Debian与TigerVNC网络配置

Debian 与 TigerVNC 网络配置

一 网络与端口规划

• 显示编号与端口映射：VNC 显示编号从 :1 开始，对应端口为 5900 + 显示编号（例如 :1 → 5901、:2 → 5902）。规划时避免端口冲突，并为每个会话使用唯一编号。
• 监听地址与访问控制：默认仅监听 127.0.0.1，需设置 localhost=no 才允许外部访问；生产环境建议通过 SSH 隧道或云平台安全组限制来源 IP。
• 防火墙放行：若直接开放端口，使用 UFW 放行对应 TCP 端口（如 5901/tcp）；若走 SSH 隧道，无需放行 VNC 端口到公网。

二 服务器端安装与基础配置

• 安装软件包：sudo apt update && sudo apt install tigervnc-standalone-server tigervnc-common。
• 设置 VNC 密码：执行 vncpasswd，按提示设置访问密码（可设置只读密码）。
• 配置桌面会话：编辑 ~/.vnc/xstartup，确保启动所需桌面环境并赋予可执行权限。示例（Xfce，轻量推荐）：
  #!/bin/sh
  unset SESSION_MANAGER
  unset DBUS_SESSION_BUS_ADDRESS
  [ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
  [ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
  exec startxfce4
  chmod +x ~/.vnc/xstartup
• 手动启动会话：vncserver :1 -geometry 1280x800 -depth 24（可按需调整分辨率与色深）。

三 防火墙与端口开放

• UFW 直接放行示例（显示编号 :1）：
  sudo ufw allow 5901/tcp
  sudo ufw reload
• 多会话需放行对应端口（如 :2 → 5902）。
• 云服务器还需在 安全组/NACL 中放行相同端口或使用 SSH 隧道方式避免公网直曝 VNC 端口。

四 客户端连接与安全加固

• 直连方式：在客户端输入 <服务器IP>:<显示编号>（如 192.0.2.10:1），端口为 5901 对应 :1。
• SSH 隧道方式（推荐）：在本地执行
  ssh -L 5901:127.0.0.1:5901 -C -N -l <用户名> <服务器IP>
  客户端连接 localhost:1，所有流量经 SSH 加密。
• 安全建议：
  • 使用 非 root 用户运行 VNC；
  • 通过 SSH 隧道或严格来源 IP 的防火墙策略限制访问；
  • 设置强密码，必要时启用只读密码。

五 开机自启与常用排障

• Systemd 服务示例（创建 /etc/systemd/system/vncserver@.service）：
  [Unit]
  Description=Start TigerVNC server at startup
  After=syslog.target network.target

  [Service]
  Type=forking
  User=<用户名>
  Group=<用户组>
  WorkingDirectory=/home/<用户名>
  PIDFile=/home/<用户名>/.vnc/%H:%i.pid
  ExecStartPre=-/usr/bin/vncserver -kill :%i >/dev/null 2>&1
  ExecStart=/usr/bin/vncserver :%i -geometry 1280x800 -depth 24
  ExecStop=/usr/bin/vncserver -kill :%i

  [Install]
  WantedBy=multi-user.target
  启用：sudo systemctl daemon-reload && sudo systemctl enable --now vncserver@1.service。

• 常用排障：

  • 查看会话与端口：ss -tulnp | grep vnc 或 ps aux | grep vnc；
  • 检查日志：cat ~/.vnc/*.log；
  • 会话管理：vncserver -kill :1；
  • 黑屏/无响应：核对 ~/.vnc/xstartup 是否启动桌面环境并执行了 chmod +x。