当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 使用SSL 保护VNC应用程序

Unix/Linux
Linux 备份 恢复方法
Linux玩CS反恐精英的方法
在一个ISO镜像中集成多个不同的linux发行版,可刻盘,可引导
Linux 快捷键使用
Linux DHCP 服务器配置方法介绍
Linux 22端口的修改方法
Linux 记录会话过程的命令
Linux 后台执行程序如何操作?
linux Wget命令来浏览网页的方法
Linux tail命令的巧妙应用
Wine 中文存在很多的乱码怎么解决方法
linux 新手教程之创建锁文件的方法
配置Linux 保证其系统的安全
Linux DHCP协议实现过程
Linux系统下破解SAM密码
linux/unix vi 编辑器用法详解
Linux 误删文件的解决方法
Linux系统下的历史记录删除方法
Red Hat Linux 安全设置指南
Linux基本命令-注销、关机、重启

Unix/Linux 中的 使用SSL 保护VNC应用程序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 60 ::
收藏到网摘: n/a

    SSL 为使用 VNC 和标准 Web 浏览器对远程桌面进行方便、安全的访问提供了一种新颖的机制。

    您希望使用比专有解决方案更方便并且具有比 ssh 更具安全性的方式来访问远程桌面吗?本文将介绍一种很好的方法,这是我们之前从未介绍过的一种技术。

    这种想法是使用 SSL 为嵌入在 Web 页面中的一个简单 VNC 查看器提供安全性。这意味着实际上任何可以处理 Java 的 Web 浏览器都可以查看远程桌面,并与之进行交互;对于典型的情况来说这是一个功能十分强大的解决方案,包括电话协作、技术支持和供应。

计算机在这里,屏幕在那里

    计算机在某个位置执行一个操作,在其他地方的人希望看到结果。符合这种描述的情况非常多,实现这种功能的方法也几乎同样多。有一种方法是将常规的单个桌面作为一个使用 HTTPS 协议进行保护的 Web URL 地址来发布,在与那些非软件专家的人一起工作时,这种方法特别方便。通过一个连接到远程桌面的超链接或仅在浏览器的地址栏输入 URL 即可进行远程访问,这对于 “平民” 用户来说非常方便。

    只需要花几分钟的功夫,您就可以建立自己的远程桌面。这种方法的一个重要功能特性是它进行认证的方法:它并不基于登录级别的帐号,后者常见于基于 ssh、IPv6、OpenVPN 和大部分专有产品的远程访问机制,我们将展示如何为 SSL 设置帐号/密码对。这是一种非常 “轻量级” 的方法,可以与桌面主机上的其他用途隔离开来。同时,这种方法在 Web 上应用广泛,并且是一种关键的技术,大部分开发人员来此非常熟悉。

    尽管只需要几个步骤就可以实现通过 SSL 来访问 VNC,但是这个配置的核心存在一个复杂的问题:Jva VNC 客户机不会连接到那些自己对证书进行签名的 SSL 站点上。更确切地说,流行浏览器所使用的 JVM 通常都需要经过 “受信任的第三方” 认证权威(CA)签名的证书。

    这篇文章对读者进行了有效地分类。可能由于管理或开发安全 Web 站点的需要您已经开始使用 SSL,那就可以立即在 VNC-through-SSL 项目中使用相同的 Web 服务器和经过签名的证书。如果您 尚不具备 使用 SSL 的背景知识,那么这种技术则不是一个很好的入门。对您来说,更传统的 ssh 隧道或 Hamachi 以及商业解决方案可能是通向远程桌面的更简单起点。更多信息请参看侧栏的 证书和 SSL。

方法

    第一个步骤是设置 VNC 服务器以及相应的隧道。对于这个步骤来说,您必须具有一个允许创建有效密钥文件的证书,包括一个私钥和一个公钥。将密钥放置在 /etc/ssl/certs/stunnel.pem。这个例子使用了 TightVNC 服务器并显示:5。


清单 1. 启动 TightVNC 服务器和隧道

$ tightvncserver :5$ stunnel -d 5705 -r 5905 -p /etc/ssl/certs/stunnel.pem 

    尽管大部分 Linux 主机都进行了设置以允许任何用户都可以启动 vncserver,但是您很可能会需要 root 特权来有效地使用 stunnel。根据主机的安全性模型,您最好是执行下面的命令: sudo stunnel ...。

    现在,服务器应该为地址 there:5905 提供了一个未加密的连接,并为 there:5705 提供了一个加密连接。使用任何方便的 VNC 查看器来验证未加密连接,重定向到 yourhost:5。要确保 stunnel 已经启动并且正在运行,请使用下面的命令来搜索系统日志:


清单 2. 检查 stunnel 是否已成功

# grep stunnel /var/log/syslog|tail -24Aug 21 18:58:17 there stunnel[5453]: Using '5905' as tcpwrapper service nameAug 21 18:58:17 there stunnel[5453]: stunnel 3.26 on i386-pc-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004Aug 21 18:58:17 there stunnel[5454]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed 

    出现的错误 —— 密钥文件无效,没有足够的权限,或者端口已经被使用 —— 出现在同样的日志文件中。例如,如果缺少密钥,