Debian虎VNC安全设置指南

Debian 上 TigerVNC 安全设置指南

一 基础安装与最小配置

• 安装软件包：sudo apt update && sudo apt install tigervnc-standalone-server tigervnc-common。
• 设置 VNC 访问密码：执行 vncpasswd，为账户创建高强度密码（建议至少12个字符，包含大小写字母、数字与特殊字符）。
• 创建 systemd 单元（示例为显示号 :1）：
  • 新建文件：sudo nano /etc/systemd/system/vncserver@:1.service
  • 内容要点：
    • [Service] 中设置 User=your_username、Group=your_groupname
    • ExecStartPre=/usr/bin/vncserver -kill :%i >/dev/null 2>&1
    • ExecStart=/usr/bin/vncserver -depth 24 -geometry 1280x800 :%i
    • ExecStop=/usr/bin/vncserver -kill :%i
• 启动与自启：
  • sudo systemctl daemon-reload
  • sudo systemctl enable --now vncserver@:1.service
• 连接端口说明：显示号 :1 对应端口 5901（:2→5902，以此类推）。

二 加固措施优先级

• 使用 SSH 隧道 加密传输（推荐优先）：
  • 本地端口转发：ssh -L 5901:localhost:5901 username@your_server_ip
  • 客户端连接：VNC Viewer 连接到 localhost:5901（经由 SSH 隧道）。
• 防火墙最小化放行：
  • 若必须直连 VNC 端口，仅允许受信来源：sudo ufw allow from TRUSTED_IP to any port 5901/tcp；否则建议仅放行 SSH(22/tcp)，通过隧道访问。
• 身份与权限：
  • 禁止 root 直连 VNC，使用普通用户并以 sudo 提权；
  • 使用 SSH 密钥 登录，禁用 root 远程登录与空密码。
• 服务暴露面收敛：
  • 仅启动必要的 VNC 实例，停用不需要的显示号（如 vncserver -kill :2）；
  • 持续更新系统与软件：sudo apt update && sudo apt upgrade。

三 加密与认证配置

• 启用 VncAuth 口令认证，确保 VNC 会话口令复杂度与定期更换。
• 启用传输加密：
  • 首选方式：通过 SSH 隧道 实现端到端加密；
  • 可选方式：在服务器启用 SSL/TLS（示例：vncserver -geometry 1920x1080 -ssl），并配置客户端信任相应证书。
• 客户端连接要点：
  • 使用隧道时，连接到 localhost:5901；
  • 使用 SSL/TLS 时，按客户端指引启用 TLS/SSL 并导入/信任证书。

四 系统与服务安全加固

• 账户与登录安全：
  • 仅使用普通用户运行 VNC；
  • 强制 SSH 密钥 认证，禁用 root 远程登录与空密码。
• 防火墙与网络：
  • 使用 ufw 仅放行必要端口（优先仅放行 22/tcp）；
  • 如直连 VNC，采用 IP 白名单 策略限制来源。
• 运行与日志：
  • 按需精简 VNC 实例，减少攻击面；
  • 启用日志审计与监控（如 logwatch、auditd），并结合 Fail2ban 防御暴力破解；
  • 定期更新系统与 VNC 组件，及时修补漏洞。

五 快速检查清单