当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 使用SSL 保护VNC应用程序

Unix/Linux
FreeBSD学习笔记
FREEBSD服务器端的ARP绑定脚本
freebsd系统下安装mpd
FreeBSD更新 Port Tree
整理FreeBSD系统安装时关于硬盘参数提示的处理方法
FreeBSD系统下创建DVD.iso安装光盘
freebsd系统上修改mac地址的方法
FreeBSD的软件管理
OpenBSD系统 DHCP 多 vlan 配置
我的openBSD4.1安装图解笔记
unix系统高手的操作习惯
Freebsd 下运行 QQ For Linux 的方法
FreeBSD下创建安全的Web服务器
UNIX系统正确关机方法
让OpenSoralis进入纯文本模式
freeBSD创建svn仓库
Unix 系统里尽量不要使用的命令
UNIX下VI编辑器使用
UNIX系统下监视磁盘空间和使用情况
Freebsd7.0+Apache2.2+MySQL5+PHP5安装配置

Unix/Linux 中的 使用SSL 保护VNC应用程序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 130 ::
收藏到网摘: n/a

    SSL 为使用 VNC 和标准 Web 浏览器对远程桌面进行方便、安全的访问提供了一种新颖的机制。

    您希望使用比专有解决方案更方便并且具有比 ssh 更具安全性的方式来访问远程桌面吗?本文将介绍一种很好的方法,这是我们之前从未介绍过的一种技术。

    这种想法是使用 SSL 为嵌入在 Web 页面中的一个简单 VNC 查看器提供安全性。这意味着实际上任何可以处理 Java 的 Web 浏览器都可以查看远程桌面,并与之进行交互;对于典型的情况来说这是一个功能十分强大的解决方案,包括电话协作、技术支持和供应。

计算机在这里,屏幕在那里

    计算机在某个位置执行一个操作,在其他地方的人希望看到结果。符合这种描述的情况非常多,实现这种功能的方法也几乎同样多。有一种方法是将常规的单个桌面作为一个使用 HTTPS 协议进行保护的 Web URL 地址来发布,在与那些非软件专家的人一起工作时,这种方法特别方便。通过一个连接到远程桌面的超链接或仅在浏览器的地址栏输入 URL 即可进行远程访问,这对于 “平民” 用户来说非常方便。

    只需要花几分钟的功夫,您就可以建立自己的远程桌面。这种方法的一个重要功能特性是它进行认证的方法:它并不基于登录级别的帐号,后者常见于基于 ssh、IPv6、OpenVPN 和大部分专有产品的远程访问机制,我们将展示如何为 SSL 设置帐号/密码对。这是一种非常 “轻量级” 的方法,可以与桌面主机上的其他用途隔离开来。同时,这种方法在 Web 上应用广泛,并且是一种关键的技术,大部分开发人员来此非常熟悉。

    尽管只需要几个步骤就可以实现通过 SSL 来访问 VNC,但是这个配置的核心存在一个复杂的问题:Jva VNC 客户机不会连接到那些自己对证书进行签名的 SSL 站点上。更确切地说,流行浏览器所使用的 JVM 通常都需要经过 “受信任的第三方” 认证权威(CA)签名的证书。

    这篇文章对读者进行了有效地分类。可能由于管理或开发安全 Web 站点的需要您已经开始使用 SSL,那就可以立即在 VNC-through-SSL 项目中使用相同的 Web 服务器和经过签名的证书。如果您 尚不具备 使用 SSL 的背景知识,那么这种技术则不是一个很好的入门。对您来说,更传统的 ssh 隧道或 Hamachi 以及商业解决方案可能是通向远程桌面的更简单起点。更多信息请参看侧栏的 证书和 SSL。

方法

    第一个步骤是设置 VNC 服务器以及相应的隧道。对于这个步骤来说,您必须具有一个允许创建有效密钥文件的证书,包括一个私钥和一个公钥。将密钥放置在 /etc/ssl/certs/stunnel.pem。这个例子使用了 TightVNC 服务器并显示:5。


清单 1. 启动 TightVNC 服务器和隧道

$ tightvncserver :5$ stunnel -d 5705 -r 5905 -p /etc/ssl/certs/stunnel.pem 

    尽管大部分 Linux 主机都进行了设置以允许任何用户都可以启动 vncserver,但是您很可能会需要 root 特权来有效地使用 stunnel。根据主机的安全性模型,您最好是执行下面的命令: sudo stunnel ...。

    现在,服务器应该为地址 there:5905 提供了一个未加密的连接,并为 there:5705 提供了一个加密连接。使用任何方便的 VNC 查看器来验证未加密连接,重定向到 yourhost:5。要确保 stunnel 已经启动并且正在运行,请使用下面的命令来搜索系统日志:


清单 2. 检查 stunnel 是否已成功

# grep stunnel /var/log/syslog|tail -24Aug 21 18:58:17 there stunnel[5453]: Using '5905' as tcpwrapper service nameAug 21 18:58:17 there stunnel[5453]: stunnel 3.26 on i386-pc-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004Aug 21 18:58:17 there stunnel[5454]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed 

    出现的错误 —— 密钥文件无效,没有足够的权限,或者端口已经被使用 —— 出现在同样的日志文件中。例如,如果缺少密钥,