VNC

Siehe auch

VNC benötigt firewallseitig „Port-Nummer 5900/tcp plus Display-Nummer“. Um also Display 3 erreichen zu können, muss der Port 5903/tcp freigegeben werden. Wer in firewalld den Service-Name vnc-server verwendet, gibt automatisch die Ports 5900 bis 5903 frei.

VNC ist ein Klartext-Protokoll, kommt also ohne Sicherheitsmerkmale daher. Um die Kommunikation abzusichern und zu verschlüsseln, wird zum Verbindungsaufbau die -via-Option angegeben, damit der Netzwerkverkehr über SSH getunnelt wird.

VNC wird pro Benutzer und Display-Nummer konfiguriert (RedHat empfiehlt, als erste User-Display-Nummer die :2 zu verwenden).

Ab RHEL 7 werden Konfigurationsangaben in /etc/systemd/system/vncserver@.service gepflegt.

VNC-Server

TigerVNC

TigerVNC erlaubt Desktop Sharing sowie die Fernsteuerung eines Computers, ähnlich wie Anydesk, TeamViewer oder RDP. Ein vncviewer verbindet sich dabei zum vncserver und steuert diesen. Der vncserver-Desktop läuft unter Xvnc und erlaubt separate, parallele Benutzer-Sessions. In der Standard-Konfiguration wird nicht der bestehende Bildschirm geteilt, sondern eine neue VNC-Session.

Installation:

dnf -y install tigervnc-server

Quelle für RHEL9 | Quelle für RHEL8

Konfiguration der Benutzer. Diese werden im File /etc/tigervnc/vncserver.users verwaltet. Im Beispiel für „linus“:

/etc/tigervnc/vncserver.users
:2=linus

Der Benutzer „linus“ benötigt noch ein Passwort für den VNC-Service, welche unter keinen Umständen mit seinem Benutzerpasswort übereinstimmen sollte. Das Passwort wird durch die VNC-Tools im Klartext auf der Server-Maschine abgelegt.

su - linus
vncpasswd
*Password:*
*Verify:*

Weitere Einstellungen können in folgenden Files (mit absteigender Priorität) gemacht werden:

  • /etc/tigervnc/vncserver-config-mandatory

  • $HOME/.config/tigervnc/config (TigerVNC-Version >= 1.14) bzw. $HOME/.vnc/config (TigerVNC-Version niedriger < 1.14)

  • /etc/tigervnc/vncserver-config-defaults

So passt man beispielsweise die Auflösung eines Benutzers an:

$HOME/.config/tigervnc/config
geometry=1280x1024

Start des VNC-Servers wieder als root beispielsweise auf Display 2 (Port 5902/tcp auf der Firewall öffnen):

systemctl enable --now vncserver@:2

Die Systemd-Unit anpassen, damit die jeweilige VNC-Session nach einem Logout des Users neu startet:

/usr/lib/systemd/system/vncserver@.service
[Service]
Restart=on-success
RestartSec=10

systemctl daemon-reload

Falls aus Sicherheitsgründen nur Verbindungen über SSH-Tunneling erlaubt werden sollen, unterbindet man den Zugriff auf die VNC-Ports (5900-59xx) und fügt die SSH-Keys des Benutzers hinzu.

Zur Authentifizierung via PAM (zum Beispiel für LDAP; Quelle) zunächst sicherstellen, dass ein vnc PAM existiert:

test -f /etc/pam.d/vnc || ln -s login /etc/pam.d/vnc

Folgende Zeilen zur jeweiligen VNC-Konfiguration der Benutzer hinzufügen:

$HOME/.vnc/config
SecurityTypes=TLSPlain
PlainUsers=linus

x11vnc

yum -y install x11vnc
x11vnc -ncache 10 -display :0 -geometry 1024x768 -rfbauth /home/user/.vnc/passwd

VNC-Viewer

TigerVNC

vncviewer lässt sich sowhl per GUI als auch von der Kommandozeile aus verwenden.

Installation:

dnf -y install tigervnc

Zu einem VNC-Server auf Display 3 verbinden:

vncviewer $VNCSERVER:3

Wie oben, aber über einen SSH-Tunnel verbinden (Auf- und Abbau des SSH-Tunnels passiert automatisch):

vncviewer -via $USER@$VNCSERVER:3

Built on 2026-03-13