¿Hay un inconveniente en la instalación de VNC?

Tenemos un Intel NUC en el departamento de idiomas de mi universidad que pronto albergará una aplicación web utilizada por profesores y estudiantes en el departamento. El NUC ejecuta Ubuntu (14.10).

Me siento cómodo con el terminal y con SSH en el servidor, sin embargo, encuentro que muchas tareas que necesito hacer son mucho más fáciles a través del uso compartido de pantalla (VNC).

Le sugerí a nuestro nuevo director técnico que instalemos VNC en este servidor para hacerme la vida mucho más fácil (de hecho, tenía VNC instalado antes de ser contratado, y luego lo desinstaló). Sin embargo, respondió con el siguiente comentario:

Preferiría no ejecutar X o VNC en el servidor si podemos escapar. Es un servidor después de todo.

Realmente no entiendo esta lógica. No está conectado a un monitor; El único acceso a él a través de SSH. ¿Hay alguna desventaja milagrosa para tener acceso VNC a un servidor que desconozco?

Obviamente estás abriendo otro puerto para un atacante; refutación: estamos detrás de dos firewalls universitarios (el firewall principal de la red de la universidad, así como el firewall especial de nuestra subred). VNC solo se podría lograr dentro de nuestra subred, por lo que no sé por qué esto sería un problema que no sea "es otro paquete para mantener", y con el aptadministrador de paquetes de Ubuntu que no se convierte en un problema.

¿Cuáles son las desventajas de instalar VNC en un servidor?

Editar : esto no es solo un servidor web. Aloja una serie de otras aplicaciones. No estoy seguro si eso hace una diferencia.

Hay muchas razones:

• Superficie de ataque: más programas, especialmente los conectados en red, significan más oportunidades para que alguien encuentre un error y entre.

• Superficie del defecto: como arriba, pero reemplaza "alguien" por " Murphy " y "entra" con "arruina tu día". En realidad, "arruinar tu día" probablemente también se aplica al punto anterior.

• Eficiencia del sistema: X11, y los entornos GUI que las personas tienden a ejecutar en ellos, consumen una cantidad decente de RAM, especialmente en un sistema de recursos limitados como un NUC. No ejecutarlos significa más recursos para hacer un trabajo útil.

• Eficiencia del operador: las GUI no se prestan a los scripts y otras formas de automatización. Hacer clic en las cosas se siente productivo, pero en realidad se trata de la peor manera de hacer algo profundamente técnico. También encontrará que sus oportunidades de empleo en el futuro serán muy limitadas si no puede hacer un script y automatizar su trabajo: la industria se alejará de las herramientas de administración de la GUI. Diablos, incluso el servidor de Windows se puede instalar sin GUI en estos días, y si eso no te hace pensar en los méritos relativos de solo saber hacer clic en las cosas, realmente no sé qué decirte.

El problema no es VNC: no me malinterpreten, VNC es un protocolo horrible y tiene muchas fallas (la mayor es la falta de soporte de cifrado, por lo que todo pasa por la red en texto plano), pero no es el principal razón por la cual no se recomienda su uso en servidores.

¿Vas a instalar VNC para acceder a qué, una pantalla en negro? No, quería acceder a un entorno de escritorio completo, y ese es el verdadero problema.

Una vez que instale todo este software Gnome de escritorio (o similar), ya puede considerar que su servidor está comprometido, ya que quedan muchos errores por explotar en esta horrible y enorme colección de aplicaciones (además del hecho de que no está diseñado para la productividad y usa una tonelada de recursos). Una de las otras razones por las que no recomiendo este software y la mayoría de los entornos de escritorio de Linux es que se apoderan de todo el sistema casi como un rootkit e implementan sus propias versiones de todo (¿autenticación? No más usuarios y grupos sólidos) , ejecutemos este Policykit sin sentido como root que otorga permisos basados ​​en algunos archivos XML oscuros e ilegibles ... ¿configuración? ¿Quién necesita archivos de configuración legibles por humanos? Vamos a almacenar todo en bases de datos binarias que pueda '

Intentar instalar un entorno de escritorio Gnome en mi servidor Archlinux me dice "Tamaño total instalado: 1370.86 MiB". Eso es enorme, imagina la superficie de ataque adicional que tendrá este ex servidor una vez que esté instalado. Otros entornos de escritorio no son mucho mejores.

Obviamente estás abriendo otro puerto para un atacante; refutación: estamos detrás de dos firewalls universitarios (el firewall principal de la red de la universidad, así como el firewall especial de nuestra subred). VNC solo se podría lograr dentro de nuestra subred, así que estoy perdido ...

Nunca asuma que debido a que su sistema está detrás de un firewall, en una red privada, no necesita preocuparse por la seguridad. Muchas, si no la mayoría, las intrusiones exitosas son realizadas por personas internas (empleados, estudiantes, etc.) que tienen acceso a dichas redes.

Pruebe esto para mantener contento al director técnico:

• Instala VNC y el escritorio que quieras

• NO instale un protector de pantalla de ningún tipo. ¿Por qué? No tiene una pantalla, y un escritorio sentado allí no consume muchos recursos.

• NO reenvíe el puerto VNC. Si necesita usarlo, haga un túnel en el puerto VNC (5900) a través de SSH (puerto 22) y conéctese de esa manera.

Este proceso le proporciona cifrado y toda la seguridad de SSH, que ya está abierta. No agrega ningún problema de seguridad que no tenía antes.

Ya hago esto en mi propio servidor, no hay un retraso adicional notable en el proceso de VNC en comparación con una conexión directa.