Det är mycket viktigt att tänka på säkerheten vid användning av VNC. Nedan visas några exempel där säkerheten utgörs av SSH med port forward, TLS-kryptering och lösenordsskydd av VNC-anslutningen och att det endast är tillåtet att ansluta mot vncservern från localhost (endast interna anslutningar tillåtna).
Anslut från dator A (myclient.net) till skrivbord på dator B (myserver.net)
A (VNC-klient) -> B (VNC-server)
1. Starta ett skrivbord (:1 anger skrivbordets nummer) på dator B för användaren “vncuser”.
Porten som ska användas för att ansluta mot skrivbordet blir implicit 5900+skrivbordsnummer=5901.
su – vncuser -c ‘tigervncserver :1 -SecurityTypes=TLSVnc -localhost=yes’
2. Anslut med SSH och gör “port forward” för att koppla port 5901 på dator B till lokal port 20000 på dator A.
Kan göras som valfri användare.
ssh myserver.net -f -N -o Compression=yes -L 20000:localhost:5901
3. Anslut med VncViewer via tunneln
xtigervncviewer localhost:20000 -SecurityTypes=TLSVnc
Omvänd “port forward” (reverse tunneling) kan användas för VNC-anslutning från dator A till dator B om det inte är tillåtet med inkommande anslutningar mot dator B
A (SSH-server) <- B (SSH-klient)
A (VNC-klient) -> B (VNC-server) (via reverse-tunnel)
1. Starta ett skrivbord (:1 anger skrivbordets nummer) på dator B för användaren “vncuser”.
Porten som ska användas för att ansluta mot skrivbordet blir implicit 5900+nummer=5901.
su – vncuser -c ‘tigervncserver :1 -SecurityTypes=TLSVnc -localhost=yes’
2. Anslut med SSH och gör “reverse tunneling” till datorn som kör vncservern genom att göra en SSH-anslutning från B till A.
Kan göras som valfri användare.
ssh -f -N -o Compression=yes -R 20000:localhost:5901 myclient.net
3. Anslut med VncViewer på A via reverse-tunneln mot B
xtigervncviewer -SecurityTypes=TLSVnc localhost:20000
Lista aktiva vncservrar
Lista startade vncservrar för användaren vncuser.
su – vncuser -c ‘tigervncserver -list’