新手请教一个关于 VNC 安全防御的问题, iptables 是否能实现?

2019-03-14 22:27:03 +08:00
 liuxiansan
情况是这样,远程 VPS 上弄了桌面版 linux,具体实现是这个: https://github.com/fcwu/docker-ubuntu-vnc-desktop
然后问题来了,VNC 连接的话,好象是非加密的,感觉很不安全啊,而且密码什么的容易被暴力破解,所以有种方法是通过在 putty 里 SSH 绑定 5900 端口然后实现加密 VNC 访问,但现在 5900 端口依然是开放的,黑客依然有可能通过 5900 端口暴力破解?然后我的想法是,用 iptables 规则禁止 5900 端口的外网访问,这样应该就安全了吧。
但是使用:iptables -A INPUT -p tcp --dport 5900 -j DROP 命令,5900 端口不能用了,通过 ssh 绑定端口加密访问的方式也不能用了,如何实现禁掉 5900 端口外网访问的同时保持 ssh 绑定端口的方式依然可以访问?
2890 次点击
所在节点    Linux
8 条回复
0ZXYDDu796nVCFxq
2019-03-14 22:28:19 +08:00
xrdp
比 vnc 好用
liuxiansan
2019-03-14 22:32:49 +08:00
@gstqc 有什么区别呢?更安全么?
xj577
2019-03-14 22:36:26 +08:00
防爆破可以 fail2ban
顺便没必要这么复杂 ssh port forwarding 然后 vnc 只监听本机端口
0ZXYDDu796nVCFxq
2019-03-14 22:38:29 +08:00
@liuxiansan 就是 Windows 的 rdp 协议
rdp 是最好的远程桌面协议了

另外,iptables 默认就有一条
-A INPUT -j REJECT --reject-with icmp-host-prohibited
在 *filter 的最后吧
不用特意 DROP 5900
fonlan
2019-03-15 08:37:37 +08:00
而且 VNC 是可以设置为加密传输的
ihciah
2019-03-15 09:52:57 +08:00
再加一条允许 127.0.0.1 就好咯?
lrz0lrz
2019-03-15 11:59:44 +08:00
VNC 只接受本地访问,在 VPS 上开一个代理,然后 VNC Viewer 通过代理连接
sharpsec
2019-03-15 17:01:39 +08:00
设置非常用高端口,密码复杂就行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/544741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX