Für die Fernwartung eines PCs oder das Erklären von Bedienungsschritten über große Entfernungen hinweg, gibt es sogenannte VNC-Software (Virtual Network Computing). Diese ist in der Lage den Bildschirm eines entfernten Rechners (Servers) auf dem heimischen Rechner (Client) anzuzeigen und Tastatur und Mausbewegungen zu übertragen. Dadurch ist es möglich an einem entfernten Rechner zu arbeiten, als säße man direkt davor. VNC ist dabei plattformunabhängig und kann daher sowohl für Verbindungen von Linux zu Windows als auch umgekehrt verwendet werden. Unter Linux wie auch Windows gibt es dafür die OpenSource Software tightvnc, sowie speziell unter kde die Programme krfb (Arbeitsfläche freigeben) und krdc (Verbindung zu Fremdrechner). Widmen wir uns zuerst den KDE-Programmen, welche eigentlich selbsterkärend sind, da sie eine grafische Oberfläche haben. Doch vorab noch eine kleine Warnung:
VNC-Verbindungen sind grundsätzlich unverschlüsselt! Sämtliche Passwörter werden im Klartext übertragen und sind daher abgreifbar. Möchte man eine VNC-Verbindung über das Internet herstellen, ist eine Verschlüsselung via eines SSH-Tunnels absolut ratsam!
|
krfb und krdc - VNC-Verbindungen via KDE
Beide Programme findet man im K-Menü unter Internet. Mittels krfb startet man den VNC-Server der die Desktop-Freigabe ermöglicht. Dabei hat man zwei Möglichkeiten. Entweder kann man mittels Persönlich einladen... eine Einladung erstellen, welche ein automatisches Paßwort generiert oder man klickt auf Einrichten... und erstellt eine dauerhafte Freigabe der Arbeitsfläche. Bei einer dauerhaften Freigabe muß man das Häckchen unter Verbindungen ohne Einladungen erlauben setzen und kann anschließend noch Häkchen vergeben, ob der Dienst im Netzwerk sichtbar sein soll, ob man noch zusätzlich den Zugriff bestätigen will und ob der entfernte Client die Arbeitsfläche überhaupt steuern darf. Läßt man bei letzterem das Häckchen weg, kann der Client lediglich die Arbeitsfläche sehen und somit beobachten, aber keinerlei Mausbewegung initiieren (View-Only Modus). Wichtig ist, daß man ein Paßwort vergibt, denn macht man das nicht, öffnet man seinen Rechner für jedermann im Internet. In dem Sinne ist eine gewisse Vorsicht geboten wenn man einen VNC-Server abstartet! Um sich nun mit dem entfernten Rechner zu verbinden, startet man krdc ab, gibt die I.P. oder bei vorhandener Namensauflösung den Hostnamen des Rechners an gefolgt von der Display-Nummer, z.B. 192.168.1.20:0. Nach einer Paßwortabfrage öffnet sich ein Fenster und man sieht den entfernten Desktop. Übrigens kann man sich dank der Plattformunabhängigkeit von VNC mittels der Windows-Version von tightvnc auf einen krfb-Server ohne Probleme einloggen und umgekehrt mittels krdc auf einen Windows-tightvnc-Server ebenfalls.
tightvnc
Unter der Seite http://www.tightvnc.com kann man sich die Windows-Version von tightvnc herunterladen. Dabei hat man die Qual der Wahl zwischen einer älteren Version 1.3.10, die die neueren Windows-Versionen wie Vista oder 7 nicht vollständig unterstützt aber dafür als Executables also ausführbare Dateien ohne Installation heruntergeladen werden kann oder der neuen Version 2.5.1 mit voller Unterstützung für alle Windows-Varianten die jedoch eine Installation benötigt. Unter Debian findet man das Programm in den Paketlisten und ein simples
# apt-get install xtightvncviewer tightvncserver
installiert die Programme. Leider verhalten sich die Programme unter Windows und Linux etwas unterschiedlich. Während der tightvnc-Server auf der Windows-Seite sich genau wie krfb verhält, also den Desktop unter der Display-Nummer :0 für einen Client shared und somit Maus- und Tastaturbewegungen auf beiden Seiten sichtbar sind, wird mittels tightvncserver unter Debian ein eigener X-Server mit der Display-Nummer :1 gestartet. Um das besser verstehen zu können ein Beispiel:
Startet man unter Windows den vncserver mittels der Datei winvnc.exe, wird der momentane Windows-Desktop mit der Display-Nummer :0 über das Netzwerk freigegeben. Stellt man nun eine Verbindung mittels vncviewer her (unter Debian xvncviewer), sieht man nicht nur den Windows-Desktop, sondern auch die Mausbewegungen auf beiden Seiten. Unter Debian läuft ja in der Regel schon ein X-Server mit der Display-Nummer :0. Startet man hier nun den vncserver wird ein eigener X-Server mit der Nummer :1 gestartet, anstatt den momentanen Desktop mit der Nummer :0 zu sharen. Greift man nun von Windows mittels dem tightvncviewer auf diesen X-Server zu, sieht der User am Debian-Rechner nichts von den Aktionen des Windows-Nutzers, da er ja das Display :0 vor sich hat, während der Windows-Nutzer sozusagen an seinem eigenem Display mit der Nummer :1 arbeitet. Möchte man das gleiche Verhalten wie unter Windows, muß man sich des Programms x11vnc bedienen. Selbiges stellt den momentan laufenden X-Server mit der Nummer :0 für Zugriffe aus dem Netzwerk bereit. Daher meine Empfehlung für einen vnc-Server unter Linux:
# apt-get install x11vnc
Wer dennoch mit dem tightvnc-Server arbeiten möchte, weil man z.B. ein eigenes Display abstarten will, hier eine kurze Erklärung zur Funktionsweise:
Unter Linux sind es in erster Linie Konsolenprogramme und so muß man sich zumindest was tightvncserver für den ersten Start anbelangt der Konsole bedienen, um die Programme abzustarten. tightvncserver verlangt nach dem ersten Start ein wenig Konfiguration und weil eine grafische Oberfläche fehlt, kann man selbige nur auf der Konsole durchführen. Nach dem Start mittels
# tightvncserver
wird man nach dem Paßwort für den Server gefragt und ob ein Paßwort für einen view-only Modus verwendet werden soll. Hat man beides eingegeben, wird im Heimatverzeichnis das versteckte Verzeichnis .vnc angelegt, in welchem die Konfiguration und die Log-Dateien gespeichert werden. Gleichzeitig wird der X-Server mit der Display-Nummer :1 abgestartet, was man unter KDE an einem ablaufendem Startsound bemerkt. Möchte man den Server wieder beenden, ruft man entweder den Befehl
# tightvncserver -kill :1
auf oder sucht mittels ps -A | grep vnc den laufenden Prozess und beendet ihn mit kill Signalnummer. Leider gibt es kein Icon im Tray, was einem den laufenden Prozess anzeigt. Für zukünftige Starts von tightvncserver kann man den Befehl gleich im Befehl ausführen... Dialog eingeben, muß aber zum beenden sowieso wieder die Konsole öffnen. Möchte man die Auflösung des X-Servers einstellen, kann man das als Option mitgeben, z.B.
# vncserver :1 -geometry 1280x1024 -depth 16 -pixelformat rgb565
Dabei steht :1 für die Display-Nummer, -geometry für die verwendete Auflösung, -depth für die verwendete Farbtiefe und -pixelformat für das Farbformat zur Pixelanzeige.
xtightvncviewer kann man gleich entweder von der Konsole oder per Befehl ausführen-Dialog abstarten. Es folgen zwei kleine Fenster in welche man den entfernten Server (z.B. buero:0 oder 192.168.2.5:1) und das verwendete Paßwort eingeben kann.
Unter Windows ist tightvnc wieder selbsterkärend, bzw. ähnlich aufgebaut wie die KDE-Programme und man kann sich einfach durchklicken, daher werde ich jetzt hier nicht näher darauf eingehen.
Noch ein Wort zum tightvnc-Client unter Linux: Als ich bei neueren Debian Distributionen Probleme mit dem Keyboard bekam (siehe hier) meine ich irgendwo in einem Forum gelesen zu haben, daß tightvnc unter Linux nicht mehr weiterentwickelt wird und daß Entwickler aus dem tightvnc-Projekt einen erweiterten vnc-Client namens tigervnc entwickelt haben. Daher meine Empfehlung für einen reibungslosen VNC-Betrieb unter Linux:
x11vnc als Server und tigervnc als Client.
x11vnc
Wie bereits erwähnt, wird mittels tightvncserver ein eigener X-Server abgestartet. Möchte man das momentane Display unter Linux im Netz freigeben, muß man sich des Programms x11vnc bedienen. Dabei gibt ein schlichtes
# x11vnc
auf der Konsole gleich mal eine fette Warnmeldung aus, da kein Paßwort angegeben wurde. Wir erinnern uns: Damit laden wir sämtliche Internet-User ein ein wenig mit unserer Maus zu spielen...
Möchte man ein Paßwort vergeben, kann man das mittels
# x11vnc -storepasswd /Speicherort/der/Paßwortdatei
machen. Läßt man den Speicherort der Datei weg, wird die Paßwortdatei automatisch unter .vnc/passwd angelegt. Diesselbe Datei benutzt auch tightvncserver, also hat man schon beim Einrichten von tightvncserver ein Paßwort vergeben, erübrigt sich dieser Schritt. Wichtig ist nun die Angabe der Paßwort-Datei beim Abstarten von x11vnc:
# x11vnc -rfbauth ~/.vnc/passwd -display :0
Und somit wird genau wie unter krfb der momentane Desktop zur gemeinsamen Nutzung geshared. Die zusätzliche display-Angabe sagt, daß das Display mit der Nummer :0 geshared werden soll. Ohne diese Angabe braucht x11vnc ein wenig länger zum Abstarten, da es erst prüft welches Display läuft. Nach jedem Schließen der Sitzung beendet sich auch x11vnc und man muß es für eine erneute Sitzung wieder neu abstarten. Möchte man das nicht, hilft die Option -forever:
# x11vnc -forever -rfbauth ~/.vnc/passwd -display :0
Leider kam es bei mir des öfteren vor, daß wenn ich mich mit Krdc als Client mit X11vnc verbunden habe, daß die Verbindung abgestürzt ist und beendet wurde. Beim Umstieg auf tightvnc tauchten dann die oben genannten Probleme mit dem Keyboard auf. Daher meine Empfehlung: tigervnc als Client verwenden. Interessanterweise kann man beide Programme, ob tightvnc oder tigervnc mit dem gleichen Befehl abstarten:
# vncviewer server:0
Nach der Eingabe des Paßworts ist man verbunden und schon läuft die Sitzung. Etwas mehr Optionen z.B. einen Fullscreen-Modus, welcher bei einem großen Bildschirm auf Serverseite den Bildschirmausschnitt automatisch verschiebt wenn die Maus an den Rand stößt, kann man mittels der F8 Taste einblenden.
SICHERE VERBINDUNGEN MITTELS ssh UND x11vnc
Um eine verschlüsselte und damit gesicherte Verbindung zu einem entfernten Desktop aufzubauen, kann man das VNC Protokoll über ssh tunneln, d.h. man baut eine ssh-Verbindung auf über die der Port 5900 und damit die VNC Verbindung geleitet wird. Das Schöne daran, man muß sich nicht mal vorher auf dem entfernten Rechner mittels ssh einloggen und den VNC-Server abstarten, denn das geht in einem Befehl. Dazu öffnet man zwei Konsolen und gibt auf der Ersten ein:
# ssh -t -L 5900:127.0.0.1:5900 benutzer@entfernter.rechner 'x11vnc -display :0 -rfbauth ~/.vnc/passwd -listen 127.0.0.1'
Damit wird eine ssh-Verbindung aufgebaut, die den Port 5900 tunnelt und das Programm x11vnc auf dem entfernten Rechner ausführt. Wird die VNC-Verbindung beendet und damit x11vnc, wird man automatisch wieder ausgeloggt vom Server. Und für noch mehr Sicherheit ist die Angabe -listen 127.0.0.1, welche nur Verbindungen vom eigenen Rechner erlaubt. Das bedeutet der Server lauscht gar nicht mehr im Netzwerk nach Clients, sondern nur noch nach lokalen Anfragen. Hat man keinen ssh-Tunnel der den Server mit dem Client verbindet, ist es nicht möglich eine Verbindung aufzubauen. Damit wird sichergestellt, daß auch wirklich der ssh-Tunnel verwendet wird. Mittels der zweiten Konsole und dem Programm vncviewer (xtigervncviewer) kann man sich verbinden:
# vncviewer -encodings "copyrect tight zrle hextile" localhost:0
Bei schnellen, lokalen Netzwerken kann man die encodings-Option auch weglassen. Sie dient lediglich der Optimierung der Geschwindigkeit bei langsamen Internet-Verbindungen.
Verschlüsselte VNC-Verbindung mittels Jump Desktop auf Android und x11vnc
Wer sich mittels seines Smartphones auf seinem heimischen Rechner per VNC verbinden will, kann das Programm Jump Desktop für circa 10 Euro im Google Play Store erwerben. Natürlich gibt es auch kostenfreie Alternativen, jedoch habe ich keine kostenfreie gefunden die eine Verschlüsselung über ssh anbietet, was Jump Desktop von Haus aus mitbringt und damit gerade bei einem solch unsicheren Medium wie dem Smartphone wesentlich sicherer ist als die kostenlosen Alternativen.
Bevor man sich mittels Jump Desktop verbinden kann, muß natürlich auf dem entfernten Rechner x11vnc laufen. Entweder hat man das Programm schon vorher abgestartet oder man kann es mittels eines ssh-Clients mit dem man sich auf der entfernten Maschine einloggt:
# x11vnc -display :0 -rfbauth ~/.vnc/passwd -listen 127.0.0.1
Dabei sorgt die Option -listen 127.0.0.1, daß x11vnc nur auf Verbindungen vom eigenen Rechner lauscht und somit ist es nicht möglich, daß sich ein Fremder aus dem Internet einloggen kann.
Anschließend startet man Jump Desktop ab und konfiguriert es wie folgt:
VNC-Verbindung
1. Manuelle Konfiguration auswählen.
2. Ein neue Verbindung mittels des Plus-Zeichens erstellen.
3. Als Connection Type gibt man VNC an.
4. Als Host-Address 127.0.0.1 eintragen.
5. Der Port ist 5900.
6. Die Authentication Method: VNC-Password.
SSH-Tunnel
Ein Fingertip auf den SSH-Tunnel öffnet den Einstellungs-Dialog. Auch hier muß man zunächst eine neue Verbindung anlegen, in welche man den Anmeldenamen, den Hostnamen vom entfernten Rechner (normalerweise eine DynDNS-Adresse), den Port (Standard ist 22) und die Authentifizierung -ob Schlüssel oder Passwort- für SSH einträgt.
Hat man alles bestätigt, kann man sich verbinden. Dazu baut Jump Desktop zuerst eine SSH-Verbindung auf und fragt nach dem SSH-Passwort. Nach Eingabe folgt die Abfrage für das VNC-Passwort und schon ist man über einen gesicherten SSH-Tunnel verbunden.
x11vnc am KDE Login-Bildschirm
Um mittels x11vnc den Zugriff auf einen Login Screen zu ermöglichen, wie z.B. den Login Screen des Display Managers kdm, braucht man das Xauthority File, welches das "MIT-MAGIC-COOKIE" enthält. Um herauszufinden welches File man benötigt, kann man sich folgendem Befehl bedienen:
# ps wwaux | grep auth
root 1116 0.1 0.9 186064 75524 tty7 Ss+ 04:42 0:04 /usr/bin/X :0 vt7 -br -nolisten tcp -auth /var/run/xauth/A:0-D2NXbc
Wie man sieht, liegt unser File unter /var/run/xauth/. Leider gibt es hier ein kleines Zugriffs-Problem, da das File nur root zugänglich ist. Daher muß man sich entweder als root einloggen und x11vnc abstarten oder dem Befehl sudo voranstellen und somit x11vnc root-Rechte geben. Im Falle des root-Logins sollte man nicht vergessen ein Passwort-File für root zu erstellen. Und es gibt noch einen weiteren Stolperstein: Unter KDE mit kdm ändert sich die Bezeichnung des Files nach einem Neustart. Wer jedoch nicht ständig nach der Bezeichnung suchen und seinen Befehl anpassen will, kann der -auth Option auch "guess" mitgeben. Dadurch versucht x11vnc zu raten, welches File gemeint ist.
# x11vnc -auth guess -display :0 -rfbauth ~/.vnc/passwd -listen localhost
Leider funktioniert die Option guess nicht beim sddm Display Manager. Für sddm benötigt man folgenden Befehl:
# x11vnc -auth /var/run/sddm/* -display :0 -rfbauth ~/.vnc/passwd -listen localhost
|