Kami memiliki Intel NUC di departemen bahasa universitas saya yang akan segera meng-host aplikasi web yang digunakan oleh fakultas dan mahasiswa di departemen. NUC menjalankan Ubuntu (14.10).
Saya nyaman dengan terminal dan SSH-ing ke server, namun saya menemukan bahwa banyak tugas yang harus saya lakukan jauh lebih mudah melalui screen-sharing (VNC).
Saya menyarankan kepada direktur teknis baru kami agar kami menginstal VNC di server ini untuk membuat hidup saya jauh lebih mudah (sebenarnya VNC sudah diinstal sebelum ia dipekerjakan, dan kemudian ia menghapus instalannya). Namun, dia menjawab dengan komentar berikut:
Saya lebih suka tidak menjalankan X atau VNC di server jika kita bisa lolos begitu saja. Bagaimanapun, ini adalah server.
Saya benar-benar tidak mengerti logika ini. Itu tidak terhubung ke monitor; satu-satunya akses ke dalamnya melalui SSH. Apakah ada beberapa kerugian ajaib untuk memiliki akses VNC ke server yang saya tidak sadari?
Jelas Anda membuka port lain untuk penyerang; bantahan: kita berada di belakang dua firewall universitas (firewall jaringan universitas utama serta firewall khusus subnet kita sendiri). VNC hanya akan dapat diselesaikan di dalam subnet kami, jadi saya bingung mengapa ini akan menjadi masalah selain "itu paket lain untuk dipelihara", dan dengan apt
manajer paket Ubuntu yang menjadi non-isu.
Apa kelemahan menginstal VNC di server?
Sunting : ini bukan hanya server web. Ini hosting sejumlah aplikasi lain. Tidak yakin apakah itu membuat perbedaan.
Jawaban:
Ada banyak alasan:
Permukaan serangan: lebih banyak program, terutama yang berjaringan, berarti lebih banyak peluang bagi seseorang untuk menemukan bug dan masuk.
Permukaan yang rusak: seperti di atas, tetapi ganti "seseorang" dengan " Murphy ", dan "masuk" dengan "merusak harimu". Sebenarnya, "hancurkan harimu" mungkin juga berlaku pada poin sebelumnya.
Efisiensi sistem: X11, dan lingkungan GUI yang cenderung dijalankan oleh orang-orang, mengkonsumsi jumlah RAM yang layak, terutama pada sistem sumber daya terbatas seperti NUC. Tidak menjalankannya berarti lebih banyak sumber daya untuk melakukan pekerjaan yang bermanfaat.
Efisiensi operator: GUI tidak memungkinkan untuk membuat skrip dan bentuk otomatisasi lainnya. Mengklik sesuatu terasa produktif, tetapi sebenarnya ini tentang cara terburuk untuk melakukan sesuatu yang sangat teknis. Anda juga akan menemukan peluang kerja masa depan Anda sangat terbatas jika Anda tidak dapat skrip dan mengotomatiskan pekerjaan Anda - industri ini akan menjauh dari alat admin GUI. Heck, bahkan server Windows dapat diinstal bebas GUI hari ini, dan jika itu tidak membuat Anda berpikir tentang manfaat relatif dari hanya mengetahui cara mengklik pada sesuatu, saya benar-benar tidak tahu harus berkata apa kepada Anda.
sumber
Masalahnya bukan VNC - jangan salah, VNC adalah protokol yang mengerikan dan memiliki banyak kekurangan (yang terbesar adalah kurangnya dukungan enkripsi sehingga semuanya berjalan di jaringan dalam teks biasa), tetapi itu bukan yang utama alasan penggunaannya tidak dianjurkan di server.
Anda akan menginstal VNC untuk mengakses apa, layar hitam? Tidak, Anda ingin mengakses seluruh lingkungan desktop, dan itulah masalah sebenarnya.
Setelah Anda menginstal semua perangkat lunak Gnome tingkat desktop ini (atau yang serupa), Anda sudah dapat mempertimbangkan server Anda dikompromikan, karena ada begitu banyak bug yang tersisa untuk dieksploitasi dalam kumpulan aplikasi yang mengerikan dan sangat besar ini (selain fakta bahwa itu tidak dirancang untuk produktivitas) dan menggunakan banyak sumber daya). Salah satu alasan lain mengapa saya tidak merekomendasikan perangkat lunak ini dan sebagian besar lingkungan desktop Linux adalah bahwa mereka mengambil alih seluruh sistem hampir seperti rootkit, dan mengimplementasikan versi segalanya sendiri (otentikasi? Tidak ada lagi pengguna dan grup yang solid , mari kita jalankan omong kosong Policykit ini sebagai root yang memberikan izin berdasarkan beberapa file XML yang tidak dapat dibaca ... konfigurasi? Siapa yang butuh file konfigurasi yang dapat dibaca manusia? Mari kita simpan semuanya dalam basis data biner yang Anda bisa '
Mencoba menginstal lingkungan desktop Gnome di server Archlinux saya memberi tahu saya "Total Ukuran Terpasang: 1370,86 MiB". Itu sangat besar, bayangkan permukaan serangan tambahan yang akan dimiliki oleh mantan server ini setelah diinstal. Lingkungan desktop lainnya tidak jauh lebih baik.
sumber
Jangan pernah berasumsi bahwa karena sistem Anda berada di belakang firewall, di jaringan pribadi, Anda tidak perlu khawatir tentang keamanan. Banyak, jika tidak sebagian besar, intrusi yang berhasil dilakukan oleh orang dalam (karyawan, siswa, dll) yang memiliki akses ke jaringan tersebut.
sumber
Coba ini untuk membuat direktur teknis senang:
Instal VNC dan desktop apa pun yang Anda suka
JANGAN pasang screensaver dalam bentuk apa pun. Mengapa? Anda tidak memiliki layar, dan desktop yang hanya duduk di sana tidak memakan banyak sumber daya.
JANGAN teruskan port VNC. Jika Anda perlu menggunakannya, terowongan port VNC (5900) melalui SSH (port 22) dan sambungkan ke sana.
Proses ini membuat Anda enkripsi dan semua keamanan SSH, yang sudah terbuka. Anda tidak menambahkan masalah keamanan yang belum Anda miliki sebelumnya.
Saya sudah melakukan ini di server saya sendiri, tidak ada penundaan tambahan yang nyata dalam proses VNC dibandingkan dengan koneksi langsung.
sumber
ssh
pertahanannya bagus. Jika model ancaman adalah " peningkatan hak istimewa oleh pengguna lokal resmi" , makassh
tidak ada pertahanan, dan memasang banyak kode tambahan pada server akan meningkatkan permukaan serangan secara signifikan. Womble adalah sysadmin berpengalaman dengan sekitar tujuh puluh ribu kali reputasi Anda di situs ini, jadi Anda mungkin ingin mudah dihina.