VNC स्थापित करने के लिए एक नकारात्मक पहलू है?


20

हमारे विश्वविद्यालय के भाषा विभाग में हमारे पास एक इंटेल एनयूसी है जो जल्द ही विभाग में संकाय और छात्रों द्वारा उपयोग किए जाने वाले एक वेब एप्लिकेशन की मेजबानी करेगा। NUC Ubuntu (14.10) चलाता है।

मैं सर्वर में टर्मिनल और एसएसएच-आईएनजी के साथ सहज हूं, हालांकि मुझे लगता है कि स्क्रीन-साझाकरण (वीएनसी) के माध्यम से बहुत सारे कार्य जो मुझे करने की आवश्यकता है, वे बहुत आसान हैं।

मैंने अपने नए तकनीकी निदेशक को सुझाव दिया कि हम अपने जीवन को बहुत आसान बनाने के लिए इस सर्वर पर VNC स्थापित करें (वास्तव में इसे VNC ने हायर करने से पहले स्थापित किया था, और फिर उसने इसे अनइंस्टॉल कर दिया)। हालांकि, उन्होंने निम्नलिखित टिप्पणी के साथ जवाब दिया:

मैं बहुत एक्स या वीएनसी को सर्वर पर नहीं चलाना पसंद करूंगा अगर हम इससे दूर हो सकते हैं। यह सब के बाद एक सर्वर है।

मैं वास्तव में इस तर्क को नहीं समझता। यह एक मॉनिटर करने के लिए झुका नहीं है; SSH के माध्यम से इसमें एकमात्र पहुँच है। क्या वीएनसी की किसी सर्वर तक पहुँच के लिए कुछ चमत्कारी नकारात्मकता है जिससे मैं अनजान हूँ?

जाहिर है कि आप एक हमलावर के लिए एक और पोर्ट खोल रहे हैं; खंडन: हम दो विश्वविद्यालय फायरवॉल (मुख्य विश्वविद्यालय नेटवर्क फ़ायरवॉल के साथ-साथ हमारे सबनेट के अपने विशेष फ़ायरवॉल) के पीछे हैं। वीएनसी केवल हमारे सबनेट के अंदर ही पूरा किया जा सकेगा, इसलिए मैं इस बात से आहत हूं कि यह "इसे बनाए रखने के लिए एक और पैकेज" के अलावा एक मुद्दा क्यों होगा, और उबंटू के aptपैकेज मैनेजर के साथ जो एक गैर-मुद्दा बन जाता है।

किसी सर्वर पर VNC स्थापित करने के निम्न पहलू क्या हैं?

संपादित करें : यह सिर्फ एक वेब सर्वर नहीं है। यह कई अन्य अनुप्रयोगों की मेजबानी कर रहा है। यकीन नहीं होता कि फर्क पड़ता है।


21
मैं कुछ भी कल्पना नहीं कर सकता कि आपको एक वेब सर्वर के साथ ऐसा करने की आवश्यकता हो सकती है जो GUI का उपयोग करना आसान होगा। शायद आपको इस बारे में भी पूछना चाहिए कि क्या आप जिन कार्यों को करना चाहते हैं, उन्हें करने का एक बेहतर तरीका है।
माइकल हैम्पटन

3
किसी भी तरह से, यह कुछ नया सीखने का अवसर है।
माइकल हैम्पटन

9
यह सब सतह को सीमित करने के बारे में है। अधिक सेवाओं के साथ अधिक गलत हो सकता है और अधिक हैक किया जा सकता है। दी आपने यह कहा लेकिन यह सच है। व्यक्तिगत रूप से भी मुझे वीएनसी से नफरत है। SSH पर X11 अग्रेषण के बारे में क्या?
माइकल बेली

1
तो आपको सर्वर पर इन उपकरणों का उपयोग करने की आवश्यकता क्यों है? एक ग्राफिकल इंटरफ़ेस के बिना एक ब्राउज़र का उपयोग करना ज्यादातर मामलों में बेकार होगा - लेकिन आप अपने ब्राउज़र को सर्वर पर चलाने पर विचार नहीं करेंगे। जो भी उपकरण आप उपयोग कर रहे हैं, उसे सिर्फ अपने क्लाइंट पर इंस्टॉल करें और सर्वर पर जो भी डेटा की जरूरत है, उसे ssh के माध्यम से एक्सेस करें। शायद sshfs
बेन

7
मैं इसे एक उत्तर के रूप में पोस्ट नहीं करना चाहता, क्योंकि यह "वीएनसी के डाउनसाइड क्या हैं" सवाल का जवाब नहीं देता है, लेकिन @MichaelBailey द्वारा टिप्पणी पर विस्तृत करने के लिए: आपको सर्वर पर एक्स या वीएनसी की आवश्यकता नहीं है । X अग्रेषण वाले सर्वर में SSH आपके स्थानीय मशीन पर चल रहे X11 सर्वर पर विंडोज़ प्रदर्शित करते हुए वास्तव में सर्वर पर चलने के लिए चित्रमय कार्यक्रमों की अनुमति देता है । आपको केवल सर्वर पर कुछ साझा किए गए X11 पुस्तकालयों की आवश्यकता है जो संसाधनों को बर्बाद नहीं करेंगे, जबकि आपके पास प्रोग्राम नहीं है जो उनका उपयोग करता है। IMO एक अच्छा समझौता।
गेराल्ड श्नाइडर

जवाबों:


42

इसके कई कारण हैं:

  • हमले की सतह: अधिक कार्यक्रम, विशेष रूप से नेटवर्क वाले, किसी को बग ढूंढने और अंदर जाने के लिए अधिक अवसरों का मतलब है।

  • दोष सतह: ऊपर के रूप में, लेकिन " मर्फी " के साथ "किसी" को प्रतिस्थापित करें , और "अपने दिन को बर्बाद" के साथ "में" प्राप्त करें। वास्तव में, "आपका दिन बर्बाद करना" शायद पिछले बिंदु पर भी लागू होता है।

  • सिस्टम दक्षता: X11, और GUI वातावरण जो लोग उन पर चलने के लिए करते हैं, एक सभ्य मात्रा में रैम का उपभोग करते हैं, खासकर एक सीमित संसाधन प्रणाली जैसे NUC पर। उन्हें नहीं चलाने का मतलब है उपयोगी काम करने के लिए अधिक संसाधन।

  • ऑपरेटर दक्षता: GUI खुद को स्क्रिप्टिंग और स्वचालन के अन्य रूपों के लिए उधार नहीं देते हैं। चीजों पर क्लिक करना उत्पादक लगता है, लेकिन यह वास्तव में कुछ गहरी तकनीकी करने के सबसे खराब तरीके के बारे में है। आप अपने भविष्य के रोजगार के अवसरों को गंभीर रूप से सीमित कर पाएंगे, यदि आप स्क्रिप्ट और अपनी नौकरी को स्वचालित नहीं कर सकते हैं - उद्योग जीयूआई व्यवस्थापक टूल से दूर जा रहा है । हेक, यहां तक ​​कि विंडोज सर्वर को इन दिनों जीयूआई-मुक्त स्थापित किया जा सकता है, और अगर यह आपको केवल चीजों पर क्लिक करने के तरीके के सापेक्ष गुणों के बारे में नहीं सोचता है, तो मुझे वास्तव में नहीं पता कि आपको क्या कहना है।


1
डांग इट वोमबल .. आपने मुझे फिर से 30 सेकंड तक पंच मारा। :) बहुत बढ़िया जवाब।
टिम ब्रिघम

3
बहुत समय अपनी जवानी में Mavis बीकन के साथ बिताया है करने के लिए है कुछ लाभ ... <मुस्कराहट>
Womble

6
@ChrisCirefice तो मेरा सुझाव है कि आप किसी को उपयोग की आसानी के लिए उत्पादन सर्वर की सुरक्षा से समझौता करने के बजाय चीजों को सही तरीके से करने के लिए कहें।
एंड्रे बोरी

8
यह एक स्पर्श कठोर है, आंद्रे। मैं यह सोचना चाहता हूं कि क्रिस को अब अपनी प्राथमिकताओं के निहितार्थों की थोड़ी बेहतर समझ है, इसके लिए स्टफिंग को उससे मात देने की जरूरत नहीं है।
Womble

4
@ChrisCirefice "सुपर-मूल्यवान जानकारी नहीं" और "फायरवॉल के पीछे" जैसी सोच रखने वाली चीजों से वास्तव में सावधान रहना चाहिए । डेटा का मूल्य देखने वाले की नज़र में है, और सिस्टम की भूमिका समय के साथ बदल सकती है, ताकि अधिक मूल्यवान (एक हमलावर के लिए) डेटा धीरे-धीरे एक सिस्टम पर जमा हो जाए, जो हर किसी को लगता है कि बचाव के लायक नहीं है .. । और फिर आप प्रत्येक समाचार वेबसाइट के पहले पृष्ठ पर समाप्त होते हैं क्योंकि कुछ शर्मनाक लीक हुआ था।
Womble

15

समस्या वीएनसी नहीं है - मुझे गलत मत समझो, वीएनसी एक भयानक प्रोटोकॉल है और इसमें कई खामियां हैं (सबसे बड़ी एन्क्रिप्शन समर्थन की कमी है इसलिए सब कुछ सादे पाठ में नेटवर्क पर चला जाता है), लेकिन यह मुख्य नहीं है कारण इसका उपयोग सर्वरों पर अनुशंसित नहीं है।

आप VNC स्थापित करने जा रहे हैं कि क्या, एक काली स्क्रीन का उपयोग करने के लिए? नहीं, आप संपूर्ण डेस्कटॉप वातावरण तक पहुँच बनाना चाहते थे, और यही वास्तविक समस्या है।

एक बार जब आप यह सभी डेस्कटॉप-ग्रेड ग्नोम (या समान) सॉफ़्टवेयर स्थापित करते हैं, तो आप पहले से ही अपने सर्वर से छेड़छाड़ पर विचार कर सकते हैं, क्योंकि इस भयानक, विशाल संग्रह के अनुप्रयोगों में शोषण करने के लिए बहुत सारे कीड़े हैं (इस तथ्य के अलावा कि यह उत्पादकता के लिए डिज़ाइन नहीं किया गया है) और संसाधनों का एक टन का उपयोग करता है)। अन्य कारणों में से एक है कि मैं इस सॉफ़्टवेयर की अनुशंसा क्यों नहीं करता हूं और अधिकांश लिनक्स डेस्कटॉप वातावरण यह है कि वे संपूर्ण सिस्टम को लगभग एक रूटकिट की तरह लेते हैं, और सब कुछ के अपने संस्करणों को लागू करते हैं (प्रमाणीकरण? कोई और अधिक ठोस ठोस उपयोगकर्ता और समूह नहीं? , चलिए इस पॉलिसीकिट बकवास को रूट के रूप में चलाते हैं जो कुछ अपठनीय, अस्पष्ट XML फ़ाइलों ... कॉन्फ़िगरेशन के आधार पर अनुमति देता है? मानव-पठनीय कॉन्फिग फाइलों की आवश्यकता कौन है? आइए बाइनरी डेटाबेस में सब कुछ स्टोर करें जो आप कर सकते हैं?

मेरे आर्कलिनक्स सर्वर पर एक गनोम डेस्कटॉप वातावरण स्थापित करने की कोशिश करना मुझे "कुल स्थापित आकार: 1370.86 MiB" बताता है। यह बहुत बड़ा है, अतिरिक्त भूतल की कल्पना कीजिए कि यह पूर्व सर्वर एक बार स्थापित होने के बाद होगा। अन्य डेस्कटॉप वातावरण ज्यादा बेहतर नहीं हैं।


"वीएनसी एक भयानक प्रोटोकॉल है और इसमें बहुत सी खामियां हैं (सबसे बड़ी एन्क्रिप्शन की कमी है ...)" स्थितियों में वीएनसी की जरूरत थी, सर्वर वातावरण नहीं, आपके मुद्दे को आपके वीएनसी सत्रों को ssh के माध्यम से टनल बनाकर पूरा किया जाता है।
कीथ रेनॉल्ड्स

@KeithReynolds हाँ, लेकिन इसे तब बनाया जाना चाहिए, खासकर जब आप इसे अपने समसामयिकी की तुलना में अधिक "अप टू डेट" आरडीपी जो तुरंत एन्क्रिप्ट किया जाता है (जब तक आप सर्वर के प्रमाण पत्र पर भरोसा करते हैं) सुरक्षित है।
एंड्रे बोरी

7
एक डिज़ाइन दर्शन में हर संभव समाधान (आमतौर पर एमएस डेवलपर्स के विशिष्ट) में बनाया गया है, और दूसरा एक साथ टुकड़ा करना है जो आपको चाहिए (आमतौर पर लिनक्स डेवलपर्स की विशिष्ट)। वीएनसी के बारे में: जब एक अविश्वसनीय नेटवर्क ssh पर सुरक्षा की आवश्यकता होती है, तो एक खाते की आवश्यकता होती है और एन्क्रिप्शन प्रदान करता है। जब सुरक्षा की चिंता नहीं होती है, तो डेस्कटॉप को साझा करने के लिए सिस्टम खाते या एन्क्रिप्शन के ओवरहेड की आवश्यकता नहीं होती है।
कीथ रेनॉल्ड्स

2
@KeithReynolds VNC का एक और मुद्दा यह है कि यह ड्रॉ कमांड के बजाय शुद्ध बिटमैप भेजता है जो आरडीपी जैसे क्लाइंट की तरफ खींचे जाते हैं। यह VNC को स्थानीय नेटवर्क के अलावा किसी भी चीज़ पर उपयोग करने के लिए भयानक बनाता है जबकि RDP गंदे मोबाइल नेटवर्क पर भी ठीक रहता है।
एंड्रे बोरी

9

जाहिर है कि आप एक हमलावर के लिए एक और पोर्ट खोल रहे हैं; खंडन: हम दो विश्वविद्यालय फायरवॉल (मुख्य विश्वविद्यालय नेटवर्क फ़ायरवॉल के साथ-साथ हमारे सबनेट के अपने विशेष फ़ायरवॉल) के पीछे हैं। VNC केवल हमारे सबनेट के अंदर पूरा किया जा सकेगा, इसलिए मैं नुकसान में हूँ ...

यह कभी न मानें कि क्योंकि आपका सिस्टम एक फ़ायरवॉल के पीछे है, एक निजी नेटवर्क पर, आपको सुरक्षा के बारे में चिंता करने की आवश्यकता नहीं है। कई, यदि सबसे अधिक नहीं, तो सफल घुसपैठियां अंदरूनी (कर्मचारियों, छात्रों, आदि) द्वारा की जाती हैं, जिनके पास उक्त नेटवर्क तक पहुंच है।


-8

तकनीकी निदेशक को खुश रखने के लिए यह प्रयास करें:

  • VNC स्थापित करें और आपको जो भी डेस्कटॉप पसंद हो

  • किसी भी प्रकार का स्क्रीनसेवर स्थापित न करें। क्यों? आपके पास एक स्क्रीन नहीं है, और एक डेस्कटॉप बस वहाँ बैठे कई संसाधनों का उपभोग नहीं करता है।

  • VNC पोर्ट को अग्रेषित न करें। यदि आपको इसका उपयोग करने की आवश्यकता है, तो SSH (पोर्ट 22) के माध्यम से VNC पोर्ट (5900) को सुरंग करें और उस तरह से कनेक्ट करें।

इस प्रक्रिया से आपको एन्क्रिप्शन और SSH की सभी सुरक्षा मिलती है, जो पहले से ही खुली है। आपके पास पहले से मौजूद कोई भी सुरक्षा समस्या नहीं है।

मैं पहले से ही अपने सर्वर पर ऐसा करता हूं, प्रत्यक्ष कनेक्शन की तुलना में वीएनसी प्रक्रिया में कोई अतिरिक्त अतिरिक्त देरी नहीं है।


9
" आप पहले से ही किसी भी सुरक्षा मुद्दों को नहीं जोड़ते हैं " यह भी सच के करीब नहीं है। अतिरिक्त कोड स्थापित करना - और ऊपर आंद्रे बी आपको कुछ विचार देता है कि हम किस अतिरिक्त कोड के बारे में बात कर रहे हैं - स्थानीय उपयोगकर्ताओं द्वारा विशेषाधिकार बढ़ाने के अधिक अवसर प्रदान करता है।
MadHatter

4
मैं मानता हूं कि सुरक्षा एक संतुलन कार्य है, लेकिन यह दावा करना कि अतिरिक्त सॉफ्टवेयर स्थापित करने वाले कार्य (अतिरिक्त सॉफ़्टवेयर स्थापित करना) नकारात्मक पक्ष नहीं है। यह कहना कि उपयोगकर्ताओं में कुछ ssh'ed समान रूप से भ्रामक है: सवाल के लेखक का कहना है कि वह अभी ssh'es है, और हमारे पास यह जानने का कोई तरीका नहीं है कि कितने लोग ऐसा करते हैं।
MadHatter

4
" ओपी ने निर्धारित किया है कि एसएसएच पर्याप्त सुरक्षित है "। सुरक्षा एक संपत्ति नहीं है जो आपके पास है या नहीं; यह किसी दिए गए खतरे के मॉडल के खिलाफ तैयारियों की एक डिग्री है। यदि खतरा मॉडल " दूरस्थ उपयोगकर्ता द्वारा अनधिकृत पहुंच " है, तो हां, sshअच्छा बचाव है। यदि खतरा मॉडल " अधिकृत स्थानीय उपयोगकर्ता द्वारा विशेषाधिकार वृद्धि" है , तो sshकोई बचाव नहीं है, और सर्वर पर अतिरिक्त कोड के टन स्थापित करने से हमले की सतह में काफी वृद्धि होती है। Womble इस साइट पर लगभग सत्तर हज़ार बार आपकी प्रतिष्ठा के साथ एक अनुभवी sysadmin है, इसलिए आप अपमान पर आसानी से जाना चाह सकते हैं।
MadHatter

1
@ अंपुल नहीं, मेरी मुख्य चिंता वीएनसी के एन्क्रिप्शन की कमी के बारे में नहीं थी (इसे एसएसएच टनलिंग का उपयोग करके कम किया जा सकता है), मुख्य मुद्दा किसी भी डेस्कटॉप वातावरण की भारी हमले की सतह है।
एंड्रे बोरी

3
@ अंपुल: आप सही कह रहे हैं, मुझे बिलकुल भी समझ नहीं है। मैं फॉक्स न्यूज नहीं हूं: मुझे "निष्पक्ष और संतुलित" होने की आवश्यकता नहीं है। मैं एक sysadmin हूँ: मुझे सही होने की आवश्यकता है ।
Womble
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.