Schlagwort-Archive: Linux

VNC-Verbindung mit SSH absichern

11. Oktober 2018 DonMatteo Schreibe einen Kommentar

SSH-Tunnel zu Linux VNC-Server

VNC-Verbindungen gelten als unsicher, denn sie sind nicht verschlüsselt. VNC-Sitzungen können mit OpenSSH verschlüsselt werden, hierbei wird der Datenverkehr durch ein sicheren SSH-Tunnel geroutet und ist abgesichert.

Der SSH-Tunnel benötigt Benutzeranmeldung und den VNC Port. Der Client Befehl wird im Linux CLI wie folgt ausgeführt:


~]$ ssh -L 5901:127.0.0.1:5901 -N -f -l USER 10.127.55.77

1 2	~]$ ssh -L 5901:127.0.0.1:5901 -N -f -l USER 10.127.55.77

Bei Benutzer USER diesen durch den tatsächlichen Benutzername ersetzen, ein Passwort wird zur Ausführung des Tunnels aufgefordert. Bitte beachte, dass es sich dabei um das Passwort für den SSH-Login handelt, die Benutzeranmeldung zum VNC kann idealerweise die selbe UID sein, dann ist das Passwort das selbe. Der Port der getunnelt werden muss ist 5901. Der Befehl wird auf dem Computer des VNC-Viewer ausgeführt. Die Anmeldung findet wie gewohnt statt:


login as: USER
USER@10.127.55.77's password:
Last login: Thu Oct 11 07:59:26 2018 from 10.127.55.70
[USER@fedora ~]$

USER@10.127.55.77's password:

Last login: Thu Oct 11 07:59:26 2018 from 10.127.55.70

[USER@fedora ~]$

Mit dem VNC-Viewer kann nun die virtuelle Desktop Sitzung zur Loopback Adresse ausgeführt werden:


~]$ vncviewer 127.0.0.1:5901

1 2	~]$ vncviewer 127.0.0.1:5901

Hinweis: Beim OpenSSH-Server müssen die Optionen aktiviert sein, in der Konfigurationsdatei /etc/ssh/sshd_config.


AllowTcpForwarding yes
X11Forwarding yes

AllowTcpForwarding yes

X11Forwarding yes

SSH-Tunnel auf Windows zum VNC-Server

Unter Windows kann mittels PuTTY oder KiTTY ein SSH-Tunnel zum VNC-Server geöffnet werden, dabei wird über das Loopback Interface und Port 5901 getunnelt.

Unter der Category, Connection – SSH – Tunnels, bei Source Port wird 5901 eingetragen, Destination ist 127.0.0.1:5901, dann mit klick auf Add wird der Tunnel hinzugefügt.

Abbildung: KiTTY SSH Tunnel Configuration

Mit klick auf Open wird der Tunnel gestartet, indem man sich beim VNC-Host anmeldet.

Die sichere SSH-Verbindung zum VNC-Server kann nun initialisiert werden. Es wird bei Remote Host die Loopback Adresse 127.0.0.1 mit Port 5901 im TightVNC-Viewer eingetragen: 127.0.0.1:5901

Nach der Anmeldung gibt Connection Information Auskunft über die aktuelle Verbindung, mit klick auf das Symbol im Menübalken.

Linux

vncserver Installation auf Fedora 28

10. Oktober 2018 koma Schreibe einen Kommentar

vncserver ist ein Dienstprogramm, das einen VNC-Desktop (Virtual Network Computing) startet. Es führt Xvnc mit entsprechenden Optionen aus und startet ein Fenstermanager. Der VNC-Desktop vncserver ermöglicht es Benutzern, Sitzungen parallel auf einer Maschine auszuführen, auf die dann von einer beliebigen Anzahl von Clients von überall zugegriffen werden kann.

GNOME Desktop Umgebung Installieren

Der vncserver kann den Unity Desktop nicht virtualisieren, deshalb wir erst ein alternativen Window Manager installieren, es eignet sich der xfce oder Mate Desktop, letzter wir hier verwenden. Wir führen die folgenden zwei Befehle aus, wobei wir erst root werden:


~] $ sudo su -
[sudo] Passwort für USER:
~] # dnf -y group install "MATE Desktop"

~] $ sudo su -

[sudo] Passwort für USER:

~] # dnf -y group install "MATE Desktop"

VNC-Server installieren

Um den TigerVNC Server zu installieren, führt man folgenden Befehl aus:


~] # dnf -y install tigervnc-server

1 2	~] # dnf -y install tigervnc-server

VNC-Servers Konfigurieren

Die Konfigurationsdatei /etc/systemd/system/vncserver@.service wird für den VNC-Server erforderlich. Um die Datei zu erstellen, kopieren wir die Datei /lib/systemd/system/vncserver@.service wie folgt als root:


~] # cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@.service

1 2	~] # cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@.service

Wir bearbeiten /etc/systemd/system/vncserver@.service, und ersetzen bei jedem USER diesen durch den tatsächlichen Benutzernamen. Lasse die restlichen Zeilen der Datei unverändert. Das Argument -geometry gibt die Größe des zu erstellenden VNC-Desktops an. Standardmäßig ist auf 1024×768 eingestellt.


ExecStart=/sbin/runuser -l USER -c "/usr/bin/vncserver %i -geometry 1280x1024"
PIDFile=/home/USER/.vnc/%H%i.pid

ExecStart=/sbin/runuser -l USER -c "/usr/bin/vncserver %i -geometry 1280x1024"

PIDFile=/home/USER/.vnc/%H%i.pid

Um die Bildschirmauflösung auf die des Clients anzupassen, wird die Datei mit vi ~/.vnc/config editiert.


geometry=1360x768

1 2	geometry=1360x768

Nach dem Speichern, den folgenden Befehl ausführen, damit werden die Änderungen sofort wirksam:


~] # systemctl daemon-reload

1 2	~] # systemctl daemon-reload

Lege das Passwort für den Benutzer fest, dieser in der Konfigurationsdatei definiert ist. Beachte dass man zuerst von root zu USER wechseln muss.


~]# su - USER
~]$ vncpasswd
Password:
Verify:

~]# su - USER

~]$ vncpasswd

Password:

Verify:

Die Mate Desktop Umgebung in die VNC-Konfiguration ~/.xinitrc übernehmen:


~] # echo "exec /usr/bin/mate-session" >> ~/.xinitrc

1 2	~] # echo "exec /usr/bin/mate-session" >> ~/.xinitrc

Die Konfigurationsdatei ~/.vnc/xstartup ist für den VNC-Daemon nicht erforderlich, sollte jedoch angepasst werden:


#!/bin/sh

unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
#exec /etc/X11/xinit/xinitrc
exec /usr/bin/mate-session

#!/bin/sh

unset SESSION_MANAGER

unset DBUS_SESSION_BUS_ADDRESS

#exec /etc/X11/xinit/xinitrc

exec /usr/bin/mate-session

Firewall Konfigurieren

Damit der VNC-Client sich zum VNC-Server verbinden kann, wird die Firewall konfiguriert:


~] # firewall-cmd --add-service=vnc-server --permanent
~] # firewall-cmd --reload

~] # firewall-cmd --add-service=vnc-server --permanent

~] # firewall-cmd --reload

VNC-Server starten

Um den Dienst zu starten und zu aktivieren, geben wir die Display Nummer direkt im Befehl ein. Die unter der ersten VNC-Verbindung konfigurierte Datei funktioniert als Vorlage, in der %i durch systemd mit der display_number in der regel mit 1 ersetzt wird. Führe dazu folgenden Befehl aus:
systemctl start vncserver@:display_number.service


~] # systemctl start vncserver@:1.service

1 2	~] # systemctl start vncserver@:1.service

Der Dienst soll beim Systemstart automatisch starten. Dazu gibt man als root den Befehl wie folgt ein:


~] # systemctl enable vncserver@:1.service

1 2	~] # systemctl enable vncserver@:1.service

Jetzt können Benutzer vom Client mit VNC-Viewer-Programm eine Verbindung zum VNC-Server herstellen, über die Display Nummer und dem Passwort, dieses wir zuvor mit vncpasswd vergeben haben.

Für Windows gibt es die Freeware TightVNC-Viewer, um ein virtuellen Desktop herzustellen, hier ist die Display Nummer 1, welche beim VNC-Viewer im Feld Remote Host eingetragen wird, mit der IP und Port 5901, mit Doppelpunkt dazwischen.

Download TightVNC: http://www.tightvnc.com/

Weitere VNC-Viewer für Mac OS X, iOS, Android, Chrome OS und Raspberry Pi gibt es von RealVNC, ebenfalls als Freeware, damit ist die VNC-Desktop (Virtual Desktop) Anwendung von jedem Gerät aus möglich.

Troubleshooting

Die vncserver Log-Datei ist unter $HOME/.vnc/hostname:1.log


~] $ tail ~/.vnc/fedora.localdomain:1.log

1 2	~] $ tail ~/.vnc/fedora.localdomain:1.log

Der hostname fedora.localdomain durch den tatsächlichen ersetzen.

Überprüfen ob der VNC-Server gestartet ist:


~] $ systemctl status vncserver@:1

1 2	~] $ systemctl status vncserver@:1

Die Ausgabe des laufenden vncserver Prozess in etwa wie folgt:

Mit netstat wird überprüft, ob der VNC Port 5901 LISTEN ist:


~] $ netstat -tuln | grep 5901

1 2	~] $ netstat -tuln \| grep 5901

Tunneln der VNC-Server Verbindung über SSH

VNC-Verbindungen gelten als unsicher, da sie nicht verschlüsselt sind. Im letzten Schritt tunneln wir die VNC-Verbindung mit SSH, um den VNC-Verkehr zu verschlüsseln und zu sichern. Um den Tunnel auszuführen, benötigen wir den Login-Benutzer, sein Passwort und den Port. Führe auf dem Client folgenden Befehl aus:


ssh -L 5901:127.0.0.1:5901 -N -f -l USER 10.127.52.76

1 2	ssh -L 5901:127.0.0.1:5901 -N -f -l USER 10.127.52.76

Das Passwort wird zur Ausführung des Tunnels aufgefordert. Bitte beachte, dass es sich dabei um das Passwort für den SSH-Login handelt, die Benutzeranmeldung zum VNC kann idealerweise die selbe UID sein, dann ist das VNC-Passwort das selbe. Der Port der getunnelt werden muss ist 5901, wie oben gezeigt. Der Befehl wird auf dem Computer des VNC-Viewer ausgeführt.

Unter Windows kann mittels PuTTY oder KiTTY ein SSH-Tunnel zum VNC-Server geöffnet werden, dabei wird das Loopback Interface über Port 5901 getunnelt.

Unter der der Category, Connection – SSH – Tunnels, bei Source Port wird 5901 eingetragen, Destination ist 127.0.0.1:5901, dann mit klick auf Add wird der Tunnel hinzugefügt.

Mit klick auf Open wird der Tunnel gestartet, indem man sich beim VNC-Host anmeldet.

Die sichere SSH-Verbindung zum VNC-Server kann nun initialisiert werden. Es wird bei Remote Host die Loopback Adresse 127.0.0.1 mit Port 5901 im TightVNC-Viewer eingetragen.

Nach der Anmeldung gibt Connection Information Auskunft über die aktuelle Verbindung.

Linux

Was ist meine IP

12. Februar 2018 DonMatteo Schreibe einen Kommentar

Die globale Internet Adresse in der Linux Shell Console ausgeben, lokale IPv4 und IPv6 Adressen im Terminal abfragen.

Die globale IP ermitteln, mit dieser man im Internet surft, dazu kann das Command Line Tool curl Auskunft geben, was bei den meisten Linux Distributionen zur Standard Installation gehört.

Folgender Zeile im Linux Terminal ausführen:


curl https://ipline.ch/echo/

1 2	curl https://ipline.ch/echo/

Die Ausgabe der zugewiesenen globalen IP Adresse.

Die lokale IP Adresse mit folgenden Zeilen ermitteln:


~] $ /sbin/ifconfig eth0 | grep 'inet addr' | cut -d: -f2 | awk '{print $1}'

1 2	~] $ /sbin/ifconfig eth0 \| grep 'inet addr' \| cut -d: -f2 \| awk '{print $1}'

Für in deutscher Sprache installierte Linux Betriebssysteme:


~] $ /sbin/ifconfig eth0 | grep 'inet Adresse' | cut -d: -f2 | awk '{print $1}'

1 2	~] $ /sbin/ifconfig eth0 \| grep 'inet Adresse' \| cut -d: -f2 \| awk '{print $1}'

ipconfig ist veraltet, bei den aktuellen Distributionen, wie Ubuntu 18.04 oder CentOS 7.2 und Fedora 28, wird der Befehl ip angewandt, diese Zeile gibt nur IPv4 Adressen aus:


~] $ ip -4 addr

1 2	~] $ ip -4 addr

Die etwas übersichtlicher und auch buntere Version wie folgt:


~] $ ip -4 addr | grep -oP '(?<=inet\s)\d+(\.\d+){3}'

1 2	~] $ ip -4 addr \| grep -oP '(?<=inet\s)\d+(\.\d+){3}'

Es sollen nur IPv6 Adressen ausgegeben werden:


~] $ ip -6 addr | grep -oP '(?<=inet6\s)[\da-f:]+'

1 2	~] $ ip -6 addr \| grep -oP '(?<=inet6\s)[\da-f:]+'

Auch kann der Befehl hostname nützliche werte liefern:


~] $ hostname -i | awk '{print $3}'

1 2	~] $ hostname -i \| awk '{print $3}'

Bei macOSX dient folgendes Command dieses aus dem Terminal auszuführen ist:


~ $ /sbin/ifconfig en0 | awk '/inet /{print $2}'

1 2	~ $ /sbin/ifconfig en0 \| awk '/inet /{print $2}'

Und auch hostname steht bei OS X zur Verfügung:


~ $ hostname -I

1 2	~ $ hostname -I

Bei Windows gibt ipconfig die erwartete Ausgabe:


C:\> ipconfig /all

1 2	C:\> ipconfig /all

Auch nur IPv4 Adressen können abgefragt werden:


C:\> ipconfig | findstr /i "ipv4"

1 2	C:\> ipconfig \| findstr /i "ipv4"

In PowerShell lassen sich mit dem cmdlet Get-NetIPAddress die Adressen in Scripts nutzen:


PS C:\> Get-NetIPAddress | Format-Table

1 2	PS C:\> Get-NetIPAddress \| Format-Table

Auch hier können nur IPv4 Adressen abgefragt werden:


PS C:\> Get-NetIPAddress –AddressFamily IPv4 | Format-Table

1 2	PS C:\> Get-NetIPAddress –AddressFamily IPv4 \| Format-Table

Mit der Eingabe von Get-NetIPAddress -? werden alle Parameter zum cmdlet ausgegeben.