ubuntu tigervnc如何加密传输

Ubuntu 上 TigerVNC 加密传输的两种可靠做法

• 方式一：使用 SSH 隧道 将 VNC 流量封装在加密通道中（部署简单、通用性强，适合绝大多数网络环境）。
• 方式二：启用 TLS/X.509 证书 的 VNC 原生加密（需要证书配置，客户端需支持 X509Vnc）。

方式一 SSH 隧道加密（推荐）

• 服务端准备
  • 安装并初始化 TigerVNC（以会话 :1 为例）：
    • 安装：sudo apt install tigervnc-standalone-server
    • 设密：vncpasswd
    • 首次启动后杀掉以便后续用服务管理：vncserver -kill :1
  • 建议仅本地监听，再由 SSH 转发暴露：vncserver :1 -geometry 1920x1080 -depth 24 -localhost yes
  • 防火墙仅放行 SSH 22 端口（如需直连 VNC 端口，请另行加固并限制来源）。
• 客户端连接（本地端口转发）
  • 建立隧道（将服务器的 5901 映射到本地的 5901）：
    • Linux/macOS：ssh -L 5901:localhost:5901 -N -f -l 用户名 服务器IP
    • Windows（PowerShell）：ssh -L 5901:localhost:5901 -N -f 用户名@服务器IP
  • VNC 客户端连接：地址填 localhost:5901（或 127.0.0.1:5901），端口为 5900 + 显示号（:1 → 5901）。
• 说明
  • 全程数据经 SSH 加密，无需开放 VNC 端口到公网；适合云主机、公司内网等场景。

方式二 TLS X.509 证书加密（原生加密）

• 生成证书（服务端）
  • 生成自签名证书（包含服务器 IP 或域名，便于客户端校验）：

    openssl req -x509 -newkey rsa -days 3650 -nodes \
      -config /usr/lib/ssl/openssl.cnf \
      -keyout ~/.vnc/vnc-server-private.pem \
      -out  ~/.vnc/vnc-server.pem \
      -subj '/CN=你的服务器名称' \
      -addext "subjectAltName=IP:x.x.x.x,IP:y.y.y.y"
    

  • 将证书权限收紧：chmod 600 ~/.vnc/vnc-server-*.pem
• 配置 TigerVNC 启用 X509 加密
  • 编辑用户配置文件 ~/.vnc/config（不存在则新建），示例：

    session=ubuntu
    geometry=1600x900
    depth=24
    localhost=no
    X509Cert=/home/你的用户名/.vnc/vnc-server.pem
    X509Key=/home/你的用户名/.vnc/vnc-server-private.pem
    SecurityTypes=X509Vnc
    

  • 重启会话：vncserver -kill :1 && vncserver :1
• 客户端连接
  • 使用支持 X509Vnc 的客户端（如 TigerVNC Viewer），直接连接 服务器IP:5901。
  • 若证书包含正确的 IP/DNS SAN，客户端会进行校验；如为自签名，通常需在客户端确认/导入信任。
• 说明
  • 这是 VNC 协议层的 TLS 加密，不依赖 SSH；适合需要“端到端”加密且希望直接开放 VNC 端口的场景。

防火墙与访问控制要点

• 仅开放必要端口：SSH（22）必开；若采用方式二，再开放 5901（对应 :1）。
• 建议限制来源 IP，或使用 UFW/安全组 做白名单。
• 避免将 VNC 直接暴露在公网；如必须公网直连，优先选择 X509 并校验证书，或坚持 SSH 隧道。

常见问题与排查

• 灰屏或会话冲突：不要在显示器上已登录图形会话时再用 VNC 连接同一用户；先注销本地图形会话或改用不同用户/会话号。
• 端口不对：VNC 会话 :N 对应端口 5900+N（例如 :1 → 5901）。
• 证书不被信任：确保证书的 CN/SAN 与连接地址一致，或在客户端手动信任自签名证书。
• SSH 隧道连不通：确认本地端口未被占用、服务器防火墙放行 22、以及隧道命令中的端口映射正确。