新手请教一个关于 VNC 安全防御的问题, iptables 是否能实现?
liuxiansan · 2019-03-14 22:27:03 +08:00 · 2876 次点击这是一个创建于 2070 天前的主题,其中的信息可能已经有所发展或是发生改变。
情况是这样,远程 VPS 上弄了桌面版 linux,具体实现是这个: https://github.com/fcwu/docker-ubuntu-vnc-desktop
然后问题来了,VNC 连接的话,好象是非加密的,感觉很不安全啊,而且密码什么的容易被暴力破解,所以有种方法是通过在 putty 里 SSH 绑定 5900 端口然后实现加密 VNC 访问,但现在 5900 端口依然是开放的,黑客依然有可能通过 5900 端口暴力破解?然后我的想法是,用 iptables 规则禁止 5900 端口的外网访问,这样应该就安全了吧。
但是使用:iptables -A INPUT -p tcp --dport 5900 -j DROP 命令,5900 端口不能用了,通过 ssh 绑定端口加密访问的方式也不能用了,如何实现禁掉 5900 端口外网访问的同时保持 ssh 绑定端口的方式依然可以访问?
然后问题来了,VNC 连接的话,好象是非加密的,感觉很不安全啊,而且密码什么的容易被暴力破解,所以有种方法是通过在 putty 里 SSH 绑定 5900 端口然后实现加密 VNC 访问,但现在 5900 端口依然是开放的,黑客依然有可能通过 5900 端口暴力破解?然后我的想法是,用 iptables 规则禁止 5900 端口的外网访问,这样应该就安全了吧。
但是使用:iptables -A INPUT -p tcp --dport 5900 -j DROP 命令,5900 端口不能用了,通过 ssh 绑定端口加密访问的方式也不能用了,如何实现禁掉 5900 端口外网访问的同时保持 ssh 绑定端口的方式依然可以访问?
 |
1
0ZXYDDu796nVCFxq 2019-03-14 22:28:19 +08:00 via Android
xrdp
比 vnc 好用 |
 |
2
liuxiansan OP @gstqc 有什么区别呢?更安全么?
|
 |
3
xj577 2019-03-14 22:36:26 +08:00
防爆破可以 fail2ban
顺便没必要这么复杂 ssh port forwarding 然后 vnc 只监听本机端口 |
|
4
0ZXYDDu796nVCFxq 2019-03-14 22:38:29 +08:00 via Android
@liuxiansan 就是 Windows 的 rdp 协议
rdp 是最好的远程桌面协议了 另外,iptables 默认就有一条 -A INPUT -j REJECT --reject-with icmp-host-prohibited 在 *filter 的最后吧 不用特意 DROP 5900 |
 |
5
fonlan 2019-03-15 08:37:37 +08:00 via Android
而且 VNC 是可以设置为加密传输的
|
 |
6
ihciah 2019-03-15 09:52:57 +08:00
再加一条允许 127.0.0.1 就好咯?
|
 |
7
lrz0lrz 2019-03-15 11:59:44 +08:00
VNC 只接受本地访问,在 VPS 上开一个代理,然后 VNC Viewer 通过代理连接
|
 |
8
sharpsec 2019-03-15 17:01:39 +08:00
设置非常用高端口,密码复杂就行
|
Select Language