Xvnc abgesichert ?!

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
bizzY
Beiträge: 3
Registriert: 10.07.2003 01:54:28

Xvnc abgesichert ?!

Beitrag von bizzY » 12.01.2004 06:31:58

hallo Debianer,

Ich habe mich jetzt seit einiger Zeit mit dem Xvnc rumgeschlagen, da ich dem protokoll nicht so vertraue wollte ich euf dem rechner auf dem der Vncserver läuft keine offenen Ports nach aussen anbieten, also habe ich mit iptables bzw vncserver -nolisten tcp rumexperimentiert, alllerdings immer mit dem ergebniss, dass ich keine Verbing von meinem Client Rechner bekam...ohne "-nolisten tcp" aufgerufen bot mein Xvnc immer port 6001 tcp an...also habe ich mir TightVNC besorgt und kompiliert und siehe da, mit "-nolisten tcp" string aufgerufen bietet der Server nur noch port 22 also ssh an.
Ich connecte mich jetzt folgender massen, per ssh vom Client zum Server, ssh mit dem parameter-X für X-forwarding aufgerufen, dann rufe ich "xvncviewer localhost :1" in der ssh shell auf und auf meinem Client Rechner erscheint der Vnc Desktop des Servers...
Die remote Desktop Session wird also per ssh und X-forwarding auf meinen Client Rechner gelenkt!
jetzt habe ich dazu ne frage,
die einzige Verbidung die zwischen Server und Client besteht ist von nem hohen Client Port auf Port 22 des Servers (per lsof -Pni, bzw. netstat auf beiden Rechner überrprüft!)

Kann ich mich jetzt also zu folgener mutiger These hinreissen lassen?!
Sind die Vnc Verbindung, bzw der Vnc Server jetzt genau so sicher bzw unsicher wie die ssh Verbindung bzw der ssh Server?! weil die Sicherheit von ssh ist ja bei entsprechender Konfiguration und regelmässigen Updates gar nicht soooo schlecht! :evil:
habe ich mir zumindest sagen lassen, heheh!

Vielen dank schon mal dass ihr euch durch die wirren auswüchse meines Hirns gekämpft habt!

grüsse bizzY

bizzY
Beiträge: 3
Registriert: 10.07.2003 01:54:28

Beitrag von bizzY » 12.01.2004 20:37:26

@all , schade dass niemand lust hatte zu antworten, habe mal gelesen, dass die höchstrafe für einen Trhead starter ist wenn niemand antowortet, hättet ihr nicht wenigstens nen bisschen flamen können?! heheh :evil:

Na ja gut, aber falls noch mal jemand nach mir vor dem gleichen Problem steht beschreibe ich noch mal kurz wie man den VNC absichert!

1. TightVNC besorgen und kompilieren

2. den TightVNC Server aufrufen als "vncserver -nolisten tcp -localhost"

3.vom Client per ssh auf den Server zugreifen und zwar per "ssh -X user@server" (-X für X-Forwarding)

4.in der ssh shell auf dem server "vncviewer localhost:1" aufrufen, und es erscheint eine durch den ssh tunnel gesicherte Remote Dekstop Session

Vorteile keine offenen Ports auf dem Server ausser dem ssh Server Port, man muss sich keine Gendanken mehr um den VNC machen, es reicht den SSH Server sicher zu konfigurieren und up to date zu halten!

also ich hofffe das ich irgend jemandem damit helfen konnte, die sonstigen "how to secure VNC" tutorials im netz lassen nämlich immer port 6000 + <Display nummer> auf...

falls an meinen Ausführungen etwas falsch seien sollte oder das ganze nicht so sicher ist wie die SSH Verbindung, würde ich mir sehr über konsruktive Kritik freuen!


grüsse bizzY

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 13.01.2004 00:43:37

Sind VNC und X nicht 2 verschiedene Sachen? Habe jedenfalls schon Anwendungen per X Forwarding durch einen ssh Tunnel betrieben. Auch ohne VNC. Und kann man den VNC Serer nicht dazu bringen, nur auf localhost zu lauschen? Dann könnt man das doch auch einfach durch ssh ziehen.

Gebe aber zu, das ich VNC unter Linux noch nie benutzt habe.

So, jetzt hat Dir zumindest schon mal jemand geantwortet :-)
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

bizzY
Beiträge: 3
Registriert: 10.07.2003 01:54:28

Beitrag von bizzY » 13.01.2004 04:20:28

Na dann bin ich ja beruhigt!
X und VNC sind in gewisser hinsicht "das selbe", da XVNC nen eigenen XServer startet, und denn kann man wie oben beschrieben dazu bewegen nur an localhost zu lauschen...

meine frage war halt einfach ob wenn der also nur auf localhost lauscht und ich die Xsession durch nen SSH Tunnel ziehe, die Sicheheit des VNC = Sicherheit SSH Server ist?!


grüsse bizzY

Antworten