VNC sicher gestalten

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
coldblood84
Newbie
Newbie
Beiträge: 7
Registriert: 19. Jun 2005, 19:00

VNC sicher gestalten

Beitrag von coldblood84 » 2. Sep 2005, 15:46

Hallo Leute

Ich hab ein Problem! Nach lauter googlen und Foren lesen bin ich verwirrt! Vieleicht könnt ihr mir helfen das hier ein bisschen zu lichten.

Ich will von meinem Windows Rechner auf Linux Suse 9.1 zugreiffen welcher als Server fungiert.

Wie ich herausgefunden habe geht das Fernadministrieren auf Linux Seite mit VNC, auf Windows Seite mit WinVNC. (Linux ist server, Windows ist client).

Soweit so gut.
Wie kann ich jetzt von dem Fenster PC aus auf den Linux Rechner mit gesicherter Verbindung zugreiffen? Angenomen ich bin irgendwo in Hinterindien im Internetcaffee und brauche was von meinem Server (Dateien downloaden, muss was nachlesen, usw.). Ich will mir ja da von niemandem auf die Finger schauen lassen... wobei dass im Internetcaffee eigentlich sowieso nicht möglich ist :wink:

Ich habe was von ssh, ssl, tunneln gelesen... aber irgendwie ist alles nicht so ganz brauchbar geschrieben. Was macht denn jetz sinn? Was ist die sicherste Methode und wie bring ich das meinem Linux rechner bei dass er nur ssh bzw ssl verbindungen von aussen zulässt. Und was muss ich beim Fenster Rechner eingeben damit ich über den "sicheren Kanal" mit Linux reden kann?

Thx für eure Antworten
CB

Werbung:
rolle
Guru
Guru
Beiträge: 3721
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

Beitrag von rolle » 2. Sep 2005, 16:20

Die Fragen sind hier alle schon beantowrtet worden. Du solltest in Zukunft mal die Forensuche nutzen und auch die 'wchtig'-Threads am jeweiligen oberen Forenende lesen.
Nun zu Deinen Fragen im einzelnen.
Was ist die sicherste Methode und wie bring ich das meinem Linux rechner bei dass er nur ssh bzw ssl verbindungen von aussen zulässt.
Du mußt am einfachsten die SuSEFirewall per YaST so einstellen, daß eben nur Port 22 offen ist. darüber läuft SSH standardmäßig.
Wie ich herausgefunden habe geht das Fernadministrieren auf Linux Seite mit VNC, auf Windows Seite mit WinVNC.
[...]Ich habe was von ssh, ssl, tunneln gelesen... aber irgendwie ist alles nicht so ganz brauchbar geschrieben.
Zu VNC und dabei auch zum Tunneln durch einen SSH-Tunnel gibt es ein Howto hier:
http://www.linux-club.de/viewtopic.php?t=37440
Wie kann ich jetzt von dem Fenster PC aus auf den Linux Rechner mit gesicherter Verbindung zugreiffen? Angenomen ich bin irgendwo in Hinterindien im Internetcaffee und brauche was von meinem Server (Dateien downloaden, muss was nachlesen, usw.).
Zum Dateien Downloaden dürfte SCP das richtige sein, das ist quasi ein per SSH verschlüsseltes FTP-Protokoll. Als Windowsclient empfiehlt sich hier WinSCP. Zum Nachlesen ist eine grafische Verbindung wohl schlauer. Hier empfiehlt sich dann eben besagtes VNC oder SSH-X-Forwarding (http://www.linux-club.de/viewtopic.php?t=37843).

edit: Das Fenstersystem aus Redmond heißt Windows.
Horrido, Roland

Für meine Postings gilt außer bei Zitaten hier im Linux-Club die Creative Commons.

coldblood84
Newbie
Newbie
Beiträge: 7
Registriert: 19. Jun 2005, 19:00

Beitrag von coldblood84 » 5. Sep 2005, 19:47

Hallo rolle

Ich hoffe du hilfst mir nochmals... mir sind einige Dinge noch nicht ganz so klar bzw. bereiten mir Probleme.
Im YaST gibt es unter 'Netzwerkdienste' den Punkt 'Administration von einem entfernten Rechner'. Das ist etwas mißverständlich, da man damit den Rechner nicht nur administrieren kann, sondern auch den Zugang per VNC auf den Ports 5901 (VNC) und 5801 (VNC über Browser) freischaltet. Öffnet den Unterpunkt und wählt 'Verwaltung via entfernten Rechner (remote) erlauben' aus, beenden. Die folgende Meldung fordert Euch dazu auf, den Befehl 'rcxdm restart' auszuführen.
Wenn ich remote aktiviere und anschliessend auf beenden klicke kommt keine Meldung. Wenn ich danach den Punkt "Administration von einem..." nochmals öffne, ist remote wieder automatisch auf deaktiviert. Was mach ich falsch?
Bevor Ihr das macht, öffnet noch die Datei /etc/opt/kde3/share/config/kdem/kdmrc mit root-Rechten in einem Editor Eurer Wahl und ändert ziemlich weit unten den Wert 'Enable=false' unter dem Punkt [Xdmcp] auf 'Enable=true'. Wechselt jetzt per Strg-Alt-F1 auf die Konsole, meldet Euch als root an und gebt 'rcxdm restart' ein.


Mal was grundsätzliches: wie öffne ich eine Datei mit root-Rechten ohne gleich den Benutzer wechseln zu müssen?

Ich habs dann mal mit wechseln gemacht. Wenn ich rcxdm restarte kommt keine grafische Oberfläche mehr... wie starte ich dann kde wieder ohne mit system halt herunter zufahren?
Nun müßte es Euch möglich sein, per VNC auf den Port 5901 oder per Browser auf den Port 5801 Eures Rechners zuzugreifen. Es sollte die normale Anmeldemaske erscheinen. Wichtig: Natürlich muß der VNC-Server im Runlevel 5 laufen, da es sonst keinen laufenden X-Server gibt, mit dem man sich verbinden kann.
Bei Windows habe ich winvnc installiert und versucht mit rechnername:5901 zu connecten. Dabei erhalte ich folgende Meldung:

Code: Alles auswählen

unable to resolve host by name: Der angegebene Host ist unbekannt. (11001)
Die Verbindung ist also fehlgeschlagen... was muss ich denn bei windows eingeben?
VNC erscheint im Runlevel Editor nicht. Somit kann ich ihn im Runlevel 5 nicht laufen lassen. Wie bring ich den da rein?
Firewall:
Für alle hier vorgestellten Methoden muß natürlich in der SuSEFirewall2 oder einer anderen verwandten Firewall der oder die entsprechende(n) Port(s) freigegeben werden.
Für das Freischalten in der SuSEFirewall2 geht man folgendermaßen vor. Startet YaST, wählt 'Sicherheit und Benutzer', darunter 'Firewall' aus. Im Unterpunkt 'Erlaubte Dienste' markiert Ihr jetzt die Zone, in der Ihr den VNCServer freischalten wollt und wählt 'Erweitert' aus. Hier schreibt Ihr nun in die Zeile 'TCP-Ports' alle Ports durch Leerzeichen getrennt hinein, die Ihr freigeben wollt.
Ich hab 5900 5901 5800 5801 21 eingetragen und die Häckchen bei allen Angaben gemacht. Ist das richtig so?

Danke für die Hilfe

CB

rolle
Guru
Guru
Beiträge: 3721
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

Beitrag von rolle » 6. Sep 2005, 01:20

Hallo rolle

Ich hoffe du hilfst mir nochmals... mir sind einige Dinge noch nicht ganz so klar bzw. bereiten mir Probleme.
Naja, ich versuche es mal.
Wenn ich remote aktiviere und anschliessend auf beenden klicke kommt keine Meldung. Wenn ich danach den Punkt "Administration von einem..." nochmals öffne, ist remote wieder automatisch auf deaktiviert. Was mach ich falsch?
Dazu weiß ich leider gerade nichts. Du könntest höchstens mal versuchen, den VNC-Server direkt im xinetd zu aktivieren (siehe Howto).
Mal was grundsätzliches: wie öffne ich eine Datei mit root-Rechten ohne gleich den Benutzer wechseln zu müssen?
Mache eine Konsole auf, gib su ein und danach das root-Passwort. Dann bist Du in der Konsole root und alles, was Du daraus startest, startest Du als root. Oder Du benutzt kdesu. Nehmen wir mal an, Du willst PROGRAMM mit root-Rechten starten, dann gibst Du unter 'Ausführen' oder in einer konsole 'kdesu PROGRAMM' ein. Dann gibst Du das root-Passwort ein, fertig.
Ich habs dann mal mit wechseln gemacht. Wenn ich rcxdm restarte kommt keine grafische Oberfläche mehr... wie starte ich dann kde wieder ohne mit system halt herunter zufahren?
Wie ich geschrieben habe, mußt Du diesen Befehl auf einer 'echten Konsole' absetzen. Dazu wechselst Du mit 'Alt-Strg-F1' auf eine solche. Sollte der X-Server nicht neu starten, sollte eine Fehlermeldung kommen, ansonsten geht 'startx kde' eigentlich immer.
Bei Windows habe ich winvnc installiert und versucht mit rechnername:5901 zu connecten. Dabei erhalte ich folgende Meldung:
Code:
unable to resolve host by name: Der angegebene Host ist unbekannt. (11001)
Die Verbindung ist also fehlgeschlagen... was muss ich denn bei windows eingeben?
Du hast da wohl ein Namensauflösungproblem. Entweder trägst Du Deinen VNC-Server korrekt in die c:\windows\system32\drivers\etc\hosts ein oder einfacher, versuche es mit der IP des Servers.
VNC erscheint im Runlevel Editor nicht. Somit kann ich ihn im Runlevel 5 nicht laufen lassen. Wie bring ich den da rein?
Diese Variante vom VNC wird nicht über Runlevel, sondern über die xinetd gestartet (YaST-Netzwerkdienste-Netzwerkdienste).
Ich hab 5900 5901 5800 5801 21 eingetragen und die Häckchen bei allen Angaben gemacht. Ist das richtig so?
Eintragen (auch wenn 5901 und 5801 genügt hätten) ist richtig, aber was für Häkchen meinst Du?
Horrido, Roland

Für meine Postings gilt außer bei Zitaten hier im Linux-Club die Creative Commons.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste