csatblogspotdotcom: vncserver的配置

今天在rhel5下配置了vncserver。
刚开始连接时怎么都连不上，后来发现是防火墙的原因，
用iptables -F把所有规则清零后终于连上，但这样并不安全，
于是在/etc/sysconfig/iptables中加上
-A RH-Firewall-1-INPUT -p tcp --dport 5800:5810 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 5900:5910 -j ACCEPT
（后来在图形界面中修改时/etc/sysconfig/iptables被修改为：
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 580n(590n) -j ACCEPT）
注：
1. vncserver使用tcp协议，用vncviewer访问http://IP:580n/时，其服务端口为5900，访问端口为5900+n；用浏览器访问时，启用一个JAVA版的viewer，服务端口为5800，访问端口为5800+n（实际上在服务器上ps -e查看时开了一个590n的端口和几个580n端口，过一会儿就只剩一个590n的端口了）
2. iptables -F把所有规则清零，而iptables -L把所有规则显示出来
3. 在 ~/.vnc/xstartup中加上"gnome-session &"则启动时加载gnome桌面管理器；加"startkde &"加载KDE桌面管理器；加"fvwm2 &"加载fvwm2窗口管理器；默认是使用twm。
4. # Uncomment the following two lines for normal desktop:
unset SESSION_MANAGER
exec /etc/X11/xinit/xinitrc
去掉这两行的注释后，每次登录就不会出现那个丑陋原始的终端了，也不会出现那个有三个复选框的丑陋原始的窗口了。
5.from wikipedia:
VNC by default uses TCP ports 5900 through 5906, each port corresponding to a separate screen (:0 to :6). A Java viewer is available in many implementations such as RealVNC on ports 5800 through 5806, allowing clients to interact through, among other things, a Java-enabled web browser. Other ports can be used as long as both client and server are configured accordingly.

后记：vncserver有个参数geometry，用来设置屏幕大小，如：
vncserver -geometry 800x600
注意：800和600中间是小写字母x
在 ~/.bashrc 中设置
alias vncserver='vncserver -geometry 800x600'
即可使之默认为800x600

后记1：
昨天配置时发现root用户一点问题都没有，但普通用户就什么都没有，只有个十字形的叉叉，搞了半天，临走时突然发现"$HOME/"文件夹下面有个.ICEauthority的文件居然是root的，而且所在组也是root，更重要的是权限设置为600，估计就是这个问题了。
今天2点来，把$HOME/里属于root的文件夹全删，重新启动vnc，结果就OK了。估计以前用了sudo完成的命令，所以把相应文件的属性搞成了root。
p.s. VNC启动后会自动生成 ~/.ICEauthority 和 ~./Xauthority两个文件，这两个文件是和安全相关的。
据网上的说法：$
1. XAUTHORITY (通常是 ~/.Xauthority) 是紀錄誰可以連線到你目前的 X server。
X server可以通过利用"magic cookie"来控制用户级的对X server的访问。这是一个机器可以识别的、随机产生的代码。一个X client必须在被X server允许访问之前向X server提供相同的"magic cookie"值。这个值被存在文件".Xauthority"中，它既可以在每次会话的开始由xdm产生，又可以由用户产生。
3. .ICEauthority is a file that coordinates some basic security and function permissions. It can be damaged to a point where it is impossible to log on normally. Most famously, this can happen by launching a graphical application using sudo instead of gksudo (or kdesu with KDE). While it will not cause a problem with every graphical app or even every time, it is a real concern.

后记2：
今天配置samba时又碰到了防火墙问题，在图形界面中解决了问题。顺便试了下在图形界面中设置防火墙，结果发现
/etc/sysconfig/iptables被修改为：
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 580n(590n) -j ACCEPT
看来以后可以直接往里面加这条语句

Labels: Linux, Operation and Maintenance

2 Comments:

At November 29, 2008 at 10:37 PM , Anonymous said...: 昨天配置时发现root用户一点问题都没有，但普通用户就什么都没有，只有个十字形的叉叉，搞了半天，临走时突然发现"$HOME/"文件夹下面有个.ICEauthority的文件居然是root的，而且所在组也是root，更重要的是权限设置为600，估计就是这个问题了。
今天2点来，把$HOME/里属于root的文件夹全删，重新启动vnc，结果就OK了。估计以前用了sudo完成的命令，所以把相应文件的属性搞成了root。
p.s. VNC启动后会自动生成 ~/.ICEauthority 和 ~./Xauthority两个文件，这两个文件是和安全相关的。
据网上的说法：$
1. XAUTHORITY (通常是 ~/.Xauthority) 是紀錄誰可以連線到你目前的 X server。
X server可以通过利用"magic cookie"来控制用户级的对X server的访问。这是一个机器可以识别的、随机产生的代码。一个X client必须在被X server允许访问之前向X server提供相同的"magic cookie"值。这个值被存在文件".Xauthority"中，它既可以在每次会话的开始由xdm产生，又可以由用户产生。
3. .ICEauthority is a file that coordinates some basic security and function permissions. It can be damaged to a point where it is impossible to log on normally. Most famously, this can happen by launching a graphical application using sudo instead of gksudo (or kdesu with KDE). While it will not cause a problem with every graphical app or even every time, it is a real concern.
At December 3, 2008 at 4:02 AM , Anonymous said...: 今天配置samba时又碰到了防火墙问题，在图形界面中解决了问题。顺便试了下在图形界面中设置防火墙，结果发现
/etc/sysconfig/iptables被修改为：
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 580n(590n) -j ACCEPT
看来以后可以直接往里面加这条语句

Subscribe to Post Comments [Atom]

<< Home

csatblogspotdotcom

Saturday, November 29, 2008

vncserver的配置

2 Comments:

About Me

Previous Posts