用户。 - 禁止直接使用root用户运行VNC服务。
- 创建专用VNC用户(非root),加入
-
访问控制
- 通过防火墙(如
ufw)限制VNC端口(默认5901)仅允许可信IP访问:
sudo ufw allow from <可信IP> to any port 5901。 - 编辑
~/.vnc/xstartup,通过xauth或x11vnc限制仅授权用户连接。
- 通过防火墙(如
-
加密传输
- SSH隧道:通过
ssh -L 5901:localhost:5901 user@server加密VNC流量,避免直接暴露端口。 - SSL/TLS加密:
- 生成自签名证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vnc.key -out /etc/ssl/certs/vnc.crt。 - 编辑
~/.vnc/xstartup,添加-ssl -cert /path/to/cert -key /path/to/key参数启用SSL。
- 生成自签名证书:
- SSH隧道:通过
-
服务配置优化
- 禁用图形加速(适用于无显卡或低性能环境):在
~/.vnc/xstartup中添加export XKL_XMODMAP_DISABLE=1。 - 设置VNC密码:
vncpasswd,并定期更新密码。
- 禁用图形加速(适用于无显卡或低性能环境):在
-
系统级安全增强
- 启用系统日志记录VNC连接信息,便于审计。
- 定期更新TigerVNC软件包:
sudo apt update && sudo apt upgrade。
参考来源: