Чи є мінус встановлення VNC?

У мовному відділенні мого університету є Intel NUC, який незабаром розмістить веб-додаток, який використовують викладачі та студенти кафедри. NUC працює на Ubuntu (14.10).

Мені комфортно з терміналом і SSH-сервером на сервері, однак я вважаю, що багато завдань, які мені потрібно зробити, набагато простіші за допомогою обміну екраном (VNC).

Я запропонував нашому новому технічному директору встановити VNC на цьому сервері, щоб значно полегшити моє життя (адже він був встановлений VNC ще до того, як його найняли, а потім він його видалив). Однак він відповів таким коментарем:

Я б вважав за краще не запускати X або VNC на сервері, якщо ми зможемо з ним піти. Адже це сервер.

Я справді не розумію цієї логіки. Він не підключений до монітора; єдиний доступ до нього через SSH. Чи є якийсь чудовий мінус доступу VNC до сервера, про який я не знаю?

Очевидно, ви відкриваєте інший порт для зловмисника; спростування: ми стоїмо за двома університетськими брандмауерами (основний брандмауер університетської мережі, а також спеціальною брандмауером нашої підмережі). VNC зможе здійснити лише всередині нашої підмережі, тому я втрачаю, чому це буде іншою проблемою, ніж "це інший пакет для підтримки", і з aptменеджером пакетів Ubuntu, який стає не випуском.

Які недоліки встановлення VNC на сервері?

Редагувати : це не лише веб-сервер. Він розміщує ряд інших програм. Не впевнений, чи це має значення.

Причин дуже багато:

• Поверхня атаки: більше програм, особливо мережевих, означає більше можливостей, щоб хтось знайшов помилку та потрапив у неї.

• Дефектна поверхня: як вище, але замініть "когось" на " Мерфі ", а "ввійдіть" на "зіпсуйте день". Власне, "зіпсуй свій день", ймовірно, стосується і попереднього пункту.

• Ефективність системи: X11 та середовище GUI, яке люди, як правило, працюють на них, споживають пристойну кількість оперативної пам’яті, особливо на обмеженій системі ресурсів, як NUC. Якщо їх не запустити, це означає більше ресурсів для корисної роботи.

• Ефективність оператора: графічні інтерфейси не піддаються сценаріям та іншим формам автоматизації. Клацання на речі відчуває продуктивність, але насправді йдеться про найгірший спосіб зробити щось глибоко технічне. Ви також знайдете ваші майбутні можливості працевлаштування сильно обмежені, якщо не зможете скласти сценарій та автоматизувати роботу - галузь відходить від інструментів адміністратора GUI. Чорт, навіть сервер Windows може бути встановлений без GUI в ці дні, і якщо це не змушує задуматися про відносні достоїнства лише того, щоб знати, як натиснути на речі, я дійсно не знаю, що тобі сказати.

Проблема не в VNC - не зрозумійте мене неправильно, VNC - жахливий протокол і має багато недоліків (найбільший - відсутність підтримки шифрування, тому все проходить по простому тексту), але це не головне тому його використання не рекомендується використовувати на серверах.

Ви збираєтесь встановити VNC для доступу до чого, чорний екран? Ні, ви хотіли отримати доступ до цілого середовища робочого столу, і це справжня проблема.

Встановивши все це програмне забезпечення Gnome (або подібне) для настільних програм, ви вже можете вважати, що ваш сервер поставлений під загрозу, оскільки в цій жахливій величезній колекції додатків залишилося так багато помилок (окрім того, що він не розроблений для підвищення продуктивності і використовує тонну ресурсів). Однією з інших причин, чому я не рекомендую це програмне забезпечення та більшість середовищ робочого столу Linux, є те, що вони переймають усю систему майже як руткіт і реалізують власні версії всього (автентифікація? Немає більше надійних користувачів та груп , давайте запустимо цю нісенітницю Policykit як корінь, який надає дозволи на основі нечитаних, незрозумілих XML-файлів ... конфігурації? Кому потрібні файли конфігурації, прочитані людиною?

При спробі встановити середовище робочого столу Gnome на моєму сервері Archlinux мені сказано "Загальний встановлений розмір: 1370,86 МіБ". Це величезно, уявіть собі додаткову поверхню атаки, яку матиме колишній сервер після його встановлення. Інші робочі середовища не набагато кращі.

Очевидно, ви відкриваєте інший порт для зловмисника; спростування: ми стоїмо за двома університетськими брандмауерами (основний брандмауер університетської мережі, а також спеціальний брандмауер нашої підмережі). VNC зможе здійснити лише всередині нашої підмережі, тож я втрачаю ...

Ніколи не припускайте, що оскільки ваша система знаходиться за брандмауером у приватній мережі, вам не потрібно турбуватися про безпеку. Багато, якщо не більшість успішних вторгнень здійснюються інсайдерами (працівниками, студентами тощо), які мають доступ до зазначених мереж.

Спробуйте це, щоб технічний директор був щасливим:

• Встановіть VNC і будь-який робочий стіл

• НЕ встановлюйте заставки будь-якого типу. Чому? У вас немає екрану, а робочий стіл, який просто сидить там, не витрачає багато ресурсів.

• НЕ пересилайте порт VNC. Якщо вам потрібно скористатися ним, тунелюйте порт VNC (5900) через SSH (порт 22) і підключіть до нього таким чином.

Цей процес отримує вам шифрування та всю безпеку SSH, яка вже відкрита. Ви не додаєте жодних проблем із безпекою, яких у вас раніше не було.

Я вже роблю це на власному сервері, немає помітної додаткової затримки в процесі VNC порівняно з прямим з'єднанням.