Ubuntu VNC如何设置用户权限

Ubuntu VNC 用户权限设置指南

一 核心原则与总体思路

• 将系统登录权限与VNC访问权限分离：系统层面决定谁能登录系统（如加入 sudo 组），VNC 层面决定谁能连哪个桌面会话（口令、显示号、访问控制）。
• 每个 VNC 会话以特定系统用户运行，互不干扰；建议为每个需要远程桌面的用户单独配置与启停。
• 通过防火墙限制来源 IP，仅开放 5901+ 端口（:1 对应 5901/tcp，:2 对应 5902/tcp，以此类推）。
• 如需对外网开放，避免直接暴露端口，建议配合 SSH 隧道或企业级反向代理/跳板。

二 系统层用户与权限

• 创建专用用户并加入 sudo（仅在需要时赋予管理员权限）：
  • 添加用户：sudo adduser vncuser
  • 加入 sudo 组：sudo usermod -aG sudo vncuser
• 切换到该用户初始化 VNC 口令：su - vncuser 后执行 vncpasswd，设置连接密码（可按需设置仅观看密码）。
• 如需为多个用户开通 VNC，重复以上步骤，为每个用户单独设置口令与后续会话。上述做法在多用户 VNC 场景中为通用实践。

三 VNC 服务与访问控制

• 安装服务器（示例为 TigerVNC）：sudo apt install tigervnc-standalone-server tigervnc-common
• 启动会话（示例为显示号 :1）：vncserver :1 -localhost no
  • 参数说明：:1 为显示号（端口 5901）；-localhost no 允许来自外部的访问；如需限制为本地，请使用 -localhost yes 并配合 SSH 隧道。
• 仅本地访问更安全：客户端通过 SSH 隧道连接，例如：ssh -L 5901:127.0.0.1:5901 vncuser@your_server，然后 VNC Viewer 连接 localhost:5901。
• 防火墙放行（示例）：sudo ufw allow 5901/tcp（按需开放更多端口，如 5902–5910）。

四 多用户与会话隔离

• 每个用户独立会话与口令：切换到相应用户执行 vncserver :N（N 不同），即可在同一台主机上并行提供多个桌面会话。
• 会话管理常用命令：
  • 查看会话：vncserver -list
  • 结束会话：vncserver -kill :N
• 如需开机自启，建议使用 systemd 用户服务（每个用户一个实例），示例单元文件 /etc/systemd/system/vncserver@.service：

  [Unit]
  Description=Start TightVNC server at startup
  After=syslog.target network.target
  
  [Service]
  Type=forking
  User=%i
  Group=%i
  WorkingDirectory=/home/%i
  PIDFile=/home/%i/.vnc/%H:%i.pid
  ExecStartPre=-/usr/bin/vncserver -kill :%i > /dev/null 2>&1
  ExecStart=/usr/bin/vncserver -depth 24 -geometry 1280x800 :%i
  ExecStop=/usr/bin/vncserver -kill :%i
  
  [Install]
  WantedBy=multi-user.target
  

  • 启用示例：sudo systemctl daemon-reload && sudo systemctl enable --now vncserver@vncuser.service
• 旧版 SysV 方案（不推荐于新系统）：可编写 /etc/init.d/vncserver 脚本，以 su <user> -c 'vncserver :1 …' 方式按用户启停，并为不同用户配置多个脚本。

五 桌面环境、xstartup 与常见问题

• 确保会话能启动到桌面：编辑相应用户的 ~/.vnc/xstartup，示例（使用 XFCE）：

  #!/bin/sh
  unset SESSION_MANAGER
  unset DBUS_SESSION_BUS_ADDRESS
  [ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
  [ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
  xsetroot -solid grey
  vncconfig -iconic &
  exec startxfce4 &
  

  • 赋权并重启会话：chmod +x ~/.vnc/xstartup，vncserver -kill :N && vncserver :N
• 常见故障排查要点：
  • 灰屏/鼠标 X 形：多为桌面未正确启动，检查 xstartup 是否启动到 XFCE/GNOME，必要时重装桌面并重试。
  • 连接被拒绝：确认 -localhost no、云安全组/本机防火墙已放行对应 590N/tcp，或改用 SSH 隧道。
  • 锁屏后无法输入：通过 SSH 登录后执行 loginctl unlock-session <ID> 解锁会话，再重连 VNC。