走进一群系统管理员所在的房间,问他们更喜欢 SSH 还是 VNC,您十有八九会听到一些强烈的看法。有些人推崇命令行的精确性,而另一些人则绝不会放弃完整远程桌面会话所带来的便利。关于 VNC 与 SSH 的争论几乎与系统管理本身一样悠久,因为这两种协议各自都能提供对方无法提供的能力。
当然,远程访问是现代 IT 运营的基础。管理员很少坐在服务器机架前,通过 KVM 控制台管理主机。他们必须通过网络连接,对远程系统进行故障排除、部署和监控。这项任务通常意味着要么在文本 shell(SSH)中运行命令,要么在另一台服务器(VNC)上控制整个桌面环境。与 IT 行业的大多数情况一样,哪种方法最有效取决于具体情况、工作量以及主机运行的操作系统。
本文不会解决 VNC 与 SSH 之争,但会解释两者之间的区别,以及为什么现在比以往任何时候都更需要这两种方法。您将看到每种方法如何支持企业工作流程,适用哪些安全性措施,以及性能因素会在哪些方面影响采用。我们还将重点介绍最先进的 VNC 协议改编版 RealVNC Connect 如何为企业提供开箱即用的安全远程访问软件。
VNC 的工作原理:远程桌面访问
虚拟网络计算 (VNC) 是最早和最广泛采用的远程桌面技术之一。其工作原理非常简单:VNC Server 捕获计算机的屏幕输出,将其压缩成数据包,然后通过网络将信息发送给客户端。客户端接收到数据包后,就会显示图形环境,创造出直接坐在远程系统前的体验。
远程帧缓冲器(FRB)协议是 VNC 的基础标准。RFB 负责传输像素信息,对图形更新进行编码,并解释客户端用户的鼠标点击和键盘输入。当用户移动鼠标或在键盘上输入时,这些操作会被转发回 VNC Server,然后由 VNC Server 在目标机器上执行。
由于我们谈论的是一个完整桌面的双向交互会话,因此编码效率非常重要。早期的 VNC 实现传输的是原始像素数据,需要很高的带宽。现代版本则采用压缩算法来减少流量,同时在客户端保持高分辨率图像。有些 VNC 实现甚至可以利用 GPU 来处理繁重的应用程序和高分辨率显示器。
VNC 最常用于 Windows 服务器和台式机,但由于它在帧缓冲层工作,因此设计上是跨平台的。几乎所有支持该协议的客户端都可以访问在 Linux 和 MacOS 上运行的 VNC Server。这种灵活性允许 IT 团队连接各种系统,而无需依赖特定平台的解决方案,如 微软的 RDP.
对于使用 VNC 但需要 企业级安全性的组织而言对于使用 VNC 但需要企业级安全性的组织,RealVNC Connect 提供了加固的身份验证和跨平台支持,远远超出了标准开源 VNC 选项所提供的功能。
SSH 的工作原理:安全命令行访问
安全壳主机(SSH)以极低的开销(甚至通过 56k 拨号连接)和强大的会话安全性,提供对远程系统的加密命令行访问。管理员使用 SSH 在目标服务器上打开终端、进行身份验证并执行命令,就像坐在目标服务器前一样。该协议将关注点分为传输层、验证层和连接性层,即使在不信任的网络上也能保持可靠的通信。
传输层阶段协商算法并建立保密性。现代 SSH 协议栈倾向于使用 Curve25519 密钥交换、Ed25519 主机密钥和 AEAD 密码(如 chacha20 或 AES-GCM)。老式的 RSA 和经典的 Diffie-Hellman 组仍然存在,不过现代管理员更喜欢更新的安全态势选项。
一旦通道受到保护,用户身份验证就会通过公钥、短期证书或范围严密的密码进行。随后,连接性开始,为 shell、执行请求或端口转发分配虚拟通道。
使用 SSH 的典型工作流程如下:
- 客户端使用终端或 Putty 等终端模拟器,通过 CLI 命令建立连接 SSH user@host:port 或输入目标服务器的主机名或 IP(如 Putty 等应用程序)来建立连接。
- 服务器提供一个 shell,如 bash、zsh 或 fish。
- 操作员运行系统实用程序、使用 journalctl 或 tail 读取日志、修改配置和日志结果以更改记录。
在 Linux 操作系统上由于文本操作本身速度快、可编写脚本,因此这种方法可扩展到数千个节点。
对于那些害怕只使用 CLI 进行管理的人来说,不用担心。通过 X11 转发,SSH 的功能深度可以超越普通终端。虽然用户可能会对无法转发整个桌面感到失望,但 SSH 上的 X11 可以让主机上的单个远程应用程序显示在本地计算机上。
SSH 隧道还可用于安全封装来自其他应用程序(包含 VNC)的流量,管理员可使用 SCP 在主机和客户端之间双向传输文件。
VNC vs SSH:远程访问的主要区别是什么?
由于 SSH 几乎适用于所有操作系统(是的,甚至包括 Windows),而 VNC 则是跨平台的,因此两者之间的选择取决于管理员喜欢如何与远程系统交互。VNC 提供完整的桌面体验,客户端会收到主机桌面的镜像。SSH 提供的纯文本命令行界面效率很高,但这意味着你需要对使用它有所了解。
两者的主要分隔符在于性能。VNC 主机通过网络连续传输屏幕更新,这需要更多带宽。SSH 只传输文本和控制信号,因此延迟极低,即使在卫星和蜂窝电话等慢速连接中也是如此。
安全性是另一大分隔符。SSH 开箱即加密,并受益于成熟的加密标准。早期甚至一些现代开源 VNC 解决方案根本没有加密,或者需要进行一些配置才能实现加密。有些用户甚至通过 SSH 来实现 VNC 连接,这让人真正体会到 SSH 的安全性和多功能性。
RealVNC Connect 等现代企业级 VNC 实现可提供 会话加密、现代身份验证,以及通过独立审计验证的合规性支持 独立审计验证的合规性支持.
以下是 VNC 和 SSH 的主要区别,一目了然:
| 视角 | VNC(远程桌面) | SSG(命令行) |
| 界面 | 全图形桌面 | 纯文字外壳 |
| 性能 | 带宽较高,系统负载较重 | 低带宽和轻量级通信 |
| 安全性 | 因实施情况而异 | 默认加密 |
| 使用案例 | 图形用户界面应用程序、培训、用户支持和故障排除 | 自动化、脚本和日志分析 |
时至今日,这两种协议仍是远程访问策略的核心,大多数管理员将它们并列部署,以有效管理各种类型的远程服务器。当管理员需要超越基本功能的完全交互式控制时,就会选择 VNC,包括 GUI 应用程序、用户协助和多步骤故障排除。SSH 则适用于精确、可编写脚本的任务,如配置更改、软件包管理、日志查看、文件传输和自动化。
安全性考虑因素:保护远程系统
遗憾的是,远程访问会带来风险,尤其是在面向公众的服务器上。正因为如此,远程管理访问解决方案需要高度重视安全性。SSH 和 VNC 如果不采取防护措施,都会面临威胁,但最佳实践和企业功能可以弥补大部分漏洞。
SSH 安全风险和缓解措施
SSH 优先考虑加密通信。然而,暴露在外的服务器经常成为攻击目标。常见问题和应对措施如下
- 恶意行为者使用 Nmap 等扫描程序检测开放的 SSH 端口(TCP:22)。管理员可以配置 SSH 服务器监听不同的端口,或要求通过 VPN 进行本地访问。
- 基于密码的登录容易受到暴力破解攻击。最好使用受口令保护的 SSH 密钥,并完全禁用密码验证。
- 如果凭证被盗,通过 SSH 登录根目录尤其容易受到攻击。团队通常会完全禁用 SSH 根登录,并倾向于使用 sudo 或单独的管理员账户进行权限升级。
- 暴力脚本攻击会使服务器不堪重负,产生大量噪音。fail2ban 等工具可监控 SSH 日志,并在多次失败后阻止违规 IP 地址。
- 通过在建立信任之前验证主机密钥指纹,可以减少中间人攻击。这一功能是现代 SSH 的核心组成部分。
VNC 安全风险和缓解措施
旧版本的 VNC 有一些明显的安全性问题,因为基本协议缺乏加密。现代版本提供了加密功能,并可通过以下方式提高安全性:
- 在支持加密的 VNC 应用程序上启用加密。否则,数据甚至密码都将以纯文本形式发送。如果没有加密功能,则可通过 SSH 转发提供加密传输的 VNC 流量隧道。
- 简单的密码验证可能会被猜中或窃取。RealVNC Connect 等平台提供现代身份验证标准,可以 与企业 SSO 集成.
- 与 SSH 一样,本地 VNC 端口(TCP:5900+N)也会将服务暴露给扫描程序。移动监听端口或将其隐藏在 NAT 和防火墙后可降低风险。
- 通过采用现代加密标准对传输中的数据进行加密,还可解决会话劫持风险。
PCI-DSS 和 ISO 27001 等合规框架要求组织证明其远程系统是安全的。审查 OWASP 安全身份验证指南建议在部署任何远程访问工具之前,先阅读 OWASP 安全身份验证指南。
RealVNC Connect:VNC 安全的现代方法
适用于要求 VNC 标准化的企业、 RealVNC Connect 是否安全?可满足所有常见风险和合规需求:
- 全会话加密和现代身份验证(MFA、SSO),通过细粒度权限和客户端审批提示实现安全通信。
- 通过 ISO 27001:2022 和 Cyber Essentials 认证,支持 GDPR、CCPA、HIPAA、PCI-DSS 和 EU NIS2。
- 默认情况下不进行会话录制,也无法访问会话中的数据。远程系统隐私功能包含: 隐私模式、屏幕空白和输入锁定。
- RealVNC 拥有用于中介的基础架构,配备全天候 SOC,对所有二进制文件进行代码签名,并定期进行白盒审计和独立渗透测试。
- 集中管理、MSI 和组策略加密部署、暴力保护以及可在门户或通过专用 API 访问的详细日志和审计跟踪。
性能和资源要求
选择哪种协议提供远程访问会直接影响性能、资源使用情况和最终用户体验。每种技术处理网络流量和系统负载的方式解释了为什么管理员经常在不同情况下同时使用这两种技术。
SSH 性能因素和调整
SSH 在最困难的网络条件下也能正常运行。由于只有文本和控制数据在链路上移动,该协议不需要很大的带宽。不用说,SSH 不需要太多的性能调整,但典型的做法包含:
- 会话中发送的 “保持连接 “和 “生命迹象 “信号可以在主机一段时间没有收到活动流量的情况下保持开放连接的稳定。
- 压缩标记,如 SSH -C在传输日志或其他重型数据时可提高吞吐量。
VNC 性能因素和调整
VNC 将图形桌面作为连续图像进行流式传输,因此自然会消耗带宽。视觉变化大、刷新率高的应用程序(如流媒体视频或 3D 渲染)会进一步增加流量。针对 VNC 性能的优化包含:
- 压缩算法,如 RealVNC Connect 所使用的压缩算法。等压缩算法可减少传输的像素数据量,并使用可自动适应带宽的先进编码技术。
- 本地 GPU 加速可卸载部分屏幕捕捉编码,在保持帧速率的同时降低 CPU 速率。
- 可以调整质量设置,关闭不必要的桌面组件,如桌面背景和动画效果。
- 缩放功能可将低分辨率主机桌面转换为高分辨率或多显示器,有助于保持图像清晰。
实用案例:何时使用 SSH、VNC 或两者兼用
在 VNC 和 SSH 之间做出选择取决于手头的任务。每种协议都能满足特定需求,管理员通常倾向于同时使用这两种协议,以获得更全面的覆盖。
VNC:图形化管理和支持
VNC Server 提供完全可视化的屏幕共享功能,因此非常适合于:
- 管理没有相应 CLI 的 Windows 和非核心 Windows Server 工具或仪表板。
- 运行开发环境,如需要图形用户界面的集成开发环境
- 通过查看远程用户的桌面外观为他们提供支持,以便实时解决他们的问题。
- 操作 CAD 和网络面板等图形应用程序。
SSH:命令行效率
当管理员想要快速、高效地控制远程服务器时,就会使用 SSH。它最适用于
- 查看系统日志和运行监控命令
- 同时在数百台服务器上编写部署脚本
- 一键远程访问无头(完全不运行图形用户界面)服务器
- 远程配置云笔记和容器群集
整合与互补使用
我们在本指南中多次提到通过 SSH 连接转发和隧道 VNC 会话。许多管理员在处理驻留在 Linux Server 和桌面上的旧版或开源 VNC 应用程序时都会这样做。
如何通过 SSH 传输 VNC 会话
只需一个简单的 SSH 命令,就能创建一个安全性隧道。创建过程首先要选择客户端要连接的本地端口。通常选择 5901 端口,但任何未使用的端口都可以。
- 打开本地终端窗口(可在安装了 OpenSSH 的 Windows 服务器上完成)。
- 运行以下命令,将 用户 和 服务器 改为远程服务器的主机名或 IP:
SSH -L 5901:localhost:5901 user@server
- 保持会话打开。该命令将通过 SSH 从本地 5901 端口接收的 VNC 流量转发到远程主机上的同一端口。
- 启动 VNC 客户端并将其连接性连接到 localhost:5901. 现在,客户端与 VNC Server 之间的通信是在 SSH 通道内加密的。
通过这种配置,管理员可以利用强大的加密和身份验证功能保护 VNC 流量,同时保留所需的全部图形控制功能。
虽然这种方式运行良好,但对于无人值守的会话来说并不理想,而且在大规模运行时确实效果不佳。RealVNC Connect 提供完全加密的 VNC 会话,无需为 Linux 进行 SSH 转发和隧道连接,在保持企业效率和安全性的同时降低了复杂性。
混合工作流程:结合两者的优势
有时,您可能真的需要同时使用这两种设备。例如,将 Windows 服务器作为跳转盒,进入一个锁定的网络子网,然后启动 SSH 会话访问位于该子网的服务器。
在 Windows Server 上,OpenSSH 现在也已集成并可安装。这意味着管理员可以启动 通过 SSH 进行 PowerShell 会话在使用 VNC 或 RDP 时,将熟悉的 Windows 脚本与 SSH 提供的加密传输相结合。
跨平台远程服务器支持
VNC 和 SSH 的一个共同点是都支持跨平台。一个客户端几乎可以连接任何系统。正是这一功能使 VNC 和 SSH 成为管理员处理混合环境的理想选择。
VNC 覆盖范围
VNC Server 可在 Windows、Linux 或 MacOS 上运行,无论主机操作系统如何,都能提供完整的桌面访问。RealVNC Connect 等现代实现方式可将这种支持扩展到移动操作系统,例如 安卓和 iOS这意味着管理员只需使用智能手机就能连接到 Windows 或 Linux 服务器。
SSH 覆盖范围
SSH 也几乎是通用的。大多数基于 Unix 的平台、路由器和设备默认都包含 SSH 客户端,而且正如我们已经说过的,微软已将 OpenSSH 直接集成到 Windows 中。
管理员现在可以通过 SSH 启动 PowerShell 或 CMD 会话,即使运行的是近乎完整的 Windows 商店,也能更轻松地管理异构环境。
RealVNC 的领先 VNC 技术
RealVNC Connect 了解 VNC。毕竟,VNC 是我们发明的。我们的平台在推动 VNC 协议从 AT&T 实验室到今天的企业级部署方面发挥了决定性作用。RealVNC 的解决方案超越了基本的远程桌面访问,将安全性设计与企业级功能相结合。
主要领导领域包含:
- 协议发展:成立于最初的 VNC Server 架构,并不断为开放标准做出贡献。
- 安全性认证:独立审计,符合框架要求,支持零信任战略。
- 性能改进:先进的编码算法可减少带宽,即使在恶劣的网络条件下也能保持应用程序的响应速度。
- 企业集成:与身份系统兼容,包含 SSO、PAM 和 MFA。
- 规模可靠性:支持大型部署、集群和高可用性配置。
- 专业服务:咨询、培训和长期支持,帮助 IT 团队安全高效地部署和运行远程访问。
企业对灵活而坚固的工具的需求持续增长。 适用于企业的 RealVNC Connect为希望超越 SSH 和 RDP 满足远程访问需求的企业提供了这些功能。
选择 VNC 还是 SSH 的决策框架
在 VNC 和 SSH 之间做出选择更多取决于具体情况,而不是单一的 “最佳选择”。IT 决策者需要权衡:
- 任务类型:图形用户界面驱动的应用程序需要 VNC。这一点不容回避。如果要执行更多文本操作和自动化,尤其是在 Linux 环境中,SSH 是理想选择。
- 用户技能:相比 CLI,经验较少的 ITSD 人员可能更喜欢图形工作流程。不过,高级用户往往从使用命令行中获益更多。
- 安全性要求:SSH 默认是加密的。VNC 需要企业实施,如 RealVNC Connect,才能提供真正安全的远程访问。
- 网络质量:SSH 在链路较差的情况下表现出色,但如果有员工在现场需要桌面故障排除,SSH 就无能为力了。在这种情况下,VNC 远程访问解决方案更为理想。
在大多数企业中,两者的结合可为几乎所有远程服务器场景建立弹性工作流程。 RealVNC Connect通过提供跨平台的安全性支持这种双重模式。
结论:战略技术选择
SSH 和 VNC 之间的选择突出了现代远程访问的两种互补方法。SSH 为命令行管理提供了轻量级加密选项,而 VNC 则为与图形用户界面驱动的应用程序交互提供了完整的图形桌面体验。
大多数企业将受益于同时部署这两种协议,并将每种协议与特定任务和用户技能组合相匹配。
如果企业更倾向于使用 VNC,RealVNC Connect 可提供企业级解决方案,无需 SSH 通道。 Contact RealVNC today. 我们的专家顾问将帮助设计符合您的基础架构和运营要求的安全部署。
常见问题
VNC 和 SSH 可以一起使用吗?
是的。管理员通过端口转发建立 SSH 通道,通过加密流量传输 VNC server 会话。通过该系统将图形化远程访问与基于密钥的强身份验证相结合,可增强安全性。
哪种协议更适合系统管理?
这取决于任务。SSH 是在远程服务器上运行脚本、自动执行任务和查看日志的最佳解决方案。VNC 则是图形用户界面驱动应用程序和用户远程桌面辅助的最佳选择。
默认情况下哪个选项更安全性?
所有通信都通过 SSH 自动加密。RealVNC Connect 企业软件通过加密、MFA 和审计功能增强了基本 VNC 协议,使图形会话在受监管的环境中同样安全。
