使用SSL保护VNC应用程序

    SSL 为使用 VNC 和标准 Web 浏览器对远程桌面进行方便、安全的访问提供了一种新颖的机制。

    您希望使用比专有解决方案更方便并且具有比 ssh 更具安全性的方式来访问远程桌面吗？本文将介绍一种很好的方法，这是我们之前从未介绍过的一种技术。

    这种想法是使用 SSL 为嵌入在 Web 页面中的一个简单 VNC 查看器提供安全性。这意味着实际上任何可以处理 Java 的 Web 浏览器都可以查看远程桌面，并与之进行交互；对于典型的情况来说这是一个功能十分强大的解决方案，包括电话协作、技术支持和供应。

计算机在这里，屏幕在那里

    计算机在某个位置执行一个操作，在其他地方的人希望看到结果。符合这种描述的情况非常多，实现这种功能的方法也几乎同样多。有一种方法是将常规的单个桌面作为一个使用 HTTPS 协议进行保护的 Web URL 地址来发布，在与那些非软件专家的人一起工作时，这种方法特别方便。通过一个连接到远程桌面的超链接或仅在浏览器的地址栏输入 URL 即可进行远程访问，这对于 “平民” 用户来说非常方便。

    只需要花几分钟的功夫，您就可以建立自己的远程桌面。这种方法的一个重要功能特性是它进行认证的方法：它并不基于登录级别的帐号，后者常见于基于 ssh、IPv6、OpenVPN 和大部分专有产品的远程访问机制，我们将展示如何为 SSL 设置帐号/密码对。这是一种非常 “轻量级” 的方法，可以与桌面主机上的其他用途隔离开来。同时，这种方法在 Web 上应用广泛，并且是一种关键的技术，大部分开发人员来此非常熟悉。

    尽管只需要几个步骤就可以实现通过 SSL 来访问 VNC，但是这个配置的核心存在一个复杂的问题：Jva VNC 客户机不会连接到那些自己对证书进行签名的 SSL 站点上。更确切地说，流行浏览器所使用的 JVM 通常都需要经过 “受信任的第三方” 认证权威（CA）签名的证书。

    这篇文章对读者进行了有效地分类。可能由于管理或开发安全 Web 站点的需要您已经开始使用 SSL，那就可以立即在 VNC-through-SSL 项目中使用相同的 Web 服务器和经过签名的证书。如果您 尚不具备 使用 SSL 的背景知识，那么这种技术则不是一个很好的入门。对您来说，更传统的 ssh 隧道或 Hamachi 以及商业解决方案可能是通向远程桌面的更简单起点。更多信息请参看侧栏的 证书和 SSL。

方法

    第一个步骤是设置 VNC 服务器以及相应的隧道。对于这个步骤来说，您必须具有一个允许创建有效密钥文件的证书，包括一个私钥和一个公钥。将密钥放置在 /etc/ssl/certs/stunnel.pem。这个例子使用了 TightVNC 服务器并显示：5。

清单 1. 启动 TightVNC 服务器和隧道

$ tightvncserver :5
$ stunnel -d 5705 -r 5905 -p /etc/ssl/certs/stunnel.pem
            

    尽管大部分 Linux 主机都进行了设置以允许任何用户都可以启动 vncserver，但是您很可能会需要 root 特权来有效地使用 stunnel。根据主机的安全性模型，您最好是执行下面的命令： sudo stunnel ...。

    现在，服务器应该为地址 there:5905 提供了一个未加密的连接，并为 there:5705 提供了一个加密连接。使用任何方便的 VNC 查看器来验证未加密连接，重定向到 yourhost:5。要确保 stunnel 已经启动并且正在运行，请使用下面的命令来搜索系统日志：

清单 2. 检查 stunnel 是否已成功

# grep stunnel /var/log/syslog|tail -24
Aug 21 18:58:17 there stunnel[5453]: Using '5905' as 
      tcpwrapper service name
Aug 21 18:58:17 there stunnel[5453]: stunnel 3.26 on 
      i386-pc-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004
Aug 21 18:58:17 there stunnel[5454]: FD_SETSIZE=1024, 
      file ulimit=1024 -> 500 clients allowed
            

    出现的错误 —— 密钥文件无效，没有足够的权限，或者端口已经被使用 —— 出现在同样的日志文件中。例如，如果缺少密钥，在日志中的形式如下：

Aug 21 18:58:17 there stunnel[5453]: /etc/ssl/certs/stunnel.pem: No such file or directory (2)

    由于服务器可以同时处理未加密端口和已加密端口，下面让我们转到 VNC Web 客户机上来。要启用这种功能，需要从 x11vnc 项目中下载启用 SSL 的 Java VNC 查看器。在下载源 tarball 文件之后，就可以使用位于 x11vnc-X.Y.Z/classes/ssl/VncViewer.jar 和 x11vnc-X.Y.Z/classes/ssl/SignedVncViewer.jar 中的 Java 代码了。设置一个目录来存放 VNC 的内容，将 VncViewer.jar 拷贝到这个目录中，并创建一个 HTML 源文件。这个样例 HTML 文件允许通过 SSL 连接到 there:5705：

清单 3. 连接到 there:5705 上

    HTTP 和 HTTPS 都可以为该 applet 服务。假设 HTML 和 Jar 文件在端口 80 上使用了 HTTP 服务，URI 为 /vnc，那么地址 http://there/vnc 就会显示这个桌面。记住要对您的浏览器启用 Java！另外，还要注意 HOST 参数和源地址要使用相同的主机名；Java applet 的安全模型必须要求这样做。

[1] [2] 下一页