Подробный гайд: Настройка VNC для удалённой поддержки в Astra Linux
Важно:
Данный гайд предназначен для легального использования в целях технической поддержки. При настройке удалённого доступа соблюдайте требования безопасности вашей организации и положения НДВ.
Выбор решения
В Astra Linux доступно два основных варианта настройки VNC:
| Решение | Назначение | Особенности |
|---|---|---|
| Vino | Быстрая поддержка текущей сессии пользователя | Интеграция с GNOME, простой запуск, пароль до 8 символов |
| TigerVNC (tigervnc-scraping-server) | Профессиональная удалённая поддержка | Подтверждение подключения пользователем, раздельные пароли на просмотр/управление |
Вариант 1: Настройка Vino (для быстрого доступа к текущей сессии)
Шаг 1: Установка пакетов
sudo apt update
sudo apt install vino libglib2.0-bin
Пакет libglib2.0-bin необходим для настройки аутентификации через gsettings.
Шаг 2: Настройка пароля
# Включаем аутентификацию по VNC
gsettings set org.gnome.Vino authentication-methods "['vnc']"
# Устанавливаем пароль (замените "mypassword" на ваш пароль, макс. 8 символов)
gsettings set org.gnome.Vino vnc-password "$(echo -n 'mypassword' | base64)"
Протокол VNC ограничивает длину пароля 8 символами.
Шаг 3: Отключение автозапуска (рекомендуется для безопасности)
sudo rm /etc/xdg/autostart/vino-server.desktop
Это предотвратит автоматический запуск сервера для всех пользователей.
Шаг 4: Запуск сервера
Запускайте от имени пользователя, к сессии которого нужен доступ:
/usr/lib/vino/vino-server
После запуска к текущей графической сессии можно подключиться по адресу: IP_адрес:5900.
Шаг 5: Подключение с клиента
Используйте любой VNC-клиент (TigerVNC, Remmina, RealVNC):
Адрес: 192.168.1.100:5900
Пароль: [ваш пароль]
Вариант 2: Настройка TigerVNC для удалённого помощника (рекомендуемый)
Этот метод соответствует требованиям безопасности и позволяет пользователю подтверждать каждое подключение.
Шаг 1: Подготовка репозиториев
В зависимости от версии Astra Linux SE:
- 1.8.3 и новее: репозитории подключены по умолчанию
- 1.8.1–1.8.2: подключите расширенный репозиторий
- 1.7 и старше: подключите базовый репозиторий
Шаг 2: Установка на компьютере пользователя (сервер)
sudo apt update
sudo apt install tigervnc-scraping-server fly-tigervnc-query-dialog
tigervnc-scraping-server— основной серверный пакет (обязательный)fly-tigervnc-query-dialog— русифицированный диалог подтверждения (рекомендуется)
Шаг 3: Настройка паролей
От имени пользователя выполните:
vncpasswd
Система запросит:
- Пароль для полного доступа (управление + просмотр)
- Пароль для только просмотра (опционально)
Пароли сохраняются в ~/.config/tigervnc/passwd.
Шаг 4: Запуск сервера
x0tigervncserver --localhost=0 --QueryConnect
Параметры:
--localhost=0— разрешает подключения из сети--QueryConnect— включает запрос подтверждения у пользователя при каждом подключении
Сервер выведет номер порта (обычно
5900) и дисплея (:0) — запомните их для подключения.
Шаг 5: Установка на компьютере помощника (клиент)
sudo apt install tigervnc-viewer
Альтернативные клиенты: remmina, xtightvncviewer (доступны в расширенных репозиториях).
Шаг 6: Подключение помощника
xtigervncviewer 192.168.1.100:5900
# или
xtigervncviewer 192.168.1.100:0
Пользователь увидит диалог подтверждения подключения и должен разрешить доступ.
Шаг 7: Завершение сеанса
- Помощник: просто закройте окно клиента
- Пользователь: выполните команду для принудительного завершения:
x0tigervncserver --kill
Это предотвратит несанкционированные подключения после окончания сеанса.
Рекомендации по безопасности
- Используйте брандмауэр: ограничьте доступ к порту 5900 только доверенным IP-адресам
sudo apt install iptables-persistent
sudo iptables -A INPUT -p tcp --dport 5900 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 5900 -j DROP
- Шифрование трафика: для защиты данных используйте SSH-туннель:
# На клиенте:
ssh -L 5900:localhost:5900 user@remote_host
# Затем подключитесь к localhost:5900
- Регулярная смена паролей: особенно при использовании Vino (ограничение 8 символов снижает стойкость).
- Отключайте сервер после использования: не оставляйте VNC-сервис работающим без необходимости.
- Аудит подключений: включите логирование через
journalctl:
journalctl -u x0tigervncserver -f
Устранение неполадок
| Проблема | Решение |
|---|---|
| Не запрашивается пароль (Vino) | Убедитесь, что установлен libglib2.0-bin и выполнены команды gsettings |
| Сервер не запускается | Проверьте наличие графической сессии: echo $DISPLAY должен вернуть :0 |
| Не удаётся подключиться из сети | Проверьте брандмауэр и параметр --localhost=0 в команде запуска |
| Диалог подтверждения не появляется | Установите пакет fly-tigervnc-query-dialog и убедитесь, что указан флаг --QueryConnect |
Совет:
Для корпоративного развёртывания рассмотрите использование централизованного управления через Ansible или SaltStack с применением шаблонов конфигурации, соответствующих вашим политикам безопасности.