¿Qué se considera un método aceptable y seguro de conexión remota a un sistema Linux?

8

Dado que VNC y X11 no se desarrollaron teniendo en cuenta la seguridad, lo que la gente suele ver se hace para conectarse de forma remota a un sistema Linux donde se requiere una GUI. Si bien el acceso SSH solo puede ser preferido, a menudo hay requisitos en los que un desarrollador o administrador necesita acceso GUI a un sistema Linux.

Hasta ahora, veo las siguientes soluciones:

  • Requiere que se use VNC a través de un túnel SSH seguro. Sin embargo, tendría que confiar en el desarrollador / administrador para configurar un túnel cada vez que
  • Usa X11Forwarding. X11 no fue diseñado para la seguridad y, además, es mucho más lento de lo que lo es VNC.
  • Escritorio remoto Nomachine. No he jugado con eso todavía, pero pretenden ser una solución segura para el escritorio remoto

Si bien muchas personas abogan por establecer X11Forwarding en 'no' en sshd_config, me parece que esta es la alternativa nativa más segura. Sin embargo, estoy más que abierto a las ideas de los gurús de seguridad aquí!

    
pregunta appsecguy 23.03.2015 - 04:05
fuente

2 respuestas

7

NoMachine es más o menos X11 sobre SSH con mejoras en el rendimiento. Por lo tanto, los dos beneficios son que SSH se administra para usted y que no tiene el horrible rendimiento de X11 en una red. (ISTR dice que SSH no es el predeterminado, pero es esencialmente una opción desplegable, no una saga de configuración).

VNC también ofrece un mejor rendimiento que X11, y se puede asegurar a través de SSH o usando una de las diversas variantes reforzadas (como UltraVNC o RealVNC Enterprise o Personal ). Sin embargo, la combinación de variantes y la naturaleza manual de la integración SSH (por ejemplo, TightVNC básicamente dice "hágalo usted mismo") No es la solución más coherente.

X11 El avance va desde malo a abismal en toda la red. Es esencialmente inutilizable en la WAN. Y eso no se debe a SSH, sino a la forma en que la latencia afecta al protocolo X11. No me molestaría en eso por esa razón.

Mi consejo personal es mirar NoMachine . Es un producto mucho más coherente y sólido que * VNC, y hacer que el bit SSH funcione es fácil e integrado.

    
respondido por el gowenfawr 23.03.2015 - 05:27
fuente
0

Una posible alternativa podría ser una VPN completa. Esto crea una red segura en redes inseguras y permitiría a los usuarios acceder al sistema como si estuvieran en la red local.

Por supuesto, existen peligros con este enfoque, ya que está extendiendo su red local a ubicaciones potencialmente desconocidas. Pero es altamente seguro cuando se hace correctamente.

Las VPN tienen una sobrecarga en el ancho de banda de la red y también agregan algo de latencia, por lo que querrá asegurarse de que el rendimiento sea aceptable.

    
respondido por el Julian Knight 23.03.2015 - 10:09
fuente

Lea otras preguntas en las etiquetas