Руководство по порту VNC: доступ к удаленному рабочему столу через порт 5900

VNC позволяет зрителю управлять удаленным графическим рабочим столом по сети. Средство просмотра подключается к VNC-серверу, согласовывает протокол RFB, проверяет подлинность, а затем обменивается обновлениями экрана, вводом с клавиатуры, вводом с помощью мыши, данными буфера обмена, а иногда и функциями передачи файлов в зависимости от реализации сервера.

VNC используется для рабочих столов Linux, совместного использования экрана macOS, встроенных систем, лабораторных машин, переходных хостов и удаленной поддержки. Различные реализации, такие как TigerVNC, TightVNC, RealVNC, UltraVNC, x11vnc и noVNC, могут использовать разные значения по умолчанию и параметры безопасности, поэтому всегда проверяйте фактический прослушиватель и конфигурацию.

Обычный порт VNC — TCP 5900 для отображения: 0. Традиционная нотация отображения VNC добавляет номер дисплея к 5900, что означает: :1 соответствует 5901, :2 соответствует 5902 и так далее. Некоторые программы просмотра позволяют пользователям вводить либо хост:5901, либо хост:1 в зависимости от клиентского интерфейса.

Не думайте, что каждый сервер VNC следует соглашению об отображении. На многих серверах можно настроить собственный TCP-порт, режим обратного соединения, веб-прокси или SSH-туннель. Используйте настройки сервера, правила брандмауэра и проверки прослушивателя, чтобы подтвердить настоящий порт.

VNC, RDP и SSH решают различные проблемы удаленного доступа. VNC предоставляет общий доступ или создает графический рабочий стол с использованием протокола RFB, обычно через порт 5900. RDP — это удаленный рабочий стол Microsoft, обычно использующий порт 3389. SSH — это протокол защищенной оболочки на порту 22, который часто используется для создания туннелей для VNC.

Для рабочих процессов удаленного рабочего стола Windows RDP обычно более интегрирован. Для кросс-платформенного графического доступа VNC является гибким. Для безопасного администрирования SSH часто является более безопасным внешним путем доступа, особенно когда сам VNC привязан к локальному хосту и доступен через туннель SSH.

Открывайте VNC только в том случае, если доверенному пользователю, инструменту поддержки, рабочему процессу автоматизации, лабораторной сети или частному каналу управления требуется графический доступ к удаленному рабочему столу. Общие случаи включают удаленную поддержку настольных компьютеров Linux, обслуживание киосков, управление встроенными устройствами и доступ к частной лаборатории.

Не открывайте VNC для всего Интернета. Публичный порт VNC может стать причиной попыток грубого подбора, атак со слабым паролем, попыток захвата рабочего стола и сканирования старых серверов. Если требуется удаленный доступ, поместите VNC за VPN, туннелем SSH, уровнем доступа с нулевым доверием, бастионом или списком разрешенных IP-адресов источника.

Сначала проверьте, какой сервер VNC работает, какой интерфейс он прослушивает и какой дисплей или TCP-порт использует. Затем разрешите точный порт только из надежных исходных сетей. Для отображения :0 обычно используется TCP 5900; для отображения: 1 это часто TCP 5901.

На маршрутизаторе перенаправляйте внешний порт на внутренний хост VNC только в том случае, если у вас есть веская причина и политика узкого источника. На серверах согласуйте брандмауэр хоста, группу облачной безопасности, политику VPN и адрес привязки сервера VNC, чтобы служба была доступна только по намеченному пути.

Начните с проверки внешнего порта по общедоступному имени хоста или IP-адресу и порту 5900 или пользовательскому порту VNC, который вы настроили. Если порт открыт, удаленный клиент может связаться с прослушивателем TCP. Затем протестируйте с помощью реальной программы просмотра VNC, чтобы подтвердить согласование протокола, аутентификацию, доступ к рабочему столу и обновления экрана.

На сервере проверьте прослушиватели с помощью ss, netstat, lsof, PowerShell или страницы состояния VNC-сервера. Если VNC туннелируется через SSH, сначала проверьте соединение SSH, а затем подтвердите локальный пересылаемый порт и цель просмотра.

Если порт VNC закрыт, сервер может быть остановлен, привязан только к локальному хосту, прослушивать другой дисплей или заблокирован брандмауэром хоста. Если время проверки истекло, маршрутизатор, облачный брандмауэр, политика VPN, фильтр интернет-провайдера или ограничение исходного IP-адреса могут отбрасывать пакеты до того, как они достигнут хоста.

Если порт открыт, но средство просмотра не может подключиться, проверьте номер дисплея, версию протокола, политику паролей, требования к шифрованию, правила доступа на стороне сервера, состояние сеанса рабочего стола и разрешает ли VNC-сервер подключения из сети средства просмотра. Некоторые серверы отклоняют клиентов, когда сеанс рабочего стола недоступен.

Не полагайтесь только на пароль VNC для доступа в Интернет. Предпочитайте VPN, SSH-туннели, частные сети или доступ с нулевым доверием и привяжите VNC к локальному хосту при туннелировании. Используйте надежные уникальные учетные данные, отключите неиспользуемые учетные записи и постоянно обновляйте VNC-сервер.

Включите шифрование, если сервер и программа просмотра его поддерживают, ограничьте исходные IP-адреса, отслеживайте неудачные входы в систему и проверьте, следует ли отключить буфер обмена, передачу файлов или автоматический доступ. Относитесь к VNC как к полному доступу к рабочему столу, а не как к простой конечной точке статуса.