首页 | 新闻 | 新品 | 文库 | 方案 | 视频 | 下载 | 商城 | 开发板 | 数据中心 | 座谈新版 | 培训 | 工具 | 博客 | 论坛 | 百科 | GEC | 活动 | 主题月 | 电子展
返回列表 回复 发帖

使用 SSL 保护 VNC 应用程序(1)

使用 SSL 保护 VNC 应用程序(1)

您希望使用比专有解决方案更方便并且具有比 ssh 更具安全性的方式来访问远程桌面吗?本文将介绍一种很好的方法,这是我们之前从未介绍过的一种技术。
这种想法是使用 SSL 为嵌入在 Web 页面中的一个简单 VNC 查看器提供安全性。这意味着实际上任何可以处理 Java 的 Web 浏览器都可以查看远程桌面,并与之进行交互;对于典型的情况来说这是一个功能十分强大的解决方案,包括电话协作、技术支持和供应。
计算机在这里,屏幕在那里计算机在某个位置执行一个操作,在其他地方的人希望看到结果。符合这种描述的情况非常多,实现这种功能的方法也几乎同样多。有一种方法是将常规的单个桌面作为一个使用 HTTPS 协议进行保护的 Web URL 地址来发布,在与那些非软件专家的人一起工作时,这种方法特别方便。通过一个连接到远程桌面的超链接或仅在浏览器的地址栏输入 URL 即可进行远程访问,这对于 “平民” 用户来说非常方便。
只需要花几分钟的功夫,您就可以建立自己的远程桌面。这种方法的一个重要功能特性是它进行认证的方法:它并不基于登录级别的帐号,后者常见于基于 ssh、IPv6、OpenVPN 和大部分专有产品的远程访问机制,我们将展示如何为 SSL 设置帐号/密码对。这是一种非常 “轻量级” 的方法,可以与桌面主机上的其他用途隔离开来。同时,这种方法在 Web 上应用广泛,并且是一种关键的技术,大部分开发人员来此非常熟悉。
尽管只需要几个步骤就可以实现通过 SSL 来访问 VNC,但是这个配置的核心存在一个复杂的问题:Jva VNC 客户机不会连接到那些自己对证书进行签名的 SSL 站点上。更确切地说,流行浏览器所使用的 JVM 通常都需要经过 “受信任的第三方” 认证权威(CA)签名的证书。
这篇文章对读者进行了有效地分类。可能由于管理或开发安全 Web 站点的需要您已经开始使用 SSL,那就可以立即在 VNC-through-SSL 项目中使用相同的 Web 服务器和经过签名的证书。如果您 尚不具备 使用 SSL 的背景知识,那么这种技术则不是一个很好的入门。对您来说,更传统的 ssh 隧道或 Hamachi 以及商业解决方案可能是通向远程桌面的更简单起点。更多信息请参看侧栏的 。
方法第一个步骤是设置 VNC 服务器以及相应的隧道。对于这个步骤来说,您必须具有一个允许创建有效密钥文件的证书,包括一个私钥和一个公钥。将密钥放置在     /etc/ssl/certs/stunnel.pem。这个例子使用了 TightVNC 服务器并显示:5。
清单 1. 启动 TightVNC 服务器和隧道
1
2
$ tightvncserver :5
$ stunnel -d 5705 -r 5905 -p /etc/ssl/certs/stunnel.pem




尽管大部分 Linux 主机都进行了设置以允许任何用户都可以启动     vncserver,但是您很可能会需要 root 特权来有效地使用 stunnel。根据主机的安全性模型,您最好是执行下面的命令:     sudo stunnel ...。
现在,服务器应该为地址 there:5905 提供了一个未加密的连接,并为 there:5705 提供了一个加密连接。使用任何方便的 VNC 查看器来验证未加密连接,重定向到     yourhost:5。要确保     stunnel 已经启动并且正在运行,请使用下面的命令来搜索系统日志:
清单 2. 检查 stunnel 是否已成功
1
2
3
4
5
6
7
# grep stunnel /var/log/syslog|tail -24
Aug 21 18:58:17 there stunnel[5453]: Using '5905' as
      tcpwrapper service name
Aug 21 18:58:17 there stunnel[5453]: stunnel 3.26 on
      i386-pc-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7e 25 Oct 2004
Aug 21 18:58:17 there stunnel[5454]: FD_SETSIZE=1024,
      file ulimit=1024 -> 500 clients allowed




出现的错误 —— 密钥文件无效,没有足够的权限,或者端口已经被使用 —— 出现在同样的日志文件中。例如,如果缺少密钥,在日志中的形式如下:
Aug 21 18:58:17 there stunnel[5453]: /etc/ssl/certs/stunnel.pem: No such file or directory (2)
由于服务器可以同时处理未加密端口和已加密端口,下面让我们转到  VNC Web 客户机上来。要启用这种功能,需要从 x11vnc 项目中下载启用 SSL 的 Java VNC 查看器。在下载源 tarball 文件之后,就可以使用位于 x11vnc-X.Y.Z/classes/ssl/VncViewer.jar 和    x11vnc-X.Y.Z/classes/ssl/SignedVncViewer.jar 中的 Java 代码了。设置一个目录来存放 VNC 的内容,将 VncViewer.jar 拷贝到这个目录中,并创建一个 HTML 源文件。这个样例 HTML 文件允许通过 SSL 连接到 there:5705:
清单 3. 连接到 there:5705 上
1
2
3
4
5
6
7
8
9
10
11
12
<html>
<body>
<applet code="VncViewer.class" archive="VncViewer.jar" width="800" height="600">
<param name="PORT" value="5705" />
<param name="HOST" value="there" />
<param name="Open New Window" value="no" />
<!-- the following helps in Opera:
<param name="Cursor shape updates" value="Disable" />
-->
</applet>
</body>
</html>




HTTP 和 HTTPS 都可以为该 applet 服务。假设 HTML 和 Jar 文件在端口 80 上使用了 HTTP 服务,URI 为 /vnc,那么地址 http://there/vnc 就会显示这个桌面。记住要对您的浏览器启用 Java!另外,还要注意 HOST 参数和源地址要使用相同的主机名;Java applet 的安全模型必须要求这样做。
返回列表