ssh -NfL 5500:localhost:5500 tom@192.168.0.27 sleep 10 && x11vnc -connect_or_exit localhost:5500
funktioniert in der Tat. Ich sehe aber keinen Unterschied. Ich werd's im Wiki mal in diese Zeile ändern.
Gruß, Thomas
Anmeldungsdatum: Beiträge: 141 |
ssh -NfL 5500:localhost:5500 tom@192.168.0.27 sleep 10 && x11vnc -connect_or_exit localhost:5500 funktioniert in der Tat. Ich sehe aber keinen Unterschied. Ich werd's im Wiki mal in diese Zeile ändern. Gruß, Thomas |
Anmeldungsdatum: Beiträge: 29240 |
Beziehe mich auf Inhaltsverzeichnis 5. Wenn sich der Hilfesuchende auskennt, kann er auf dem Rechner des Helfenden alles machen. Daher sollte man das mit einem stark eingeschränkten Account ohne Home-Leserechte und sudo machen - also das Nötige mit sudo im normalen sudo-Account und den vncviewer dann z.B. in der Gastsitzung, die stark eingeschränkt ist. Wäre das inhaltlich (nicht von der Formulierung her) für einen Warnkasten geeignet? (Und noch was zu aktualisiertem Rechner sowie Schnellumschaltung zwischen Nutzer- und bereits manuell aktiviertem Gastaccount per STRG + ALT + F8/ F7). Grüße, Benno |
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo, jein (mit Hang zu nein). Da der Hilfesuchende das ja bewusst initiieren muss, sollte der hoffentlich auch Wissen, was er tut bzw. wem er vertraut. Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 14259 |
So ist es. |
Anmeldungsdatum: Beiträge: 29240 |
Nein nein, ich meine die Reverse Verbindung - da kann der Hilfesuchende den Helfer (nicht umgekehrt!) komplett übernehmen (Programme starten oder Exploits bei nicht aktualisiertem System nutzen, Daten abziehen, PW ändern, den Helfer kicken, das System verändern...). Das geht aus dem Artikel absolut nicht hervor und da es nun eine gute Alternative gäbe, könnte und sollte man davor auch warnen anstatt es zu "vertuschen" wie es der Artikel gerade sicher nicht ganz unbewusst macht... 😉 Der Artikel suggieriert, dass dem Helfer nichts passieren kann - aber keiner garantiert, dass der Hilfesuchende nur ssh -NfL 5500:localhost:5500 hilflos@IP-ADRESSE-HELFER sleep 2 && x11vnc -connect_or_exit localhost:5500 -scale 9/10 eintippt. Er hat die Zugangsdaten vom Helfer (!). Dieser denkt laut Artikel, das braucht man für die Reverse Verbindung und sonst kann nichts passieren. Wäre auch so, wenn der Hilfesuchende brav den Befehl und die Option -connect_or_exit kopieren würde - aber das muss er ja keineswegs. 😉 Dass Vertrauen gegenüber dem Hilfesuchenden angebracht ist bzw. eine geschützte Gastsitzung o.ä. (diese ist wohl die einfachste Lösung und daher erwähnenswert), sollte man schon erwähnen - vor allem, da die Idee der Gastsitzung wesentlich einfacher umzusetzen ist, als einen neuen Benutzer anzulegen und abzuschotten, was (aus eigener Erfahrung) komplexer wird/ werden kann/ diverse Angriffsflächen in Mehrbenutzersystemen bietet. Dann hätte ich das "Deckel drauf und wegsehen" noch irgendwie verstanden...aber die Gastsitzung ist sicherheitstechnisch die ideale Lösung für das Problem, weil sie vom Anfänger wegen Komplexität nicht verworfen werden würde, sondern einfach und direkt genutzt werden könnte. Ja, auch Anfänger helfen anderen Anfängern. 😉 Das ist auch der Grund, warum ich bisher Reverse SSH nicht in SSH schrieb. Aber mit dieser Möglichkeit könnte man das noch machen. Ohne Gastsitzung müsste der Schutz aller einzelnen (!) Benutzer dann auch bei jedem neuen Benutzer bedacht werden, wogegen der Gast generell sehr beschränkt ist und grundsätzlich nicht auf andere Nutzer zugreifen kann: "keine Berechtigung" beim Zugriff mit ls auf /home, also auch nicht auf neue, noch nicht mit Rechten geschützte Benutzer. Der Gast (bzw. Hilfesuchende) kann aber natürlich in /etc (fstab, rc.local) lesen, was so Sache ist... Das lässt sich bei unixoiden Systemen schlecht vermeiden bzw. bedarf zum sicheren Verstecken gegenüber mehreren Leseversuchen sicherlich einigen Aufwandes, vermute ich mal. Aber wenigstens ist so recht zuverlässig konstruiert (wenn es zuverlässig funktioniert wie konstruiert) kein sudo und Home möglich! Grüße, Benno |
Anmeldungsdatum: Beiträge: 274 |
* http://wiki.ubuntuusers.de/VNC#SSVNC sollte - glaub ich - nicht unter SERVER stehen, da es ein reiner Client ist... ODER? * http://wiki.ubuntuusers.de/VNC#Unity-GNOME Die neueren Versionen sehen anders aus - ich hab 12.04, und da haben sich Text und Aussehen geändert. Soll man das jetzt anpassen, oder das alte Design im Wiki lassen? * http://wiki.ubuntuusers.de/VNC#Unity-GNOME gerade in meinem xubuntu wird der Starter des servers und der Einstellungen nicht konfiguriert, sollte man das erwähnen - wer hat gleiche oder andere Erfahrung gemacht? (Wissens-Frage: wie kann man Vinagre-Lesezeichen löschen?) |
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Geändert
Kannst gerne ein aktuelles Bild hochladen
??? - verstehe ich nicht
Am besten im Support-Forum fragen - da bekommst du auf solche Fragen eher / schneller eine Antwort. Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 274 |
Ich hab gedacht da widerspricht mit jemand... So genau kenne ich ja alles sich nicht
Also die Verknüpfung von 'vino-server' in den automatisch bei Systemstart startenden Programmen habe ich gefunden, jedoch gibt es keine Verknüpfung von 'vino-preferences' im xubuntu-startmenu oder in den Einstellungen, der Installer legt wohl in Xubuntu keine an - KANN DAS JEMAND BESTÄTIGEN?
... dachte n mal, fragen kost nix... (Änderung: habe Wiki editiert) |
Anmeldungsdatum: Beiträge: 6 |
Hi, im Bezug auf den Abschnitt x11vnc: ich bin vor einiger Zeit auf GDM umgestiegen, und da funktioniert diese Anleitung nicht mehr. Statt dem vorhandenen Upstart-Skript hätte ich folgenden Vorschlag: start on login-session-start script /usr/bin/x11vnc -auth guess -display :0 -rfbauth /etc/x11vnc.pass -rfbport 5900 -noxrecord -noxfixes -noxdamage -forever -bg -o /var/log/x11vnc.log end script Statt einen festen, und somit Displaymanager-speziellen, Pfad anzugeben, versucht x11vnc mit -auth guess das richtige authority file selbstständig zu finden. Das funktioniert bei mir sowohl mit LightDM als auch mit GDM, mutmaßlich auch mit weiteren. Meine Frage: Übersehe ich einen Grund, den Artikel nicht damit umzuschreiben (Kompatibilität, Sicherheit, ...)? Gruß, AmbassadorTux |
Anmeldungsdatum: Beiträge: 14259 |
Damit der Artikel auch fuer aeltere Ubuntu-Versionen gueltig bleibt, waere eine Ergaenzung unter Angabe der getesteten Ubuntu-Versionen der bessere Weg. |
Anmeldungsdatum: Beiträge: 274 |
Authentifizierungsproblem vino-server ...lang hab ich gedoktert... Ich weiss zwar nicht welche Verschlüssellung da jetzt von vino-server gefordert wurde, und warum realVNC und androidVNC auf meinem Android nicht wollten, aber zumindest konnte ich das jetzt (umständlich) ausschalten. (Sehr unbequem das in dconf-editor zu verstecken, warum ist das nicht in vino-preferences?) Ist der Artikel nicht etwas lang und unübersichtlich? |
Anmeldungsdatum: Beiträge: 29240 |
Dafür gibt es ein übersichtliches Inhaltsverzeichnis. Grüße, Benno |
Anmeldungsdatum: Beiträge: 29240 |
Hallo. Laut https://code.google.com/p/gitso/ unterstützt Gitso gemäß Roadmap Verschlüsselung erst in zukünftigen Versionen. Dasselbe scheint für die x11vnc-Variante im Folgenden zu gelten. Ich halte daher eine Warnbox...aaaah 💡 gibt es weiter oben ja schon. Super! 👍 Grüße, Benno |
Anmeldungsdatum: Beiträge: 29240 |
Die Änderung der neuen Box von Virtualisierung auf Gastsitzung ist aber meiner Ansicht nach nur bedingt zweckmäßig: Bei Gitso sowie folgend x11vnc mag das vielleicht gehn, ist aber wohl nicht nötig. Wo es aber nötig wäre (reverse mit SSH), ist es nicht möglich und wäre auch nicht ausreichend. Da hilft im Grunde wirklich nur eine VM, da man ansonsten PWs anderer Nutzer, die vielleicht lokal bewusst schwach angelegt oder Pseudo-PWs sind, sonst auch absichern müsste - und das gelingt nicht leicht, es gibt viele Schlupflöcher, doch mit denen einzuloggen, sogar wenn deren Verzeichnisse unlesbar sind. Es gibt auch noch andere Gründe, warum man keinen Systemeinblick gewähren sollte. Insofern finde ich, sollte man da nochmal was ändern bzw. am besten direkt bei reverse mit SSH entsprechend Virtualisierung als Ausweg ergänzen? Grüße, Benno |
Anmeldungsdatum: Beiträge: 1379 |
Ich empfehle einen Weiterleitungseintrag Fernwartung anzulegen. VNC ist einfach ein Begriff der oft unbekannt ist. |