TigerVNC 查看器：没有匹配的安全类型

Question

我正在尝试从三星 Chromebook（ARM Arch Linux）远程控制 Raspberry Pi（Raspbian Jessie）的桌面。

在 Pi 上运行的 VNC 服务器是 RealVNC。

Chromebook 上的 VNC 查看器是 TigerVNC

当我尝试连接到服务器时出现以下错误：

$ vncviewer

TigerVNC Viewer 32-bit v1.7.1
Built on: 2017-01-23 06:48
Copyright (C) 1999-2016 TigerVNC Team and many others (see README.txt)
See http://www.tigervnc.org for information on TigerVNC.

Sat Apr  1 17:25:49 2017
 DecodeManager: Detected 4 CPU core(s)
 DecodeManager: Creating 4 decoder thread(s)
 CConn:       conectado a puerto 192.168.1.200 de origen 5900
 CConnection: Server supports RFB protocol version 5.0
 CConnection: Using RFB protocol version 3.8
 CConnection: No matching security types
 CConn:       No matching security types

据我阅读手册页了解vncviewer，默认情况下尝试每个支持的方案：

   -SecurityTypes sec-types
          Specify  which security schemes to attempt to use when authenti?
          cating with the server.  Valid values are a comma separated list
          of  None,  VncAuth,  Plain, TLSNone, TLSVnc, TLSPlain, X509None,
          X509Vnc and X509Plain. Default is  to  attempt  every  supported
          scheme.

RealVNC 是否使用了一些 TigerVNC 不支持的加密方案？

Answer 1

使用 RealVNC

正如用户rodrunner 在评论中建议的那样，获得VNC 连接的一种方法是使用RealVNC 的vncviewer.

确保在继续之前卸载 TigerVNC 或任何其他 VNC 实现。

RealVNC 查看器的软件包目前在 AUR 中，您可以通过aura以下方式安装它：

sudo aura -A realvnc-vnc-viewer

假设你的 Raspberry Pi 的主机名是默认的，连接到它

vncviewer raspberrypi

系统会提示您输入 Raspberry Pi 的登录凭据：

按OK，您应该已连接：

警告

在他们的公司博客上，RealVNC 于 2019 年 5 月 28 日发表了一篇题为“基于开源 VNC 的软件的危险”的文章。文章声称专有软件在安全性、支持、法规遵从性和用户友好性方面优于开源软件。

结合 TigerVNC 与其他 VNC 实现的不兼容性，这似乎是对供应商锁定的尝试，让我避开 TigerVNC。

该博客文章曾经位于https://discover.realvnc.com/blog/the-dangers-of-open-source-vnc-based-software，此后已被删除，但仍然可以通过此 Wayback Machine 条目访问 2020 年 9 月 3 日的版本。

这是完整的博客文章：

基于 VNC 的开源软件的危险

作者：伊登杰福德 | 2019 年 5 月 28 日

每个人都喜欢免费赠品，从商场的巧克力样品到促销压力球，但这总是一个好主意吗？说到糖果和杂物，我们不会阻止你，除非你是用面包车从陌生人那里拿走它们，但对于软件来说，风险可能比你想象的要大。

虽然“糖果车上的陌生人”场景存在相当明显的风险，但使用没有价格标签的开源程序在纸面上看起来危险性要小得多。它可以完成您需要的工作，不会超出您的预算，而且它得到了非常欣赏其最吸引人的功能的人们的热烈评价：不花一分钱 – 会出现什么问题？我们汇总了一些基于 VNC 的开源软件可以成为披着羊皮的狼的充分理由。漏洞利用的宣传

开源的核心意味着程序背后的所有代码对互联网上的任何人都是可见的。当出现错误时，这可以很好地发挥作用——对代码充满热情的目光意味着可以更快地发现潜在问题，因此可以更快地修补——但它也可能对使用该程序的人构成非常真实的安全风险。虽然社区中的大多数用户将纯粹专注于改进软件，但有些用户将检查代码以寻找利用和入侵任何漏洞的方法。

尤其是对于远程访问软件，一次精心布置的黑客攻击可能是毁灭性的，并将整个网络暴露给黑客，而无需他们亲自靠近您的计算机。但是，对于封闭源（也称为专有）软件，源代码不会在拥有它的权利的组织之外发布。

这使得它远没有开源那么脆弱，因为不是任何人都可以检查代码，因此更难破解。把它想象成试图在黑暗中完成一个 10,000 块的拼图——这在技术上仍然是可行的，但如果灯亮着，它会容易得多！

缺乏支持

虽然拥有广泛技能和专业知识的社区非常适合为您遇到的问题找到解决方案，但它也有其缺点。开源软件支持论坛上的每个用户都是志愿者。他们没有义务回答查询，甚至首先检查新问题。

这意味着您完全依赖互联网的善意来提供支持，并且当使用该软件对您的业务至关重要时，这不仅意味着时间的损失，还意味着收入的损失。

使用专有软件，您可以接听电话、发送电子邮件或使用实时聊天，因为您知道一位敬业且训练有素的人员会尽快回复您，并尽其所能提供帮助：事实上，帮助你解决一个问题实际上是他们的工作。此外，客户服务代理应对他们提供的建议负责——在论坛上，匿名用户可以很容易地提供故意错误或有害的“建议”，而不会产生任何后果。

赔款

不幸的是，数据泄露是一种永远存在的风险，而且似乎每隔一天就会有新的新闻出现。特别是最近的数据保护法，例如针对在欧洲开展业务的 GDPR，此类泄漏的影响也可能是灾难性的。

由于开源软件不归任何人所有，并且是在通用公共许可证 (GPL) 下提供的，因此没有一家公司可以保证其安全性（或缺乏安全性）。如果通过该软件发生数据泄露，则完全由用户负责，也就是您或您的企业。您将对泄漏造成的任何法律或财务影响负责，其后果可能相当大，具体取决于泄露的规模和所暴露数据的敏感性。

即使您的公司拥有专业的赔偿保险，如果您使用的软件不安全且不符合您所在行业的数据保护法规，您的保险也可能因故意疏忽而失效。更不用说声誉受损了。

遵守行业治理

许多行业都非常关注合规性，许多行业都有非常具体的要求，以满足必要的标准，无论是 HIPAA、PCI-DSS、GDPR 还是任何其他监管法律。随着记录现在几乎完全数字化，软件遵守行业治理比以往任何时候都更加重要，而且并非所有软件都符合要求。

任何人都可以添加开源软件，无需进行彻底的测试或审查，并且默认不符合法规。这不仅会因需要自定义代码（熟练的编码人员不便宜！）而否定使用免费软件的节省，而且还会因缺乏更新而使您容易受到攻击。

例如，基于开源 VNC 的软件运行在 RFB（远程帧缓冲）协议的最后一个公开可用版本 - v3.8 上，该版本于 2010 年发布：从长远来看，RFB 的当前版本是 v6，并于 2019 年初发布。

在过去十年中，技术以闪电般的速度发展，定期更新对于保持软件安全至关重要。在安全方面，使用任何软件的高度过时版本都可能是危险的，并且不遵守标准的罚款可能相当可观。当你真的不需要的时候，你能承担得起这个风险吗？

安全性低

暴力密码攻击仍然是黑客访问您的帐户和数据的最简单方法，因为许多人使用简单的密码，自动程序可以非常快速地破解这些密码，尤其是在互联网上流传着如此多的破解密码。

使用更长、更复杂的密码以及多重身份验证 (2FA/MFA) 是对抗此漏洞的最佳方法，但对于基于开源 VNC 的软件，密码的硬性限制为 8 个字符，并且没有原生的 2FA /外交部。基于开源 VNC 的软件不加密任何会话数据，但在专有软件上，所有会话现在都经过 128/256 位 AES 加密。这又是由于前面提到的过时版本的 RFB 协议，并且可能是此列表中基于开源 VNC 的软件中最危险的部分。

使用专有的远程访问软件，安全工具被内置并定期更新，因为安全是远程访问行业中最大的问题。高级加密、复杂密码功能、2FA/MFA 和丰富的会话权限现在作为标准内置于许多付费远程访问服务中，让您和您的公司高枕无忧，这是开源无法获得的。

用户不友好

开源项目主要是在只考虑开发人员的情况下构建和更新的，因此不太懂技术的人的可用性会受到很大影响。从笨拙和混乱的用户界面，到复杂的安装和设置，它们都不是为外行设计的。

这不仅会导致用户体验不佳，还会导致其他漏洞。使用令人费解的用户界面，没有经验的用户很容易最终让未经授权的人访问，陷入奇怪的故障，并打开通往黑社会的门户，所有这些都在一个会话中完成。

睁开你的眼睛，而不是你的来源！

考虑总拥有成本 (TCO) 而不是前期成本——虽然免费很有吸引力，但从长远来看，它很容易最终比付费服务花费更多。您的业​​务值得投资，而免费软件不值得承担可能的风险。

作者：伊登杰福德

Answer 2

假设您使用的平台不支持 RealVNC（我的情况是 arm64 Arch），我找到了以下解决方案。

1. 以 root 身份编辑 /root/.vnc/config.d/vncserver-x11 中的配置文件
2. 在文件底部插入以下内容

Authentication=VncAuth
Encryption=AlwaysOff
Password=e0fd0472492935da

3. 重新启动 RealVNC sudo systemctl restart vncserver-virtuald.service（或只是重新启动）
4. 更改密码（显然是 foobar 但永远不要为已发布的内容留下密码。）

sudo vncpasswd -service

您现在可以使用另一个 VNC 客户端来访问您的 RealVNC 服务器。您将收到连接不安全的警告，据我所知，这是访问成本；但是，在我的局域网内，它可能没问题。