云主机的控制终端的安全性极低
回3楼qilu的帖子
'口令的整个传输过程,全程是由VNC协议进行编码的。VNC协议是一种主流管理协议,安全性大家可以放心。'
此言差矣。VNC 是为局域网或内网设计的。 VNC 的传输机制放在外网,若不放在一个外在安全通道之上, 无安全性可言。作为noVNC,在外网运行,HTTPS 是必要的。
'自动登录到云服务器的操作系统里,这是一个非常危险的想法。用户云服务器的登录口令,是用户的私有信息,阿里云是不会存储用户口令的,所以也无法帮助用户自动登录。而且用户的用户名和口令,本身也是控制终端安全性的一部分。假定前端的安全机制失效了,如果你不知道这个用户的系统口令,你照样只能看着屏幕。 '
不对,问题正在于此,控制台的noVNC 服务器运行在虚拟机管理端,而不在主机本身,登陆界面是 noVNC服务器到主机console的一个管道。由于VNC服务器没有运行在主机本身,noVNC的控制权自然在虚拟机管理端,并没有 像ssh提供 端到端的安全。换句话说,用户必须完全trust阿里云,这种基于noVNC的控制终端才有安全意义。
赞0
踩0