VNC是远程访问Linux桌面的常用工具， 但默认配置存在明文传输、弱认证等平安风险。

一、 VNC服务器安装

1. 更新系统

在开始配置VNC之前，请确保您的Debian系统是最新的。使用以下命令更新系统：

sudo apt update && sudo apt upgrade -y

2. 安装VNC服务器软件包

您可以选择安装TigerVNC或TightVNC。以下命令将安装TigerVNC及其依赖项：

sudo apt install tigervnc-standalone-server tigervnc-common xfce4 xfce4-goodies -y

二、 VNC服务器核心配置

1. 设置强密码

使用vncpasswd命令为VNC会话创建复杂密码：

vncpasswd

密码文件默认存储在~/.vnc/passwd中，需确保其权限为600

chmod 600 ~/.vnc/passwd

2. 创建VNC配置文件

如果您希望为VNC服务器指定特定的显示编号、分辨率等，可以创建或编辑~/.vnc/config文件。

3. 编辑VNC配置文件

使用以下命令编辑VNC配置文件：

sudo nano /etc/vnc/vncserver.conf

确保以下设置：

• SecurityTypes VncAuth,TLSVnc
• 禁用默认的None认证方式

三、 加密与认证强化

1. 使用SSH隧道加密流量

SSH隧道是VNC加密的最简方案，可防止密码和数据被窃听。在本地机器施行以下命令：

ssh -L 5901:localhost:5901 your_username@vnc_server_ip

连接时 VNC客户端需指向localhost:5901，所有流量将通过SSH加密传输。

2. 配置桌面环境启动脚本

编辑~/.vnc/xstartup文件， 替换为以下内容，确保桌面环境正确启动：

#!/bin/sh
unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
exec startxfce4 &

赋予脚本可施行权限：

chmod +x ~/.vnc/xstartup

3. 创建Systemd服务

创建/etc/systemd/system/vncserver@:文件，内容如下：

Description=Remote desktop service 
After=multi-user.target
Type=simple
User=your_username
Group=your_username
WorkingDirectory=/home/your_username
ExecStart=/usr/bin/vncserver :%i -depth 24 -geometry 1920x1080
ExecStop=/usr/bin/vncserver -kill :%i
Restart=on-failure
WantedBy=multi-user.target

启用并启动服务：

sudo systemctl daemon-reload
sudo systemctl enable vncserver@:
sudo systemctl start vncserver@:

四、平安加固

1. 允许VNC端口和SSH端口，并限制访问IP

编辑/etc/ufw/before.rules文件，添加以下内容：

vncserver: trusted_ip

拒绝所有其他主机的连接：

vncserver: ALL

需配合ufw文件使用。

2. 配置防火墙

使用ufw限制VNC端口仅允许特定IP访问，比方说：

sudo ufw allow from trusted_ip to any port 5901
sudo ufw reload

替换trusted_ip为允许的IP。

3. 使用限制主机访问

编辑/etc/hosts.deny文件，添加以下内容：

ALL: ALL

4. 备份配置文件

定期备份VNC配置文件，防止配置丢失。

5. 保持系统和VNC软件更新

保持系统和软件包为最新版本， 及时修复已知平安漏洞：

sudo apt update && sudo apt upgrade -y

6. 查看日志审计

通过以下命令查看VNC服务日志，追踪连接记录：

journalctl -u vncserver@: -f

或查看系统日志：

grep vnc /var/log/syslog

，以确保VNC服务器的平安性。

---