当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 使用SSL 保护VNC应用程序

Unix/Linux
linux php扩展安装方法
Linux上架设支持JSP+PHP的Web服务器
FreeBSD WEB服务器架设笔记
Linux下Web服务器架设攻略
Apache配置技巧
在 Linux 上安装 PostgreSQL
文件属性控制命令chmod
解决安装Domino for Linux时配置的Web服务器无法启动的问题
在Linux下配置和安装Domino 服务器的问题
Linux下配置和安装Domino 服务器 2
Linux下配置和安装Domino 服务器 3
Linux编译内核
I810 Graphics LINUX Driver的安装
在Linux下如何使用软盘、光盘等分区
建立并安装一个定制的内核
中小型企业的Sendmail邮件服务器应用实例
Linux下 Sendmail服务器 转发功能的讲解
linux下文件解压
配置Sendmail服务器以防治垃圾邮件
配置Sendmail服务器以防治垃圾邮件 2

Unix/Linux 中的 使用SSL 保护VNC应用程序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 71 ::
收藏到网摘: n/a

    SSL 为使用 VNC 和标准 Web 浏览器对远程桌面进行方便、安全的访问提供了一种新颖的机制。

    您希望使用比专有解决方案更方便并且具有比 ssh 更具安全性的方式来访问远程桌面吗?本文将介绍一种很好的方法,这是我们之前从未介绍过的一种技术。

    这种想法是使用 SSL 为嵌入在 Web 页面中的一个简单 VNC 查看器提供安全性。这意味着实际上任何可以处理 Java 的 Web 浏览器都可以查看远程桌面,并与之进行交互;对于典型的情况来说这是一个功能十分强大的解决方案,包括电话协作、技术支持和供应。

计算机在这里,屏幕在那里

    计算机在某个位置执行一个操作,在其他地方的人希望看到结果。符合这种描述的情况非常多,实现这种功能的方法也几乎同样多。有一种方法是将常规的单个桌面作为一个使用 HTTPS 协议进行保护的 Web URL 地址来发布,在与那些非软件专家的人一起工作时,这种方法特别方便。通过一个连接到远程桌面的超链接或仅在浏览器的地址栏输入 URL 即可进行远程访问,这对于 “平民” 用户来说非常方便。

    只需要花几分钟的功夫,您就可以建立自己的远程桌面。这种方法的一个重要功能特性是它进行认证的方法:它并不基于登录级别的帐号,后者常见于基于 ssh、IPv6、OpenVPN 和大部分专有产品的远程访问机制,我们将展示如何为 SSL 设置帐号/密码对。这是一种非常 “轻量级” 的方法,可以与桌面主机上的其他用途隔离开来。同时,这种方法在 Web 上应用广泛,并且是一种关键的技术,大部分开发人员来此非常熟悉。

    尽管只需要几个步骤就可以实现通过 SSL 来访问 VNC,但是这个配置的核心存在一个复杂的问题:Jva VNC 客户机不会连接到那些自己对证书进行签名的 SSL 站点上。更确切地说,流行浏览器所使用的 JVM 通常都需要经过 “受信任的第三方” 认证权威(CA)签名的证书。

    这篇文章对读者进行了有效地分类。可能由于管理或开发安全 Web 站点的需要您已经开始使用 SSL,那就可以立即在 VNC-through-SSL 项目中使用相同的 Web 服务器和经过签名的证书。如果您 尚不具备 使用 SSL 的背景知识,那么这种技术则不是一个很好的入门。对您来说,更传统的 ssh 隧道或 Hamachi 以及商业解决方案可能是通向远程桌面的更简单起点。更多信息请参看侧栏的 证书和 SSL。

方法

    第一个步骤是设置 VNC 服务器以及相应的隧道。对于这个步骤来说,您必须具有一个允许创建有效密钥文件的证书,包括一个私钥和一个公钥。将密钥放置在 /etc/ssl/certs/stunnel.pem。这个例子使用了 TightVNC 服务器并显示:5。


清单 1. 启动 TightVNC 服务器和隧道

$ tightvncserver :5$ stunnel -d 5705 -r 5905 -p /etc/ssl/certs/stunnel.pem 

    尽管大部分 Linux 主机都进行了设置以允许任何用户都可以启动 vncserver,但是您很可能会需要 root 特权来有效地使用 stunnel。根据主机的安全性模型,您最好是执行下面的命令: sudo stunnel ...。

    现在,服务器应该为地址 there:5905 提供了一个未加密的连接,并为 there:5705 提供了一个加密连接。使用任何方便的 VNC 查看器来验证未加密连接,重定向到 yourhost:5。要确保 stunnel 已经启动并且正在运行,请使用下面的命令来搜索系统日志:


清单 2. 检查 stunnel 是否已成功

# grep stunnel /var/log/syslog|tail -24Aug 21 18:58:17 there stunnel[5453]: Using '5905' as tcpwrapper service nameAug 21 18:58:17 there stunnel[5453]: stunnel 3.26 on i386-pc-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004Aug 21 18:58:17 there stunnel[5454]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed 

    出现的错误 —— 密钥文件无效,没有足够的权限,或者端口已经被使用 —— 出现在同样的日志文件中。例如,如果缺少密钥,