Czy instalacja VNC ma wadę?

W dziale językowym mojej uczelni mamy Intel NUC, który wkrótce będzie obsługiwał aplikację internetową używaną przez wykładowców i studentów na tym wydziale. NUC uruchamia Ubuntu (14.10).

Czuję się dobrze z terminalem i SSH-owaniem do serwera, jednak uważam, że wiele zadań, które muszę wykonać, jest o wiele łatwiejsze dzięki współdzieleniu ekranu (VNC).

Zasugerowałem naszemu nowemu dyrektorowi technicznemu, abyśmy zainstalowali VNC na tym serwerze, aby moje życie było o wiele łatwiejsze (w rzeczywistości miał on zainstalowany VNC przed jego zatrudnieniem, a następnie go odinstalował). Odpowiedział jednak następującym komentarzem:

Wolałbym nie uruchamiać X lub VNC na serwerze, jeśli możemy sobie z tym poradzić. W końcu jest to serwer.

Naprawdę nie rozumiem tej logiki. Nie jest podłączony do monitora; jedyny dostęp do niego za pośrednictwem SSH. Czy jest jakiś cudowny minus posiadania dostępu VNC do serwera, którego nie jestem świadomy?

Oczywiście otwierasz kolejny port dla atakującego; odpierające: jesteśmy za dwiema zaporami uniwersyteckimi (główna zapora sieciowa uniwersytetu, a także specjalna zapora specjalna naszej podsieci). VNC byłoby możliwe tylko w naszej podsieci, więc nie rozumiem, dlaczego byłby to problem inny niż „to inny pakiet do utrzymania”, a aptmenedżer pakietów Ubuntu stał się problemem.

Jakie są wady instalacji VNC na serwerze?

Edycja : to nie jest tylko serwer WWW. Obsługuje wiele innych aplikacji. Nie jestem pewien, czy to robi różnicę.

Jest wiele powodów:

• Powierzchnia ataku: więcej programów, zwłaszcza sieciowych, oznacza więcej możliwości znalezienia błędu i włączenia się.

• Uszkodzona powierzchnia: jak wyżej, ale zamień „ktoś” na „ Murphy ” i „wejdź” na „zepsuć swój dzień”. W rzeczywistości „zrujnuj swój dzień” prawdopodobnie dotyczy również poprzedniego punktu.

• Wydajność systemu: X11 i środowiska GUI, które ludzie na nich uruchamiają, zużywają przyzwoitą ilość pamięci RAM, szczególnie w systemie o ograniczonych zasobach, takim jak NUC. Ich brak oznacza więcej zasobów do wykonywania pożytecznej pracy.

• Wydajność operatora: GUI nie nadają się do tworzenia skryptów i innych form automatyzacji. Klikanie na rzeczy wydaje się produktywne, ale w rzeczywistości jest to najgorszy sposób zrobienia czegoś głęboko technicznego. Uznajesz również, że twoje przyszłe możliwości zatrudnienia są poważnie ograniczone, jeśli nie możesz pisać skryptów i automatyzować swojej pracy - przemysł odchodzi od narzędzi administracyjnych GUI. Do diabła, nawet serwer Windows może być obecnie zainstalowany bez GUI, a jeśli to nie zmusza cię do zastanowienia się nad względnymi zaletami polegającymi na tym, że wiesz, jak klikać, naprawdę nie wiem, co ci powiedzieć.

Problemem nie jest VNC - nie zrozumcie mnie źle, VNC jest okropnym protokołem i ma wiele wad (największym z nich jest brak obsługi szyfrowania, więc wszystko przechodzi przez sieć zwykłym tekstem), ale to nie jest główny powód, dla którego jego użycie nie jest zalecane na serwerach.

Zamierzasz zainstalować VNC, aby uzyskać dostęp do czarnego ekranu? Nie, chciałeś uzyskać dostęp do całego środowiska pulpitu i to jest prawdziwy problem.

Po zainstalowaniu całego oprogramowania Gnome (lub podobnego) do komputerów stacjonarnych możesz już uznać, że Twój serwer jest zagrożony, ponieważ w tej strasznej, ogromnej kolekcji aplikacji pozostało jeszcze wiele błędów (poza tym, że nie jest przeznaczony do wydajności) i zużywa mnóstwo zasobów). Jednym z innych powodów, dla których nie polecam tego oprogramowania i większości środowisk Linuksa jest to, że przejmują one cały system prawie jak rootkit i wdrażają własne wersje wszystkiego (uwierzytelnianie? Nigdy więcej solidnych użytkowników i grup , uruchommy ten nonsens Politykit jako root, który daje uprawnienia w oparciu o niektóre nieczytelne, niejasne pliki XML ... konfiguracja? Kto potrzebuje plików konfiguracyjnych czytelnych dla człowieka? Przechowujmy wszystko w binarnych bazach danych, które możesz '

Próba instalacji środowiska graficznego Gnome na moim serwerze Archlinux mówi mi „Całkowity zainstalowany rozmiar: 1370.86 MiB”. To ogromne, wyobraź sobie dodatkową powierzchnię ataku, którą ten ex-serwer będzie miał po zainstalowaniu. Inne środowiska komputerowe nie są dużo lepsze.

Oczywiście otwierasz kolejny port dla atakującego; obalenie: jesteśmy za dwiema zaporami uniwersyteckimi (główna zapora sieciowa uniwersytetu, a także specjalna zapora specjalna naszej podsieci). VNC byłoby możliwe tylko w naszej podsieci, więc jestem zagubiony ...

Nigdy nie zakładaj, że ponieważ twój system znajduje się za firewallem, w sieci prywatnej, nie musisz się martwić o bezpieczeństwo. Wiele, jeśli nie większość, udanych włamań są wykonywane przez osoby z zewnątrz (pracowników, studentów itp.), Które mają dostęp do wspomnianych sieci.

Spróbuj, aby zadowolić dyrektora technicznego:

• Zainstaluj VNC i dowolny pulpit

• NIE instaluj żadnego wygaszacza ekranu. Dlaczego? Nie masz ekranu, a siedzący tam pulpit nie zużywa wielu zasobów.

• NIE przesyłaj dalej portu VNC. Jeśli musisz go użyć, tuneluj port VNC (5900) przez SSH (port 22) i połącz się z nim w ten sposób.

Ten proces zapewnia szyfrowanie i całe bezpieczeństwo SSH, które jest już otwarte. Nie dodajesz żadnych problemów bezpieczeństwa, których wcześniej nie miałeś.

Robię to już na własnym serwerze, nie ma zauważalnego dodatkowego opóźnienia w procesie VNC w porównaniu do bezpośredniego połączenia.