VNCをインストールすることのマイナス面はありますか?

20

私の大学の言語学部にはIntel NUCがあり、すぐに学部の教員と学生が使用するWebアプリケーションをホストします。NUCはUbuntu(14.10)を実行します。

私は端末とサーバーへのSSH接続に慣れていますが、画面共有(VNC)を使用すると、必要なタスクの多くが非常に簡単になることがわかります。

新しいテクニカルディレクターに、このサーバーにVNCをインストールして、私の生活をずっと楽にすることを提案しました(実際、彼が雇われる前にVNCをインストールしてからアンインストールしました)。しかし、彼は次のコメントで答えました。

サーバーでXやVNCを実行できない場合は、XまたはVNCを実行しないことをお勧めします。結局サーバーです。

私はこの論理を本当に理解していません。モニターに接続されていません。SSHを介した唯一のアクセス。私が知らないサーバーにVNCでアクセスすることの奇跡的な欠点はありますか?

明らかに、攻撃者のために別のポートを開いています。反論:大学の2つのファイアウォール(メインの大学ネットワークファイアウォールとサブネット独自の特別なファイアウォール)の背後にいます。VNCはサブネット内でしか達成できないため、これが「維持する別のパッケージ」以外の問題であり、Ubuntuのaptパッケージマネージャーが問題にならないのはなぜか迷っています。

サーバーにVNCをインストールすることの欠点は何ですか?

編集:これは単なるWebサーバーではありません。他の多くのアプリケーションをホストしています。それが違いを生むかどうかはわかりません。

ubuntu  vnc 
クリス・シレフィツェ
ソース
21
GUIを使用した方が簡単なWebサーバーでをする必要があるか想像できません。おそらく、実行したいタスクを実行するためのより良い方法があるかどうかについて尋ねるべきです。
マイケルハンプトン
3
いずれにせよ、これは何か新しいことを学ぶ機会です。
マイケルハンプトン
9
表面を制限することがすべてです。より多くのサービスで、より多くが間違った方向に進み、より多くがハッキングされます。あなたがこれを言ったことは確かですが、それは真実のままです。個人的にもVNCは嫌いです。SSHを介したX11転送はどうですか?
マイケルベイリー
1
では、なぜこれらのツールをサーバーで使用する必要があるのでしょうか?ほとんどの場合、グラフィカルインターフェイスなしでブラウザを使用しても意味がありませんが、ブラウザをサーバー上で実行することは考えないでしょう。使用しているツールは、クライアントにインストールするだけで、サーバー上で必要なデータにアクセスすることができます。できればsshを使用してください。たぶんsshfsを
ベン
7
これは回答として投稿したくありません。「VNCのマイナス面は何ですか」という質問には答えないからです。ただし、@ MichaelBaileyによるコメントについて詳しく説明します。サーバーにXやVNCは必要ありません。 。X転送を使用したサーバーへのSSHにより、ローカルコンピューターで実行されているX11サーバーにウィンドウを表示しながら、グラフィカルプログラムをサーバーで実際に実行できます。サーバー上で共有X11ライブラリを必要とするのは、それらを使用するプログラムを実行していないときにリソースを浪費しないことだけです。IMOは良い妥協です。
ジェラルドシュナイダー

回答:

42

非常に多くの理由があります:

  • 攻撃対象領域:より多くのプログラム、特にネットワーク化されたプログラムは、誰かがバグを見つけて侵入する機会が増えることを意味します。

  • 欠陥表面:上記と同じですが、「誰か」を「マーフィー」に、「入る」を「あなたの一日を台無しにする」に置き換えます。実際、「あなたの一日を台無しにする」ことは、おそらく前のポイントにも当てはまります。

  • システム効率:X11、およびそれらで実行される傾向のあるGUI環境は、特にNUCなどの限られたリソースシステムで、かなりの量のRAMを消費します。それらを実行しないと、有用な作業を行うためのリソースが増えます。

  • オペレーターの効率:GUIは、スクリプト作成やその他の自動化には役立ちません。ものをクリックすることは生産的だと感じますが、実際には、技術的に深く何かを行う最悪の方法です。また、スクリプトを作成してジョブを自動化できない場合、将来の雇用機会が大幅に制限されることに気付くでしょう。業界はGUI管理ツールから遠ざかっています。ちなみに、最近はWindowsサーバーでもGUIを使用せずにインストールできます。それでも、クリックする方法を知っているだけの相対的なメリットを考えなければ、何を言ったらいいかわかりません。

ワンブル
ソース
1
ダンブルワンブル。:)素晴らしい答え。
ティムブリガム
3
若くして
6
@ChrisCireficeでは、実稼働サーバーのセキュリティを少しでも使いやすくするために妥協するのではなく、適切な方法で誰かに依頼することをお勧めします。
アンドレボリー
8
アンドレ。私は、クリスが彼の好みの意味合いについて少し良く理解していると思うと思います、それのために彼から詰め物を打つ必要はありません。
ワンブル
4
@ChrisCireficeは、「非常に貴重な情報がない」や「ファイアウォールの内側」など、本当に慎重に考えてください。データの価値は見る人の目にあり、システムの役割は時間の経過とともに微妙に変化する可能性があるため、(攻撃者にとって)より価値のあるデータは、誰もが防御する価値がないと考えるシステムに徐々に蓄積していきます。 。そして、あなたは恥ずかしい何かが漏れたので、あなたはすべてのニュースWebサイトのトップページに行き着きます。
ワンブル
15

問題はVNCではありません-誤解しないでください、VNCは恐ろしいプロトコルであり、多くの欠陥があります(最大は暗号化サポートの欠如であり、すべてがプレーンテキストでネットワーク上を行きます)が、それはメインではありませんサーバーでの使用は推奨されません。

何にアクセスするためにVNCをインストールしますか、黒い画面ですか?いいえ、デスクトップ環境全体にアクセスしたかったのが本当の問題です。

このデスクトップグレードのGnome(または同様の)ソフトウェアをすべてインストールすると、この恐ろしい膨大なアプリケーションのコレクションで悪用されるべき多くのバグが残っているため、サーバーが侵害されたと見なすことができます(生産性のために設計されていないという事実に加えて)大量のリソースを使用します)。私がこのソフトウェアとほとんどのLinuxデスクトップ環境を推奨しない他の理由の1つは、彼らがルートキットのようにシステム全体を引き継ぎ、すべてのものの独自のバージョンを実装することです(認証? 、このPolicykitをナンセンスとして実行して、読み取り不能で不明瞭なXMLファイルに基づいて権限を付与します...構成?人間が読み取り可能な構成ファイルが必要な人?できる限りバイナリデータベースにすべてを保存しましょう '

ArchlinuxサーバーにGnomeデスクトップ環境をインストールしようとすると、「合計インストールサイズ:1370.86 MiB」と表示されます。それは巨大です。この元サーバーがインストールされると、攻撃対象となる余分な領域を想像してください。他のデスクトップ環境はそれほど良くありません。

アンドレ・ボリー
ソース
「VNCは恐ろしいプロトコルであり、多くの欠陥があります(最大の問題は暗号化の欠如です...)」サーバー環境ではなくVNCが必要な状況では、sshを介してVNCセッションをトンネリングすることで問題を回避できます。
キースレイノルズ
@KeithReynoldsええ、しかし、すぐに暗号化された「最新」のRDPのような同時実行と比較する場合、特に組み込みにする必要があります(サーバーの証明書を信頼する限り安全です)。
アンドレボリー
7
1つの設計哲学は、可能なすべてのソリューションを組み込むこと(一般にMS開発者に典型的)であり、もう1つの設計哲学は、必要なもの(一般にLinux開発者に典型的)をまとめることです。VNCについて:信頼できないネットワークSSHでセキュリティが必要な場合、アカウントが必要であり、暗号化を提供します。セキュリティが問題にならない場合、デスクトップを共有するのにシステムアカウントや暗号化のオーバーヘッドは必要ありません。
キースレイノルズ
2
@KeithReynolds VNCの別の問題は、RDPのようにクライアント側で描画される描画コマンドの代わりに純粋なビットマップを送信することです。これにより、VNCはローカルネットワーク以外で使用するのが恐ろしくなりますが、RDPは安っぽいモバイルネットワークでも問題ありません。
アンドレボリー
9

明らかに、攻撃者のために別のポートを開いています。反論:大学の2つのファイアウォール(メインの大学ネットワークファイアウォールとサブネット独自の特別なファイアウォール)の背後にいます。VNCはサブネット内でしか実現できないため、私は迷っています...

システムがプライベートネットワーク上のファイアウォールの背後にあるため、セキュリティについて心配する必要がないと思い込まないでください。ほとんどではないにしても、多くの場合、侵入はネットワークにアクセスできるインサイダー(従業員、学生など)によって実行されます。

遺伝子
ソース
-8

これを試して、テクニカルディレクターを満足させてください。

  • VNCと好きなデスクトップをインストールします

  • いかなる種類のスクリーンセーバーもインストールしないでください。どうして?画面はありません。また、そこに座っているデスクトップは多くのリソースを消費しません。

  • VNCポートを転送しないでください。使用する必要がある場合は、SSH(ポート22)を介してVNCポート(5900)をトンネルし、その方法で接続します。

このプロセスにより、暗号化と、すでに開かれているSSHのすべてのセキュリティが得られます。これまでになかったセキュリティの問題を追加しないでください。

私はすでに自分のサーバーでこれを行っています。直接接続と比較して、VNCプロセスに顕著な追加の遅延はありません。

ポール
ソース
9
これまでになかったセキュリティの問題を追加しないでください」は真実に近いものではありません。追加のコードをインストールすると(上記のAndre Bは、私たちが話している追加のコードの量を知ることができます)、ローカルユーザーによる(ssh'ed-in)特権昇格の機会が増えます。
MadHatterは、モニカをサポートします
4
セキュリティはバランスのとれた行為であることに同意しますが、トレードオフの一部である行為(追加のソフトウェアのインストール)にマイナス面はないと主張することは不誠実です。ユーザーのssh'edが少ないと同じように誤解を招きます。質問の著者は、彼が今ssh'esしていると言っており、他の人がそうしているのを知る方法はありません。
MadHatterは、モニカをサポートします
4
OPはSSHが十分に安全であると判断しました」。セキュリティは、あなたが持っているか持っていない財産ではありません。特定の脅威モデルに対するある程度の準備です。脅威モデルが「リモートユーザーによる不正アクセス」である場合、はい、ssh十分な防御です。脅威モデル「の場合、許可ローカルユーザーによる権限昇格」、そしてssh何の防衛はなく、サーバー上の余分なコードのトンをインストールすることは非常に攻撃面を向上させます。Wombleは経験豊富なシステム管理者であり、このサイトでの評価は約7万倍です。
MadHatterはモニカをサポートします
1
@paulいいえ、私の主な懸念はVNCの暗号化の欠如ではなく(SSHトンネリングを使用して軽減できます)、主な問題はあらゆるデスクトップ環境の巨大な攻撃面です。
アンドレボリー
3
@ポール:あなたは正しい、私は絶対にバランス感覚を持っていません。私はフォックスニュースではありません:「公平でバランスの取れた」必要はありません。私はシステム管理者です:私は正しい必要があります
ワンブル
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.