安装VNC有不利之处吗？

我们大学的语言部门拥有一个英特尔NUC，它将很快托管该部门的教职员工和学生使用的Web应用程序。NUC运行Ubuntu（14.10）。

我对终端和通过SSH进入服务器感到很满意，但是我发现通过屏幕共享（VNC）可以轻松完成很多任务。

我建议我们的新技术总监在此服务器上安装VNC，以使我的生活更加轻松（实际上，在雇用VNC之前已安装了VNC，然后将其卸载了）。但是，他回答了以下评论：

如果我们可以摆脱它，我宁愿不要在服务器上运行X或VNC。毕竟它是一台服务器。

我真的不明白这种逻辑。它没有连接显示器。唯一通过SSH进行的访问。通过VNC访问我不知道的服务器是否有一些奇迹般的缺点？

显然，您正在为攻击者开放另一个端口。反驳：我们位于两个大学防火墙（主要的大学网络防火墙以及子网自己的特殊防火墙）的背后。VNC只能在我们的子网内完成，所以我茫然地知道为什么这将是一个问题，而不是“需要维护的另一个程序包”，而Ubuntu的apt程序包管理器将不再成为问题。

在服务器上安装VNC有什么弊端？

编辑：这不仅仅是一个网络服务器。它托管了许多其他应用程序。不知道这是否有所作为。

原因有很多：

• 攻击面：更多的程序，尤其是联网程序，意味着某人找到漏洞并进入的更多机会。

• 表面缺陷：如上所述，但将“某人”替换为“ 墨菲 ”，并将“进入”替换为“破坏您的一天”。实际上，“毁了一天”也可能适用于上一点。

• 系统效率：X11和人们倾向于在其上运行的GUI环境消耗大量的RAM，尤其是在像NUC这样的资源有限的系统上。不运行它们意味着需要更多资源来进行有用的工作。

• 操作员效率：GUI不适合脚本编写和其他形式的自动化。点击事物感觉很有效率，但这实际上是最糟糕的方法来做一些技术性的事情。如果您无法编写脚本并自动完成工作，您还将发现自己未来的就业机会受到极大限制-整个行业正在远离 GUI管理工具。哎呀，即使是Windows服务器，如今也可以不使用GUI进行安装，如果那不能使您考虑只知道如何单击内容的相对优点，那么我真的不知道该对您说些什么。

问题不在于VNC-别误会，VNC是一个可怕的协议，并且存在许多缺陷（最大的缺陷是缺乏加密支持，因此所有内容都以纯文本格式通过网络传输），但这并不是主要问题。为什么不建议在服务器上使用它。

您将要安装VNC才能访问黑屏？不，您想访问整个桌面环境，这是真正的问题。

一旦安装了所有此类台式机级Gnome（或类似产品）软件，您就已经可以认为您的服务器已受到威胁，因为在这个可怕的，庞大的应用程序集中还有很多漏洞可以利用（除了它不是为提高生产力而设计的）并消耗大量资源）。我不推荐该软件和大多数Linux桌面环境的其他原因之一是，它们几乎像rootkit一样接管整个系统，并实现自己的所有版本（身份验证？不再需要坚决的用户和组） ，让我们以root用户身份运行此Policykit废话，它基于一些不可读，晦涩的XML文件提供权限...配置？谁需要人类可读的配置文件？让我们将所有内容存储在二进制数据库中，

尝试在Archlinux服务器上安装Gnome桌面环境时，提示“总安装大小：1370.86 MiB”。这是巨大的，想象一下，该前服务器在安装后将具有额外的攻击面。其他桌面环境并没有更好。

显然，您正在为攻击者开放另一个端口。反驳：我们位于两个大学防火墙（主要的大学网络防火墙以及子网自己的特殊防火墙）的背后。VNC只能在我们的子网内完成，所以我很茫然...

永远不要假设由于系统位于专用网络中的防火墙后面，因此您不必担心安全性。许多（如果不是大多数）成功的入侵是由有权访问上述网络的内部人员（员工，学生等）执行的。

尝试这样做，以使技术总监满意：

• 安装VNC和任何您喜欢的桌面

• 请勿安装任何类型的屏幕保护程序。为什么？您没有屏幕，而仅坐在那里的桌面不会消耗很多资源。

• 请勿转发VNC端口。如果需要使用它，请通过SSH（端口22）建立VNC端口（5900）的通道，然后以这种方式连接。

此过程将为您提供加密和SSH的所有安全性，而SSH已经开放。您不会添加以前没有的任何安全问题。

我已经在自己的服务器上执行此操作，与直接连接相比，VNC进程没有明显的额外延迟。