Existe alguma desvantagem em instalar o VNC?

Navegue suas respostas
19

Temos um Intel NUC no departamento de idiomas da minha universidade que em breve hospedará um aplicativo da web usado pelos professores e alunos do departamento. O NUC roda o Ubuntu (14.10).

Estou confortável com o terminal e o SSH-ing no servidor, mas acho que muitas tarefas que preciso fazer são muito mais fáceis através do compartilhamento de tela (VNC).

Eu sugeri ao nosso novo diretor técnico que instalássemos o VNC neste servidor para tornar minha vida muito mais fácil (na verdade, ele tinha o VNC instalado antes de ser contratado e, depois, ele o desinstalou). No entanto, ele respondeu com o seguinte comentário:

I would much prefer not to run X or VNC on the server if we can get away with it. It is a server after all.

Eu realmente não entendo essa lógica. Não está ligado a um monitor; o único acesso a ele através do SSH. Existe alguma desvantagem milagrosa de ter acesso VNC a um servidor que eu não conheço?

Obviamente, você está abrindo outra porta para um invasor; refutação: estamos atrás de dois firewalls da universidade (o principal firewall de rede da universidade, bem como o firewall especial da nossa sub-rede). O VNC só seria capaz de ser realizado dentro de nossa sub-rede, por isso não sei por que isso seria um problema diferente de "é outro pacote a ser mantido" e com o gerenciador de pacotes apt do Ubuntu que se torna um questão.

Quais são as desvantagens de instalar o VNC em um servidor?

Editar : isso não é apenas um servidor da web. Ele hospeda vários outros aplicativos. Não tenho certeza se isso faz diferença.

    
por Chris Cirefice 27.08.2015 / 01:05

4 respostas

41

Existem muitas razões:

  • Superfície de ataque: mais programas, especialmente os em rede, significam mais oportunidades para alguém encontrar um bug e entrar.

  • Superfície de defeitos: como acima, mas substitua "someone" por " Murphy " e " entrar em "com" arruinar o seu dia ". Na verdade, "estragar o seu dia" provavelmente se aplica ao ponto anterior também.

  • Eficiência do sistema: X11, e os ambientes de GUI que as pessoas tendem a executar neles, consomem uma quantidade decente de RAM, especialmente em um sistema de recursos limitados como um NUC. Não executá-los significa mais recursos para realizar trabalhos úteis.

  • Eficiência do operador: GUIs não se prestam a scripts e outras formas de automação. Clicar nas coisas parece produtivo, mas na verdade é a pior maneira de fazer algo profundamente técnico. Você também verá que suas futuras oportunidades de emprego serão bastante limitadas se não puder criar scripts e automatizar seu trabalho - a indústria está se distanciando das ferramentas administrativas da GUI. Heck, mesmo o Windows Server pode ser instalado sem GUI nos dias de hoje, e se isso não faz você pensar sobre os méritos relativos de apenas saber como clicar nas coisas, eu realmente não sei o que dizer para você.

por 27.08.2015 / 01:53
14

O problema não é VNC - não me entenda mal, o VNC é um protocolo horrível e tem muitas falhas (a maior é a falta de suporte à criptografia, então tudo passa pela rede em texto simples), mas não é O principal motivo pelo qual seu uso não é recomendado em servidores.

Você vai instalar o VNC para acessar o que, uma tela preta? Não, você queria acessar todo um ambiente de área de trabalho, e esse é o problema real.

Uma vez que você instala todo este Gnome (ou similar), você já pode considerar seu servidor comprometido, já que há tantos bugs a serem explorados nesta horrível e enorme coleção de aplicativos (além do fato de que não é projetado para produtividade e usa uma tonelada de recursos). Uma das outras razões pelas quais eu não recomendo este software ea maioria dos ambientes de desktop Linux é que eles assumem o sistema inteiro quase como um rootkit, e implementam suas próprias versões de tudo (autenticação? Não há mais usuários e grupos sólidos) vamos executar esse absurdo do Policykit como root que dá permissões baseadas em alguns arquivos ilegíveis, obscuros ... configuração? Quem precisa de arquivos de configuração legíveis? Vamos armazenar tudo em bancos de dados binários que você não pode ver nem editar a menos que você use seus utilitários fornecidos, assim como o registro do Windows, e também vamos começar um monte de daemons como root para usar recursos mesmo quando você não estiver usando a área de trabalho).

Tentar instalar um ambiente de desktop Gnome no meu servidor Archlinux me diz "Total Installed Size: 1370.86 MiB". Isso é enorme, imagine a superfície de ataque extra que esse ex-servidor terá uma vez instalado. Outros ambientes de desktop não são muito melhores.

    
por 27.08.2015 / 03:15
8

Obviously you're opening up another port for an attacker; rebuttal: we're behind two university firewalls (the main university network firewall as well as our subnet's own special firewall). VNC would only be able to be accomplished inside our subnet, so I'm at a loss...

Nunca assuma que, como seu sistema está protegido por firewall, em uma rede privada, você não precisa se preocupar com segurança. Muitas, senão a maioria, de intrusões bem-sucedidas são realizadas por pessoas de dentro (funcionários, estudantes, etc.) que têm acesso a essas redes.

    
por 27.08.2015 / 03:39
-8

Tente isso para manter o diretor técnico feliz:

  • Instale o VNC e qualquer área de trabalho que você goste

  • NÃO instale um protetor de tela de qualquer tipo. Por quê? Você não tem uma tela, e uma área de trabalho apenas sentada lá não consome muitos recursos.

  • NÃO encaminhe a porta VNC. Se você precisar usá-lo, encapsule a porta VNC (5900) via SSH (porta 22) e conecte-se a ela dessa maneira.

Esse processo obtém criptografia e toda a segurança do SSH, que já está aberto. Você não adiciona nenhum problema de segurança que você não tenha antes.

Eu já faço isso no meu próprio servidor, não há atraso adicional perceptível no processo VNC em comparação com uma conexão direta.

    
por 27.08.2015 / 12:38

Tags

O que torna um endereço IP privado não roteável? Existe diferença entre os conectores RJ-45 para Cat-5e e Cat-6?