Y a-t-il un inconvénient à installer VNC?

Nous avons un Intel NUC dans le département de langue de mon université qui hébergera bientôt une application Web utilisée par les professeurs et les étudiants du département. Le NUC exécute Ubuntu (14.10).

Je suis à l'aise avec le terminal et SSH-ing dans le serveur, mais je trouve que beaucoup de tâches que je dois faire sont tellement plus faciles grâce au partage d'écran (VNC).

J'ai suggéré à notre nouveau directeur technique que nous installions VNC sur ce serveur pour me faciliter la vie (en fait, il avait installé VNC avant son embauche, puis il l'a désinstallé). Cependant, il a répondu avec le commentaire suivant:

Je préférerais de loin ne pas exécuter X ou VNC sur le serveur si nous pouvons nous en tirer. C'est un serveur après tout.

Je ne comprends vraiment pas cette logique. Il n'est pas connecté à un moniteur; le seul accès via SSH. Y a-t-il un inconvénient miraculeux à avoir un accès VNC à un serveur que je ne connais pas?

Évidemment, vous ouvrez un autre port pour un attaquant; réfutation: nous sommes derrière deux pare-feu universitaires (le principal pare-feu du réseau universitaire ainsi que le pare-feu spécial de notre sous-réseau). VNC ne pourrait être accompli qu'à l'intérieur de notre sous-réseau, donc je ne sais pas pourquoi ce serait un problème autre que "c'est un autre paquet à maintenir", et avec le aptgestionnaire de paquets d'Ubuntu qui devient un non-problème.

Quels sont les inconvénients de l'installation de VNC sur un serveur?

Edit : ce n'est pas seulement un serveur web. Il héberge un certain nombre d'autres applications. Je ne sais pas si cela fait une différence.

Les raisons sont nombreuses:

• Surface d'attaque: plus de programmes, en particulier ceux en réseau, signifie plus de possibilités pour quelqu'un de trouver un bogue et d'entrer.

• Surface défectueuse: comme ci-dessus, mais remplacez «quelqu'un» par « Murphy » et «entrez» par «ruinez votre journée». En fait, "ruiner votre journée" s'applique probablement aussi au point précédent.

• Efficacité du système: X11, et les environnements GUI que les gens ont tendance à utiliser, consomment une quantité décente de RAM, en particulier sur un système à ressources limitées comme un NUC. Ne pas les exécuter signifie plus de ressources pour effectuer un travail utile.

• Efficacité de l'opérateur: les GUI ne se prêtent pas aux scripts et autres formes d'automatisation. Cliquer sur des choses semble productif, mais c'est en fait la pire façon de faire quelque chose de profondément technique. Vous trouverez également vos possibilités d'emploi futures très limitées si vous ne pouvez pas créer de script et automatiser votre travail - le secteur s'éloigne des outils d'administration de l'interface graphique. Heck, même le serveur Windows peut être installé sans interface graphique ces jours-ci, et si cela ne vous fait pas penser aux avantages relatifs de ne savoir que cliquer sur des choses, je ne sais vraiment pas quoi vous dire.

Le problème n'est pas VNC - ne vous méprenez pas, VNC est un protocole horrible et a de nombreux défauts (le plus important étant le manque de prise en charge du cryptage, donc tout passe sur le réseau en texte brut), mais ce n'est pas le principal raison pour laquelle son utilisation n'est pas recommandée sur les serveurs.

Vous allez installer VNC pour accéder à quoi, un écran noir? Non, vous vouliez accéder à un environnement de bureau entier, et c'est le vrai problème.

Une fois que vous avez installé tous ces logiciels Gnome de bureau (ou similaires), vous pouvez déjà considérer votre serveur comme compromis, car il reste tellement de bogues à exploiter dans cette horrible et énorme collection d'applications (en plus du fait qu'il n'est pas conçu pour la productivité et utilise une tonne de ressources). L'une des autres raisons pour lesquelles je ne recommande pas ce logiciel et la plupart des environnements de bureau Linux est qu'ils prennent le contrôle de l'ensemble du système presque comme un rootkit et implémentent leurs propres versions de tout (authentification? Plus d'utilisateurs et de groupes solides) , exécutons ce non-sens de Policykit en tant que root qui donne des autorisations basées sur des fichiers XML obscurs et illisibles ... configuration? Qui a besoin de fichiers de configuration lisibles par l'homme? Stockons tout dans des bases de données binaires que vous pouvez "

Essayer d'installer un environnement de bureau Gnome sur mon serveur Archlinux me dit "Taille totale installée: 1370,86 Mio". C'est énorme, imaginez la surface d'attaque supplémentaire que cet ancien serveur aura une fois installé. Les autres environnements de bureau ne sont pas beaucoup mieux.

Évidemment, vous ouvrez un autre port pour un attaquant; réfutation: nous sommes derrière deux pare-feu universitaires (le principal pare-feu du réseau universitaire ainsi que le pare-feu spécial de notre sous-réseau). VNC ne pourrait être accompli qu'à l'intérieur de notre sous-réseau, donc je suis à perte ...

Ne présumez jamais que parce que votre système est derrière un pare-feu, sur un réseau privé, vous n'avez pas à vous soucier de la sécurité. Beaucoup, sinon la plupart, des intrusions réussies sont effectuées par des initiés (employés, étudiants, etc.) qui ont accès auxdits réseaux.

Essayez ceci pour garder le directeur technique heureux:

• Installez VNC et le bureau que vous aimez

• N'installez PAS d'économiseur d'écran d'aucune sorte. Pourquoi? Vous n'avez pas d'écran, et un bureau assis juste là ne consomme pas beaucoup de ressources.

• Ne transférez PAS le port VNC. Si vous devez l'utiliser, tunnelez le port VNC (5900) via SSH (port 22) et connectez-vous de cette façon.

Ce processus vous obtient le cryptage et toute la sécurité de SSH, qui est déjà ouvert. Vous n'ajoutez aucun problème de sécurité que vous n'aviez pas auparavant.

Je le fais déjà sur mon propre serveur, il n'y a pas de retard supplémentaire notable dans le processus VNC par rapport à une connexion directe.