Какую неделю безопасности выполняет мой VNC-сервер Vino?
Я установил VNC-сервер vino на Lubuntu 18.04, настроил и запустил мой vino-сервер в соответствии с https://askubuntu.com/a/530196/1471:
$ export DISPLAY=:0
$ gsettings set org.gnome.Vino enabled true # although fails, it doesn't matter
No such key “enabled”
$ gsettings set org.gnome.Vino prompt-enabled false
$ gsettings set org.gnome.Vino require-encryption false
$ /usr/lib/vino/vino-server
https://www.cl.cam.ac.uk/research/dtg/attarchive/vnc/sshvnc.html говорит, что
VNC использует систему случайного вызова-ответа для обеспечения базовой аутентификации, которая позволяет подключаться к серверу VNC. Это достаточно безопасно; пароль не передается по сети. Однако после подключения трафик между средством просмотра и сервером становится незашифрованным и может быть отслежен кем-либо, имеющим доступ к промежуточной сети. Поэтому мы рекомендуем, чтобы, если безопасность важна для вас, вы туннелировали протокол VNC через какой-то более безопасный канал, такой как SSH.
Проверяет ли сервер Vino VNC клиентов, используя подход "вызов-ответ" вместо передачи пароля?
Я мог подключиться к серверу через порт 5900 из средства просмотра VNC RealVNC на своем телефоне Android в той же сети WIFI, и меня попросили предоставить только пароль, который, как мне показалось, был использован для входа в Lubuntu.
В начале цитаты говорится, что VNC использует систему запроса-ответа и не передает пароль, так значит ли необходимость в предоставлении пароля, что сервер VNC передает пароль вместо использования системы ответа-запроса? Если он использует систему "запрос-ответ", зачем мне вводить пароль?
В следующем сообщении о мониторинге сервера я обнаружил следующие подозрительные клиенты
46.101.184.149,zg-0817a-64.stretchoid.com,196.52.43.118, а такжеscan-06.shadowserver.org, Они успешно подключились к моему VNC-серверу Vino и прошли ли они проверку подлинности?Поскольку в начале цитаты говорится, что VNC использует систему запроса-ответа и не передает пароль, если подозрительные клиенты прошли проверку подлинности, как они могли узнать пароль? Проверяя каждый пароль для входа и удачи?
Если подозрительные клиенты не пытались войти в систему, а только отслеживали трафик между средством просмотра и сервером, разве сервер не должен был знать об этих клиентах?
Благодарю.
$ /usr/lib/vino/vino-server
(vino-server:32529): dbind-WARNING **: 19:44:12.185: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
19/08/2018 07:44:12 PM Autoprobing TCP port in (all) network interface
19/08/2018 07:44:12 PM Listening IPv6://[::]:5900
19/08/2018 07:44:12 PM Listening IPv4://0.0.0.0:5900
19/08/2018 07:44:12 PM Autoprobing selected port 5900
19/08/2018 07:44:12 PM Advertising security type: 'TLS' (18)
19/08/2018 07:44:12 PM Re-binding socket to listen for VNC connections on TCP port 5900 in (all) interface
19/08/2018 07:44:12 PM Listening IPv6://[::]:5900
19/08/2018 07:44:12 PM Listening IPv4://0.0.0.0:5900
19/08/2018 07:44:12 PM Clearing securityTypes
19/08/2018 07:44:12 PM Advertising security type: 'TLS' (18)
19/08/2018 07:44:12 PM Clearing securityTypes
19/08/2018 07:44:12 PM Advertising security type: 'TLS' (18)
19/08/2018 07:44:12 PM Advertising authentication type: 'No Authentication' (1)
19/08/2018 07:44:12 PM Re-binding socket to listen for VNC connections on TCP port 5900 in (all) interface
19/08/2018 07:44:12 PM Listening IPv6://[::]:5900
19/08/2018 07:44:12 PM Listening IPv4://0.0.0.0:5900
19/08/2018 07:44:12 PM Clearing securityTypes
19/08/2018 07:44:12 PM Clearing authTypes
19/08/2018 07:44:12 PM Advertising security type: 'TLS' (18)
19/08/2018 07:44:12 PM Advertising authentication type: 'VNC Authentication' (2)
19/08/2018 07:44:12 PM Clearing securityTypes
19/08/2018 07:44:12 PM Clearing authTypes
19/08/2018 07:44:12 PM Advertising security type: 'TLS' (18)
19/08/2018 07:44:12 PM Advertising authentication type: 'VNC Authentication' (2)
19/08/2018 07:44:12 PM Advertising security type: 'VNC Authentication' (2)
19/08/2018 07:44:17 PM [IPv4] Got connection from client android-c28b29b650f6548c.home
19/08/2018 07:44:17 PM other clients:
19/08/2018 07:44:17 PM Client Protocol Version 3.7
19/08/2018 07:44:17 PM Advertising security type 18
19/08/2018 07:44:17 PM Advertising security type 2
19/08/2018 07:44:17 PM Client returned security type 2
** (vino-server:32529): WARNING **: 19:44:28.888: VNC authentication failure from 'android-c28b29b650f6548c.home'
19/08/2018 07:44:28 PM rfbAuthPasswordChecked: password check failed
19/08/2018 07:44:28 PM Client android-c28b29b650f6548c.home gone
19/08/2018 07:44:28 PM Statistics:
19/08/2018 07:44:28 PM framebuffer updates 0, rectangles 0, bytes 0
19/08/2018 07:44:30 PM [IPv4] Got connection from client android-c28b29b650f6548c.home
19/08/2018 07:44:30 PM other clients:
19/08/2018 07:44:30 PM Client Protocol Version 3.7
19/08/2018 07:44:30 PM Advertising security type 18
19/08/2018 07:44:30 PM Advertising security type 2
19/08/2018 07:44:30 PM Client returned security type 2
** (vino-server:32529): WARNING **: 19:44:40.531: Deferring authentication of 'android-c28b29b650f6548c.home' for 5 seconds
19/08/2018 07:44:45 PM rfbProcessClientNormalMessage: ignoring unknown encoding type 22
19/08/2018 07:44:45 PM rfbProcessClientNormalMessage: ignoring unknown encoding type 21
19/08/2018 07:44:45 PM rfbProcessClientNormalMessage: ignoring unknown encoding type 15
19/08/2018 07:44:45 PM rfbProcessClientNormalMessage: ignoring unknown encoding type -314
19/08/2018 07:44:45 PM Enabling NewFBSize protocol extension for client android-c28b29b650f6548c.home
19/08/2018 07:44:45 PM Pixel format for client android-c28b29b650f6548c.home:
19/08/2018 07:44:45 PM 8 bpp, depth 6
19/08/2018 07:44:45 PM true colour: max r 3 g 3 b 3, shift r 4 g 2 b 0
19/08/2018 07:44:45 PM Pixel format for client android-c28b29b650f6548c.home:
19/08/2018 07:44:45 PM 32 bpp, depth 24, little endian
19/08/2018 07:44:45 PM true colour: max r 255 g 255 b 255, shift r 16 g 8 b 0
19/08/2018 07:44:45 PM no translation needed
Gtk-Message: 20:43:41.511: GtkDialog mapped without a transient parent. This is discouraged.
Gtk-Message: 20:43:44.339: GtkDialog mapped without a transient parent. This is discouraged.
Gtk-Message: 20:43:52.072: GtkDialog mapped without a transient parent. This is discouraged.
19/08/2018 10:39:57 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:39:57 PM other clients:
19/08/2018 10:39:57 PM android-c28b29b650f6548c.home
19/08/2018 10:39:57 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:39:57.238: VNC authentication failure from '46.101.184.149'
19/08/2018 10:39:57 PM rfbAuthPasswordChecked: password check failed
19/08/2018 10:39:57 PM Client 46.101.184.149 gone
19/08/2018 10:39:57 PM Statistics:
19/08/2018 10:39:57 PM framebuffer updates 0, rectangles 0, bytes 0
19/08/2018 10:43:41 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:43:41 PM other clients:
19/08/2018 10:43:41 PM android-c28b29b650f6548c.home
19/08/2018 10:43:41 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:43:41.812: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 22:43:47.449: VNC authentication failure from '46.101.184.149'
19/08/2018 10:43:47 PM rfbAuthPasswordChecked: password check failed
19/08/2018 10:47:27 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:47:27 PM other clients:
19/08/2018 10:47:27 PM 46.101.184.149
19/08/2018 10:47:27 PM android-c28b29b650f6548c.home
19/08/2018 10:47:27 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:47:27.692: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 22:47:32.452: VNC authentication failure from '46.101.184.149'
19/08/2018 10:47:32 PM rfbAuthPasswordChecked: password check failed
19/08/2018 10:51:12 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:51:12 PM other clients:
19/08/2018 10:51:12 PM 46.101.184.149
19/08/2018 10:51:12 PM 46.101.184.149
19/08/2018 10:51:12 PM android-c28b29b650f6548c.home
19/08/2018 10:51:12 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:51:12.833: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 22:51:18.448: VNC authentication failure from '46.101.184.149'
19/08/2018 10:51:18 PM rfbAuthPasswordChecked: password check failed
19/08/2018 10:54:58 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:54:58 PM other clients:
19/08/2018 10:54:58 PM 46.101.184.149
19/08/2018 10:54:58 PM 46.101.184.149
19/08/2018 10:54:58 PM 46.101.184.149
19/08/2018 10:54:58 PM android-c28b29b650f6548c.home
19/08/2018 10:54:58 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:54:58.339: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 22:55:03.449: VNC authentication failure from '46.101.184.149'
19/08/2018 10:55:03 PM rfbAuthPasswordChecked: password check failed
19/08/2018 10:58:43 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 10:58:43 PM other clients:
19/08/2018 10:58:43 PM 46.101.184.149
19/08/2018 10:58:43 PM 46.101.184.149
19/08/2018 10:58:43 PM 46.101.184.149
19/08/2018 10:58:43 PM 46.101.184.149
19/08/2018 10:58:43 PM android-c28b29b650f6548c.home
19/08/2018 10:58:43 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 22:58:43.756: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 22:58:49.448: VNC authentication failure from '46.101.184.149'
19/08/2018 10:58:49 PM rfbAuthPasswordChecked: password check failed
19/08/2018 11:02:28 PM [IPv4] Got connection from client 46.101.184.149
19/08/2018 11:02:28 PM other clients:
19/08/2018 11:02:28 PM 46.101.184.149
19/08/2018 11:02:28 PM 46.101.184.149
19/08/2018 11:02:28 PM 46.101.184.149
19/08/2018 11:02:28 PM 46.101.184.149
19/08/2018 11:02:28 PM 46.101.184.149
19/08/2018 11:02:28 PM android-c28b29b650f6548c.home
19/08/2018 11:02:28 PM Client Protocol Version 3.3
** (vino-server:32529): WARNING **: 23:02:28.345: Deferring authentication of '46.101.184.149' for 5 seconds
** (vino-server:32529): WARNING **: 23:02:33.449: VNC authentication failure from '46.101.184.149'
19/08/2018 11:02:33 PM rfbAuthPasswordChecked: password check failed
19/08/2018 11:30:51 PM [IPv4] Got connection from client zg-0817a-64.stretchoid.com
19/08/2018 11:30:51 PM other clients:
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM 46.101.184.149
19/08/2018 11:30:51 PM android-c28b29b650f6548c.home
19/08/2018 11:31:01 PM rfbProcessClientProtocolVersion: client gone
19/08/2018 11:31:01 PM Client zg-0817a-64.stretchoid.com gone
19/08/2018 11:31:01 PM Statistics:
19/08/2018 11:31:01 PM framebuffer updates 0, rectangles 0, bytes 0
sendto: Network is unreachable
sendto: Network is unreachable
20/08/2018 10:37:54 AM rfbProcessClientNormalMessage: read: Connection reset by peer
20/08/2018 10:37:54 AM Client android-c28b29b650f6548c.home gone
20/08/2018 10:37:54 AM Statistics:
20/08/2018 10:37:54 AM key events received 32, pointer events 3932
20/08/2018 10:37:54 AM framebuffer updates 7016, rectangles 13714, bytes 270216867
20/08/2018 10:37:54 AM ZRLE rectangles 13714, bytes 270216867
20/08/2018 10:37:54 AM raw bytes equivalent 538553044, compression ratio 1.993040
20/08/2018 02:15:10 PM [IPv4] Got connection from client 196.52.43.118
20/08/2018 02:15:10 PM other clients:
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM 46.101.184.149
20/08/2018 02:15:10 PM Client Protocol Version 3.7
20/08/2018 02:15:10 PM Advertising security type 18
20/08/2018 02:15:10 PM Advertising security type 2
20/08/2018 02:15:10 PM Client returned security type 1
20/08/2018 02:15:10 PM rfbAuthProcessSecurityTypeMessage: client returned unadvertised security type 1
20/08/2018 02:15:10 PM Client 196.52.43.118 gone
20/08/2018 02:15:10 PM Statistics:
20/08/2018 02:15:10 PM framebuffer updates 0, rectangles 0, bytes 0
20/08/2018 02:31:26 PM [IPv4] Got connection from client scan-06.shadowserver.org
20/08/2018 02:31:26 PM other clients:
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:26 PM 46.101.184.149
20/08/2018 02:31:28 PM rfbProcessClientProtocolVersion: client gone
20/08/2018 02:31:28 PM Client scan-06.shadowserver.org gone
20/08/2018 02:31:28 PM Statistics:
20/08/2018 02:31:28 PM framebuffer updates 0, rectangles 0, bytes 0
1 ответ
"Я могу подключиться к серверу через порт 5900"
Это объясняет, почему другие системы также могут это сделать, так как на самом сервере нет ограничения брандмауэра, которое предотвращает соединения с этим портом / службой.
Чтобы объяснить, как удаленные клиенты могут подключаться, это зависит от настроек вашей сети. Если сервер Ubuntu не имеет общедоступного IP-адреса в Интернете, например, в домашней обстановке вы все равно можете настроить переадресацию портов на маршрутизаторе NAT, настроить его в качестве узла DMZ или
и ваш маршрутизатор, и сервер vino поддерживают uPnP, и ваш сервер дал указание вашему маршрутизатору открыть и переслать необходимые порты.
Какую проблему безопасности имеет мой VNC-сервер?
Он принимает входящие интернет-соединения.
И на первый взгляд ничего более критического, чем это.