Existe uma desvantagem na instalação do VNC?

Temos um NUC da Intel no departamento de idiomas da minha universidade que em breve hospedará um aplicativo da Web usado por professores e alunos do departamento. O NUC executa o Ubuntu (14.10).

Estou confortável com o terminal e com o SSH no servidor, mas acho que muitas tarefas que preciso fazer são muito mais fáceis através do compartilhamento de tela (VNC).

Sugeri ao nosso novo diretor técnico que instalássemos o VNC nesse servidor para facilitar minha vida (na verdade, ele tinha o VNC instalado antes de ele ser contratado e depois ele foi desinstalado). No entanto, ele respondeu com o seguinte comentário:

Eu preferiria não rodar o X ou o VNC no servidor, se pudermos nos safar. Afinal, é um servidor.

Eu realmente não entendo essa lógica. Não está ligado a um monitor; o único acesso a ele através do SSH. Existe alguma desvantagem milagrosa em ter acesso VNC a um servidor que eu não conheço?

Obviamente, você está abrindo outra porta para um invasor; refutação: estamos atrás de dois firewalls universitários (o principal firewall da rede universitária e o firewall especial da nossa sub-rede). O VNC só seria capaz de ser realizado dentro de nossa sub-rede, por isso não sei por que isso seria um problema diferente de "é outro pacote para manter" e com o aptgerenciador de pacotes do Ubuntu que se torna um problema.

Quais são as desvantagens de instalar o VNC em um servidor?

Edit : este não é apenas um servidor web. Está hospedando uma série de outras aplicações. Não tenho certeza se isso faz diferença.

Existem muitas razões:

• Superfície de ataque: mais programas, especialmente os em rede, significam mais oportunidades para alguém encontrar um bug e entrar.

• Superfície defeituosa: como acima, mas substitua "alguém" por " Murphy " e "entre" por "arruinar o seu dia". Na verdade, "arruinar o seu dia" provavelmente também se aplica ao ponto anterior.

• Eficiência do sistema: O X11 e os ambientes da GUI que as pessoas costumam executar neles consomem uma quantidade razoável de RAM, especialmente em um sistema de recursos limitados, como um NUC. Não executá-los significa mais recursos para realizar um trabalho útil.

• Eficiência do operador: As GUIs não se prestam a scripts e outras formas de automação. Clicar nas coisas parece produtivo, mas na verdade é a pior maneira de fazer algo profundamente técnico. Você também encontrará suas oportunidades futuras de emprego bastante limitadas se não conseguir criar scripts e automatizar seu trabalho - o setor está se afastando das ferramentas de administração da GUI. Caramba, até mesmo o servidor Windows pode ser instalado sem GUI hoje em dia, e se isso não fizer você pensar nos méritos relativos de saber apenas clicar nas coisas, eu realmente não sei o que dizer para você.

O problema não é o VNC - não me interpretem mal, o VNC é um protocolo horrível e possui muitas falhas (a maior delas é a falta de suporte à criptografia, para que tudo passe pela rede em texto sem formatação), mas não é o principal razão pela qual seu uso não é recomendado em servidores.

Você vai instalar o VNC para acessar uma tela preta? Não, você queria acessar todo um ambiente de área de trabalho, e esse é o verdadeiro problema.

Depois de instalar todo esse software Gnome (ou similar) para desktop, você já pode considerar seu servidor comprometido, pois ainda existem muitos bugs a serem explorados nessa horrível e enorme coleção de aplicativos (além do fato de que ele não foi projetado para produtividade) e usa uma tonelada de recursos). Uma das outras razões pelas quais eu não recomendo este software e a maioria dos ambientes de desktop Linux é que eles assumem o sistema inteiro quase como um rootkit e implementam suas próprias versões de tudo (autenticação? Não há mais usuários e grupos sólidos , vamos executar essa bobagem do Policykit como raiz que concede permissões com base em alguns arquivos XML ilegíveis e obscuros ... configuração? Quem precisa de arquivos de configuração legíveis por humanos? Vamos armazenar tudo em bancos de dados binários que você puder '

Tentar instalar um ambiente de desktop Gnome no meu servidor Archlinux me diz "Tamanho total instalado: 1370,86 MiB". Isso é enorme, imagine a superfície de ataque extra que esse ex-servidor terá depois de instalado. Outros ambientes de área de trabalho não são muito melhores.

Obviamente, você está abrindo outra porta para um invasor; refutação: estamos atrás de dois firewalls universitários (o principal firewall da rede universitária e o firewall especial da nossa sub-rede). O VNC só seria capaz de ser realizado dentro da nossa sub-rede, por isso estou perdido ...

Nunca assuma que, como seu sistema está protegido por um firewall, em uma rede privada, você não precisa se preocupar com segurança. Muitas, se não a maioria, intrusões bem-sucedidas são realizadas por pessoas de dentro (funcionários, estudantes, etc.) que têm acesso às referidas redes.

Tente fazer isso para manter o diretor técnico feliz:

• Instale o VNC e qualquer desktop que desejar

• NÃO instale um protetor de tela de qualquer tipo. Por quê? Você não tem uma tela, e uma área de trabalho sentada ali não consome muitos recursos.

• NÃO encaminhe a porta VNC. Se você precisar usá-lo, encapsule a porta VNC (5900) via SSH (porta 22) e conecte-a dessa maneira.

Esse processo fornece criptografia e toda a segurança do SSH, que já está aberta. Você não adiciona nenhum problema de segurança que ainda não tinha antes.

Eu já faço isso no meu próprio servidor, não há atraso adicional perceptível no processo VNC em comparação com uma conexão direta.