Удаленный рабочий стол на Ubuntu
В статье рассказано о настройке возможности подключения к Ubuntu по удаленному рабочему столу (аналогично RDP в Windows). Примеры команд проверены на Linux Ubuntu 16.04 и 18.04.
Мы рассмотрим реализацию с помощью сервера VNC (подключиться к нашему компьютеру можно будет как с помощью клиента VNC, который доступен как для Linux, так и Windows). Также мы рассмотрим возможность использования клиента RDP из Windows, настроив xRDP.
Подготовка системы
Все действия описанные ниже мы будем выполнять с правами суперпользователя. Для этого переходим в режим sudo:
. или заходим под root:
* по умолчанию, в Ubuntu не задан пароль от root и данная команда не сработает. В этом случае сначала задаем пароль руту — passwd root.
Если используется брандмауэр, добавляем правило:
* в данном примере, мы разрешаем входящие соединения на порту 5901. Для работы с несколькими портами, добавляем их по аналогии.
Установка и настройка VNC сервера
Рассмотрим два варианта использования графической оболочки — xfce и gnome.
Если используем XFCE
Установка
Установку выполняем следующей командой:
apt install xfce4 xfce4-goodies tightvncserver
Задаем пароль для доступа по удаленному рабочему столу. Для этого вводим команду:
. на запрос пароля вводим его дважды.
* Если система не затребует второй раз пароль, проверьте внимательно сообщение. Сервер может выдать ошибку, если пароль будет короткий.
После будет предложено ввод пароля для гостевого доступа — можно согласиться (y) и ввести пароль или отказаться (n).
Настройка
Для начала, останавливаем экземпляр VNC сервера:
* экземпляр :1, по умолчанию, слушает на порту 5900+1 (5901).
Настраиваем VNC сервер:
Снова запускаем vncserver:
Если используем Gnome
Установка
Установку выполняем следующей командой:
apt install ubuntu-desktop gnome-panel gnome-settings-daemon metacity nautilus gnome-terminal vnc4server
Задаем пароль для доступа по удаленному рабочему столу. Для этого вводим команду:
. на запрос пароля вводим его дважды.
* Если система не затребует второй раз пароль, проверьте внимательно сообщение. Сервер может выдать ошибку, если пароль будет короткий.
После будет предложено ввод пароля для гостевого доступа — можно согласиться (y) и ввести пароль или отказаться (n).
Настройка
Для начала, останавливаем экземпляр VNC сервера:
* экземпляр :1, по умолчанию, слушает на порту 5900+1 (5901).
Настраиваем VNC сервер для текущего пользователя:
#!/bin/sh
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
gnome-panel &
gnome-settings-daemon &
metacity &
Снова запускаем vncserver:
Подключаемся к удаленному рабочему столу
Запускаем клиент VNC. Например, в Linux — Remmina, в Windows — TightVNC Viewer или RealVNC. Вводим IP-адрес компьютера с VNC и номер порта:
Будет запрошен пароль — вводим тот, что устанавливали при настройке.
Автозапуск сервиса
Чтобы VNC сервер запускался после перезагрузки, создаем новый юнит в systemd:
[Unit]
Description=VNC server
After=syslog.target network.target
Разрешаем автозапуск сервиса:
systemctl enable vncserver
Смена пароля
Для смены пароля на подключения к VNC, вводим команду:
Система напишет, в каком файле на данный момент хранится пароль и запросит ввод нового:
Using password file /root/.vnc/passwd
Password:
Warning: password truncated to the length of 8.
Verify:
Would you like to enter a view-only password (y/n)? n
* как видим, файл для хранения пароля в данном примере — /root/.vnc/passwd; требование по минимальной длине пароля — 8 символов; также после ввода нового пароля система предложит ввод пароля на режим «только для чтения».
Если необходимо указать конкретный файл, в котором должен хранится пароль, вводим, например, такую команду:
xRDP для подключения из Windows
Если мы не хотим устанавливать на Windows никакого дополнительного программного обеспечения, а хотим использовать стандартное подключение к удаленному рабочему столу (mstsc), можно установить на Linux xRDP. Для этого вводим:
Установка VNC сервера, и настройка его работы поверх SSH
Да, отчего-то не все клиенты хотят работать в таком удобном и черном терминале, панель полностью не удовлетворяет их эстетические потребности, и вообще — «где мой такой любимый и удобный VNC?». вопрос привычки и вкуса
В данной статье будет рассмотрен пример установки и настройки VNC server и графической оболочки (GUI) на примере OC Debian 8 jessie.
Вводная: на руках имеется чистый Debian 8 и жгучее желание получить на выходе защищенный vnc-доступ к серверу.
Приступим
Обновим список доступных пакетов.
Если система свежеустановленная — стоит обновиться.
(!)Бездумно запускать данную команду не на свежеустановленном сервере не стоит, чревато сломанными зависимостями и перспективой работы напильником.
Устанавливаем Xfce и VNC server (любители GNOME, KDE, LXDE, etc. устанавливают оболочку по своему вкусу).
Создаем пользователя от которого будем запускать vnc сервер.
Устанавливаем sudo (в Debian данный пакет не установлен по умолчанию).
Добавляем пользователя vnc в группу sudo.
Переходим под пользователя vnc.
Запускаем vnc сервер.
Если это первый запуск vnc сервера, будет создан конфиг файл и запрошены некоторые параметры:
по умолчанию порт vnc сервера будет 5901, порт каждого следующего дисплея будет увеличиваться на 1 (5902,5903. ).
Проверить запущен ли VNC сервер и на каком порту слушает можно следующей командой.
Убить конкретный дисплей можно так:
Создание скрипта автостарта vnc сервера.
Сначала убьем запущенный дисплей :1 (если он запущен).
создаем скрипт запуска
Добавляем следующие строки в файл:
если требуется — в скрипте можно изменить глубину цвета или разрешение экрана.
Делаем файл исполняемым.
использование созданного нами скрипта:
Теперь нужно позаботиться о том, чтобы настроенный нами vnc стартовал после загрузки сервера (запланированной и не очень).
Для этого создаем файл по следующему пути.
Добавляем следующий текст в файл:
[Unit] — указываем описание скрипта (так же можно указать требуемые зависимости и порядок запуска при загрузке).
[Service] — указываем какими командами запускать сервис, под каким пользователем, и тип сервиса.
[Install] — указываем на каком уровне должен запускаться скрипт (runlevel 3 — многопользовательский режим без графики).
Включаем юнит в автозагрузку при старте системы.
Смотрим статус созданного нами юнита.
Дергаем systemd для поиска новых или измененных юнитов.
Шифрование трафика
Голый VNC не шифрует трафик, и оставлять его в таком виде не стоит.
Кроме того, если на Ваш IP выйдут боты из Китая и начнут стучатся по портам, даже если пароль установлен действительно качественный (учтите, что пароль на vnc сессию ограничен 8 символами) и его не взломают, попасть на сервер посредством VNC будет затруднительно, из-за постоянной ошибки на количество неверных попыток авторизации.
Using password file /home/vnc/.vnc/passwd
Warning: password truncated to the length of 8.
Would you like to enter a view-only password (y/n)? n
Пускаем VNC поверх SSH:
Теперь для подключения к серверу сначала нужно создать тунель.
Под *nix:
Теперь возможно подключение посредством vnc клиента, указав вместо IP удаленного сервера localhost и порт на котором слушает vnc-server.
При использовании Windows и putty агента:
Теперь возвращаемся на вкладку Session вписываем IP сервера и порт 22 (тут же можно и сохранить конфигурацию подключения), жмем Open.
паранойи мало не бывает К осторожности нужно приучать сразу, хоть теперь и попасть на наш сервер посредством VNC извне невозможно (для начала нужно залогиниться по ssh и создать тунель), все же стоит задуматься о дополнительной безопасности ssh подключений (помните — китайские боты не дремлют).
Установим и настроим fail2ban.
По умолчанию защита от брутфорса для SSH включена, что нам собственно и требуется.
при превышении заданного числа неудачных вводов пароля подряд (по умолчанию — 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию — 600 секунд).
Устанавливаем пакет из репозитория.
Основной интересующий нас файл настроек находится по пути /etc/fail2ban/jail.conf
Блок настроек для подключения по ssh:
ignoreip — IP адреса, которые не должны быть заблокированы. Можно задать список IP адресов разделённых пробелами, маску подсети, или имя DNS сервера.
bantime — время бана в секундах, по истечении которого IP адрес удаляется из списка заблокированных.
maxretry — количество подозрительных совпадений, после которых применяется правило. В контексте ssh — это число неудавшихся попыток логина, после которых происходит блокировка.
enabled — значение true указывает что данный jail активен, false выключает действие изолятора.
port — указывает на каком порту или портах запущен целевой сервис. Стандартный порт SSH сервера — 22, или его буквенное наименование — ssh.
filter — имя фильтра с регулярными выражениями, по которым идёт поиск «подозрительных совпадений» в журналах сервиса. Фильтру sshd соответствует файл /etc/fail2ban/filter.d/sshd.conf.
logpath — путь к файлу журнала, который программа Fail2ban будет обрабатывать с помощью заданного ранее фильтра. Вся история удачных и неудачных входов в систему, в том числе и по SSH, по умолчанию записывается в log файл /var/log/auth.log.
Дефолтная настройка удовлетворяет наши требования (6 неверных попыток авторизации по shh и IP летит в бан на 600 секунд), но я бы советовал добавить свой IP в доверенный список.
Обидно будет ждать почти два часа, в случае шестикратной ошибки ввода пароля со своего IP (шанс данного кейса отнюдь не нулевой).
Открываем конфиг файл.
В строке ignoreip = 127.0.0.1/8, адрес 127.0.0.1/8 заменяем на свой IP.
Выходим из редактора nano (ctrl+x, отвечаем y на вопрос сохранения внесенных изменений).
Перегружаем сервис для применения изменений в правилах.
В случае срабатывания бана в логах fail2ban, можно заметить строку предупреждения:
И попытки подключения с данного адреса будут отбиваться сервером автоматически до истечения срока бана.
Готово, настройка VNC сервера завершена.
Установка и настройка VNC в Ubuntu 18.04
Published on January 7, 2020
Введение
Virtual Network Computing или VNC — это система подключения, позволяющая использовать клавиатуру и мышь для взаимодействия с графической средой рабочего стола на удаленном сервере. Данная система упрощает управление файлами, программным обеспечением и настройками на удаленном сервере для пользователей, которые еще не очень знакомы с управлением через командную строку.
Из этого руководства вы узнаете, как настраивать сервер VNC на сервере Ubuntu 18.04 и безопасно подключаться к нему через туннель SSH. Мы будем использовать TightVNC, быстрый и компактный пакет дистанционного управления. Благодаря этому наше соединение VNC будет стабильным и удобным даже при низкой скорости подключения к интернету.
Предварительные требования
Для завершения данного обучающего модуля вам потребуется:
Шаг 1 — Установка среды рабочего стола и сервера VNC
По умолчанию сервер Ubuntu 18.04 поставляется без графической среды рабочего стола и без сервера VNC, так что для начала мы их установим. В частности, мы установим пакеты новейшей среды рабочего стола Xfce и пакет TightVNC, доступный в официальном хранилище Ubuntu.
Обновите список пакетов на своем сервере:
Установите на свой сервер среду рабочего стола Xfce:
После завершения установки установите сервер TightVNC:
Вам будет предложено ввести и подтвердить пароль для удаленного доступа к системе:
Пароль должен иметь длину от 6 до 8 символов. Пароли длиной более 8 символов будут автоматически обрезаны.
После подтверждения пароля вы сможете создать пароль только для просмотра. Пользователи, входящие с паролем только для просмотра, не смогут контролировать экземпляр сервера VNC с помощью мыши или клавиатуры. Это полезная возможность, если вам нужно что-то продемонстрировать с помощью сервера VNC, однако использовать ее необязательно.
Затем процесс создает необходимые файлы конфигурации по умолчанию и данные подключения для сервера:
Теперь настроим сервер VNC.
Шаг 2 — Настройка сервера VNC
Сервер VNC должен знать, какие команды следует выполнять при запуске. В частности, VNC должен знать, к какому графическому рабочему столу следует подключиться.
Результат должен выглядеть следующим образом, хотя вы увидите другой PID:
Создайте новый файл xstartup и откройте его в текстовом редакторе:
Команды из этого файла автоматически выполняются при запуске или перезапуске сервера VNC. Сервер VNC должен запустить нашу среду рабочего стола, если она еще не запущена. Добавьте в файл следующие команды:
Чтобы сервер VNC мог использовать новый файл startup, нужно сделать его исполняемым.
Перезапустите сервер VNC.
Результат будет выглядеть примерно так:
Завершив настройку, подключимся к серверу с локального компьютера.
Шаг 3 — Безопасная настройка рабочего стола VNC
Сервер VNC не использует защищенные протоколы при подключении. Мы используем туннель SSH для безопасного подключения к серверу, а затем укажем клиенту VNC использовать этот туннель, а не создавать прямое соединение.
Создайте на локальном компьютере соединение SSH, которое безопасно перенаправляется в соединение localhost для VNC. Для этого можно ввести черех терминал в Linux или macOS следующую команду:
Не забудьте заменить sammy и your_server_ip именем пользователя sudo без привилегий root и IP-адресом вашего сервера.
Если вы используете графический клиент SSH (например, PuTTY), используйте your_server_ip как IP-адрес для подключения, и задайте localhost:5901 как новый порт переадресации в настройках туннеля SSH программы.
После подключения вы увидите рабочий стол Xfce по умолчанию. Он должен выглядеть следующим образом:
Для доступа к файлам в каталоге home вы можете использовать менеджер файлов или командную строку, как показано здесь:
Нажмите CTRL+C в терминале, чтобы остановить туннель SSH и вернуться к командной строке. При этом сеанс VNC также будет отключен.
Теперь настроим сервер VNC как службу.
Шаг 4 — Запуск VNC в качестве системной службы
Далее мы настроим сервер VNC как системную службу, которую мы сможем запускать, останавливать и перезапускать как любую другую службу. Это также обеспечит запуск VNC при перезагрузке вашего сервера.
Создайте новый файл блока с именем /etc/systemd/system/vncserver@.service в своем любимом текстовом редакторе:
Символ @ позволит нам передать аргумент, который мы сможем использовать при настройке службы. Мы будем использовать его, чтобы задать порт дисплея VNC, который хотим использовать при управлении службой.
Добавьте в файл следующие строки. Оюязательно измените значения параметров User, Group, WorkingDirectory и username на значения PIDFILE, соответствующие вашему имени пользователя:
Команда ExecStartPre останавливает сервер VNC, если он уже запущен. Команда ExecStart запускает VNC и устанавливает 24-битную глубину цвета с разрешением 1280×800. Вы можете изменить эти параметры запуска в соответствии со своими потребностями.
Сохраните и закройте файл.
Затем сообщите системе о новом файле блока.
Активируйте файл блока.
Остановите текущий экземпляр сервера VNC, если он еще работает.
Запустите его, как любую другую системную службу.
Вы можете проверить запуск с помощью следующей команды:
Если запуск выполнен нормально, результат должен выглядеть следующим образом:
Теперь сервер VNC будет доступен при перезагрузке компьютера.
Запустите туннель SSH еще раз:
Создайте новое подключение, используя клиентское программное обеспечение VNC для подключения localhost:5901 к вашему компьютеру.
Заключение
Вы установили и запустили защищенный сервер VNC на своем сервере Ubuntu 18.04. Теперь вы сможете управлять файлами, программным обеспечением и настройками через удобный и знакомый графический интерфейс, а также удаленно запускать графические приложения, в том числе браузеры.
Установка и настройка VNC в Ubuntu 20.04
Published on June 11, 2020
Введение
Virtual Network Computing или VNC — это система подключения, позволяющая использовать клавиатуру и мышь для взаимодействия с графической средой рабочего стола на удаленном сервере. Данная система упрощает управление файлами, программным обеспечением и настройками на удаленном сервере для пользователей, которые еще не очень знакомы с управлением через командную строку.
С помощью этого обучающего модуля вы научитесь настраивать сервер VNC с помощью TightVNC на сервере Ubuntu 20.04 и подключаться к нему через защищенный туннель SSH. Затем вы будете использовать клиентскую программу VNC на вашем локальном компьютере для взаимодействия с вашим сервером через графическую среду рабочего стола.
Предварительные требования
Для завершения данного обучающего модуля вам потребуется:
Шаг 1 — Установка среды рабочего стола и сервера VNC
По умолчанию сервер Ubuntu 20.04 поставляется без графической среды рабочего стола и без сервера VNC, так что для начала вам нужно их установить.
У вас существует много вариантов при выборе сервера VNC и среды рабочего стола. В этом обучающем модуле мы установим пакеты новейшей среды рабочего стола Xfce и пакет TightVNC, доступный в официальном репозитории Ubuntu. И Xfce, и TightVNC известны как легкие и быстрые системы. Благодаря этому наше соединение VNC будет стабильным и удобным даже при низкой скорости подключения к Интернету.
После подключения к вашему серверу с помощью SSH обновите список пакетов:
После завершения установки установите сервер TightVNC:
Далее задайте команду vncserver для установки пароля доступа к VNC, создайте файлы начальной конфигурации и запустите экземпляр сервера VNC:
Вам будет предложено ввести и подтвердить пароль для удаленного доступа к системе:
Пароль должен иметь длину от 6 до 8 символов. Пароли длиной более 8 символов будут автоматически обрезаны.
После подтверждения пароля вы сможете создать пароль только для просмотра. Пользователи, входящие с паролем только для просмотра, не смогут контролировать экземпляр сервера VNC с помощью мыши или клавиатуры. Это полезная возможность, если вам нужно что-то продемонстрировать с помощью сервера VNC, однако использовать ее необязательно.
Обратите внимание, если вы захотите изменить пароль или добавить пароль только для просмотра, вы можете сделать это с помощью команды vncpasswd :
На этом этапе сервер VNC уже установлен и работает. Давайте настроим его для запуска Xfce и дадим доступ к серверу через графический интерфейс.
Шаг 2 — Настройка сервера VNC
Сервер VNC должен знать, какие команды следует выполнять при запуске. В частности, VNC должен знать, к какой графической среде рабочего стола следует подключиться.
Результат должен выглядеть следующим образом, хотя вы увидите другой PID:
Теперь создайте новый файл xstartup и откройте его в текстовом редакторе, например nano :
Затем добавьте в файл следующие строки:
Первая строка называется шебанг. В исполняемых простых текстовых файлах на платформах *nix шебанг указывает системе, какому интерпретатору передавать данный файл для исполнения. В данном случае мы передаем файл интерпретатору Bash. Это позволит выполнять каждую последующую строку в качестве команды.
Чтобы сервер VNC мог использовать новый файл запуска корректно, нужно сделать его исполняемым:
Затем запустите сервер VNC повторно:
На следующем шаге вы создадите туннель SSH между вашим локальным компьютером и вашим сервером, заставив сервер VNC считать, что соединение с вашего локального компьютера происходит с вашего сервера. Эта стратегия добавит дополнительный уровень безопасности вокруг VNC, поскольку получить доступ к нему смогут только пользователи, которые уже имеют доступ SSH к вашему серверу.
Вывод будет выглядеть следующим образом:
После завершения настройки вы готовы подключаться к серверу VNC с вашего локального компьютера.
Шаг 3 — Безопасное подключение рабочего стола VNC
Сервер VNC не использует защищенные протоколы при подключении. Для безопасного подключения к вашему серверу вы установите туннель SSH, а затем дадите указание клиенту VNC подключиться с использованием данного туннеля, а не создавать прямое подключение.
Создайте на локальном компьютере соединение SSH, которое безопасно перенаправляется в соединение localhost для VNC. Для этого можно ввести через терминал в Linux или macOS команду ssh :
Вот что означают опции команды ssh :
Примечание. Эта команда создает туннель SSH для перенаправления информации с порта 5901 на вашем сервере VNC в порт 59000 на вашем локальном компьютере через порт 22 на каждом компьютере, порт SSH по умолчанию. Если вы выполнили предварительные требования из руководства по начальной настройке сервера Ubuntu 20.04, у вас добавится правило UFW, позволяющее подключения к вашему серверу через OpenSSH.
Если вы используете PuTTY для подключения к вашему серверу, вы можете создать туннель SSH, нажав правой кнопкой мыши на верхнюю панель окна терминала, а затем выбрав опцию Change Settings…:
Найдите ветку Connection в меню слева окна реконфигурации PuTTY. Раскройте ветку SSH и нажмите на Tunnels. На экране Options controlling SSH port forwarding введите 59000 в поле Source Port и localhost:5901 в поле Destination:
Затем нажмите кнопку Add, потом кнопку Apply для активации туннеля.
После запуска туннеля используйте клиент VNC для подключения к localhost:59000 . Вам будет предложено пройти аутентификацию, используя пароль, заданный на шаге 1.
После подключения вы увидите рабочий стол Xfce по умолчанию. Она должна выглядеть следующим образом:
Для доступа к файлам в каталоге home вы можете использовать менеджер файлов или командную строку, как показано здесь:
Нажмите CTRL+C в локальном терминале, чтобы остановить туннель SSH и вернуться к командной строке. При этом сеанс VNC также будет отключен.
Теперь вы можете настроить сервер VNC как службу systemd.
Шаг 4 — Запуск VNC в качестве системной службы
Настроив сервер VNC как службу systemd, вы можете запустить, остановить или перезапустить его, как и любую другую службу. Также вы можете использовать команды управления systemd, чтобы убедиться, что VNC запускается при загрузке сервера.
Сначала создайте новый файл блока с именем /etc/systemd/system/vncserver@.service :
Символ @ позволит нам передать аргумент, который мы сможем использовать при настройке службы. Вы будете использовать его, чтобы задать порт дисплея VNC, который хотите использовать при управлении службой.
Добавьте в файл следующие строки. Обязательно измените значения параметров User, Group, WorkingDirectory и имя пользователя на значения PIDFILE, соответствующие вашему имени пользователя:
Сохраните и закройте файл.
Затем сообщите системе о новом файле блока:
Активируйте файл блока:
Остановите текущий экземпляр сервера VNC, если он еще работает:
Запустите его, как любую другую службу systemd:
Вы можете проверить запуск с помощью следующей команды:
Если запуск выполнен нормально, результат должен выглядеть следующим образом:
Но со стороны клиента не будет никаких различий. Для повторного подключения еще раз запустите туннель SSH:
Создайте новое подключение, используя клиентское программное обеспечение VNC для подключения localhost:59000 к вашему компьютеру.
Заключение
Вы установили и запустили защищенный сервер VNC на своем сервере Ubuntu 20.04. Теперь вы сможете управлять файлами, программным обеспечением и настройками через удобный в использовании графический интерфейс, а также удаленно запускать графические приложения, в том числе браузеры.