鉴于 VNC 和 X11 的开发并未考虑到安全性,人们通常认为远程连接到需要 GUI 的 Linux 系统需要做什么。虽然单独的 SSH 访问可能是首选,但通常存在开发人员或管理员需要对 Linux 系统进行 GUI 访问的要求。
到目前为止,我看到了以下解决方案:
虽然许多人主张在 sshd_config 中将 X11Forwarding 设置为“no”,但在我看来,这是最安全的原生替代方案。但是,我对这里的安全专家的想法持开放态度!
NoMachine 或多或少是基于 SSH 的 X11,性能有所提高。所以有两个好处,SSH 是为您管理的,并且您没有 X11 在网络上的可怕性能。(ISTR 认为 SSH 不是默认设置,但它本质上是一个下拉选项,而不是设置传奇)。
VNC 还提供比 X11 更好的性能,并且可以通过 SSH 或使用各种强化变体之一(如UltraVNC或RealVNC Enterprise 或 Personal)进行保护。然而,SSH 集成的变体和手动性质的大杂烩(例如,TightVNC基本上说“自己动手”),它并不是最连贯的解决方案。
X11Forwarding 在网络上的范围从糟糕到糟糕。它在 WAN 上基本上无法使用。这不是因为 SSH,而是因为延迟影响 X11 协议的方式。出于这个原因,我不会为此烦恼。
我个人的建议是看看 NoMachine。它是一个比*VNC 更加连贯、可靠的产品,并且SSH 位的工作很容易和集成。
一个可能的替代方案可能是完整的 VPN。这会在不安全的网络上创建一个安全的网络,并允许用户访问系统,就像他们在本地网络上一样。
当然,这种方法存在危险,因为您将本地网络扩展到潜在的未知位置。但是如果正确完成,它是高度安全的。
VPN 确实会增加网络带宽的开销,并且也会增加一些延迟,因此您需要确保性能是可以接受的。