Comment sécuriser le partage vnc / desktop?
J'ai plusieurs ordinateurs portables à configurer pour notre service d'assistance et je dois pouvoir y accéder/les surveiller à tout moment. Les ordinateurs portables fonctionnent sous Ubuntu 11.10 gnome Shell 3.2 et ont tous le partage de bureau activé avec un mot de passe. Tout cela fonctionne, je peux me connecter aux ordinateurs portables et les visualiser et interagir avec eux.
D'après ce que j'ai lu, cette notion de mot de passe n'est pas la mesure de sécurité la plus sophistiquée, alors je recherche une mise à niveau sécurisée pour cette configuration, de préférence une modification qui ne nécessite pas trop de modifications. J'ai lu des informations sur la mise en œuvre de ssh, mais c'est si je veux ouvrir une session sur un compte en veille et non quand je veux simplement bombarder la session utilisateur existante.
Ssh vous permet de commencer une nouvelle connexion (séparée) par texte, mais ce n'est pas la seule chose que vous puissiez faire avec. Il vous permet également de faire des choses comme tunnel Internet, tunnel un port, et de démarrer un programme graphique dans cette nouvelle connexion texte et de l'afficher sur l'ordinateur local mais de l'exécuter sur l'ordinateur distant. Tout cela est crypté, il est donc prudent d’envoyer des informations confidentielles telles que des mots de passe.
Sachez également que sur un ordinateur Linux, il est possible qu'un utilisateur soit connecté plusieurs fois. (Cela semblait tellement cool quand je suis arrivé de Windows).
VNC envoie des mots de passe de manière non sécurisée, ce qui signifie qu'il est possible que quelqu'un écoute votre connexion et utilise ensuite le mot de passe entendu pour se connecter!
L'idée générale est donc d'utiliser ssh pour vous connecter en toute sécurité et créer un nouveau login texte que vous n'utilisez pas. Ensuite, vous demandez à ssh de également tunneler le port pour VNC, ce qui signifie que le VNC est encapsulé dans le cryptage ssh afin que personne ne puisse entendre votre mot de passe. Lorsque vous vous connectez au serveur VNC distant, il affiche la connexion graphique, et non la connexion textuelle.
Comment faire ceci:
vous courez quelque chose comme
ssh <monitoredusername>@<monitoredcomputeripaddress> -L <randomportabove1024>:localhost:<monitoredcomputer'svncserverport>
Comme par magie, le serveur VNC de l'ordinateur surveillé "apparaît" sur votre ordinateur local à l'adresse. Alors tu peux faire
vncviewer localhost:<randomportabove1024>
ouvrir une session.