CentOS 系统 TigerVNC 安全设置指南
一 安全基线
- 使用非 root专用账户进行 VNC 登录,避免直接以 root 运行桌面会话。为 VNC 单独设置强密码(使用 vncpasswd),必要时可设置仅查看密码(view-only)。
- 仅允许本地回环访问 VNC,强制通过SSH 隧道加密转发;在客户端使用 vncviewer 的 -via 选项或手动建立本地端口转发。
- 在 VNC 启动参数中启用 -localhost 与 -nolisten tcp,禁止明文 TCP 直连与 X 监听,降低暴露面。
- 防火墙仅对受控来源开放必要端口(如 5901/tcp),或优先不开放 VNC 端口,仅放行 SSH(22/tcp)。
- 保持系统与软件更新(yum update),及时修补漏洞。
二 服务端安全配置步骤
- 安装与初始化
- 安装 TigerVNC:sudo yum install -y tigervnc-server;切换到普通用户并为该用户执行 vncpasswd 设置 VNC 密码。
- 配置 systemd 服务
- 复制模板:sudo cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:1.service;编辑文件,将 User= 改为实际用户,并在 ExecStart 中加入安全参数:-geometry 1280x768 -depth 24 -nolisten tcp -localhost。
- 启动与自启
- 重载并启用:systemctl daemon-reload;systemctl enable --now vncserver@:1.service;检查状态:systemctl status vncserver@:1.service。
- 端口与连通性
- 显示号与端口关系为 5900 + 显示号(:1 对应 5901);如需临时直连测试可用 ss -tulpn | grep vnc 查看监听。
- 防火墙
- 推荐仅放行 SSH:sudo firewall-cmd --permanent --add-service=ssh && sudo firewall-cmd --reload;如确需直连 VNC,仅开放对应端口(例如 5901/tcp)。
三 客户端安全连接
- SSH 隧道(推荐)
- 本地端口转发:ssh -L 5901:localhost:5901 your_user@your_server_ip;随后在客户端连接 localhost:1。
- 客户端内置代理:vncviewer -via your_user@your_server_ip localhost:1(等价于 -L 方式)。
- 直连(仅在受控网络且已启用 -localhost 的前提下)
- 若服务未限制来源,可在客户端使用 your_server_ip:1 连接,但应配合防火墙白名单与强认证。
四 加固清单与最佳实践
- 账户与权限
- 禁止 root 直连 VNC;按需创建最小权限的 VNC 专用账户;为每个用户单独设置 vncpasswd。
- 加密与网络
- 全程使用 SSH 隧道或等效加密通道;保持 -localhost 与 -nolisten tcp 生效;必要时仅对受信网段/IP 开放 5901/tcp。
- 桌面与会话
- 服务器侧选择轻量桌面(如 Xfce)以降低资源占用与攻击面;按需配置 ~/.vnc/xstartup 启动相应会话。
- 运行维护
- 定期更新系统与 TigerVNC;使用 systemctl 管理生命周期;变更配置后执行 daemon-reload 并重启服务;通过 ss/日志核查监听与连接。
五 常见问题与排查
- 端口未监听或连接被拒
- 确认服务已启动(systemctl status);检查端口规则(ss -tulpn | grep vnc);若使用隧道,确认本地端口转发正确。
- 只允许本机访问
- 这是 -localhost 的预期行为;请在客户端使用 SSH 隧道或临时移除 -localhost 并在防火墙层做来源限制。
- 会话残留或端口冲突
- 先停止旧会话:vncserver -kill :1;必要时清理 ~/.vnc/*.pid 后再启动;使用 systemctl restart vncserver@:1.service。
- 桌面未显示或黑屏
- 检查 ~/.vnc/xstartup 是否启动正确桌面(GNOME/KDE/Xfce);确保已安装对应桌面环境并赋予脚本可执行权限。
