noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29455
Wohnort: WW
|
Hallo,
Man könnte dem Artikel aber auch den Status Baustelle nehmen und in die normale Wiki stellen ...
Nee, der Test ist nun mal hier im Ubuntu-Wiki obligatorisch. Also so lange sich niemand findet, der sagt, er hat das unter Ubuntu bzw. einem der offiziellen Derivate getestet, kann der Artikel leider nicht aus der Baustelle raus. Gruß, noisefloor
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
noisefloor schrieb: Hallo,
Man könnte dem Artikel aber auch den Status Baustelle nehmen und in die normale Wiki stellen ...
Nee, der Test ist nun mal hier im Ubuntu-Wiki obligatorisch. Also so lange sich niemand findet, der sagt, er hat das unter Ubuntu bzw. einem der offiziellen Derivate getestet, kann der Artikel leider nicht aus der Baustelle raus. Gruß, noisefloor
Für Artikel die Monate in der Baustelle hängen solltet ihr mal darüber nachdenken, diese Regeln mal zu überarbeiten und Ausnahmeregeln schaffen.
Denn so wie es jetzt ist, ist niemandem damit geholfen. Jemand der einen Artikel zu einem Thema, wo es nur in der Baustelle Artikel gibt, sucht, wird in der Wiki nichts umfangreiches finden. Und die Baustelle guckt nur ein winziger Nutzerkreis, die meisten werden diese Artikel also nicht finden.
Damit ist weder denen, die Hilfe suchen, noch denen, die die Artikel erstellen, geholfen. Eine Hinweisbaustein, wie in meinem letzten Posting erwähnt, würde wesentlich schneller dazu führen, dass die Artikel auch tatsächlich getestet werden. Und die Nutzer, die diese nutzen, wären informiert, dass sie sich auf einen Artikel einlassen, bei dem sich noch niemand gefunden hat, der ihn unter Ubuntu testet.
Und da so eine Regel nur für solche Artikel gelten würde, die schon Monate in der Baustelle hängen, würde sich für 99 % der Nutzer des Wikis nichts ändern. Denn offenbar ist die Nachfrage nach diesen Artikeln gering genug, so dass es den meisten Wiki Nutzern nicht einmal auffallen wird.
Die Qualität der Wiki leidet so somit nicht. Ich denke ich werden meinen Artikel in der Debian Wiki nochmal platzieren, sobald ich dazu komme.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Hallo, da ich bei mir im Moment (heißt in diesem Jahr) ein vollständiges Auditing meiner SSH- und VNC-Prozesse mache, kann ich den Artikel testen. Das passiert aber nicht gleich morgen, sondern irgendwann innerhalb der nächsten ca. vier Wochen. Ich habe den Artikel aber schon ein mal überflogen und es stellen sich mir dabei folgende Fragen bzw. habe folgende Anmerkungen:
Anschließend legt man für den jeweiligen Benutzer, für den man eine VNC Verbindung ermöglichen wollen, ein VNC Passwort an. user ist hierbei mit dem Benutzernamen des Benutzers zu ersetzen:
su - user -c tigervncpasswd
Anschließend gibt man, nachdem man sich als Superuser authentifiziert hat, ein selbstgewähltes Passwort ein und schließt die Konfiguration mit Enter ab.
Ich muss mich doch bei su user als user authentifizieren und nicht als Superuser?! Und zum Client-Abschnitt "Vorbereitungen": Warum muss ich die Passwortdatei vom Server auf den Client kopieren? Ist das wirklich so von TigerVNC empfohlene Praxis? Falls das so zwingend notwendig sein sollte, sollte man dann nicht wenigstens die Zugriffsrechte per chmod einschränken? Der Abschnitt ist für mich nicht ganz verständlich: Warum brauche ich bei der Nutzung eines SSH-Tunnels die VNC-Passwort-Datei auf dem Client? Der SSH-Tunnel hat doch zunächst mal nichts mit dem VNC-Passwort zu tun. Ich finde die Abhandlung von Client und Server in dem Fall durchaus auch sinnvoll, allerdings kann man sich dennoch an die Wiki-Formalien halten, d.h. Client- und Serverinstallation beides wie üblich an den Anfang des Artikels und das mit dem Anmelden per SSH am Server zwecks Installation heraus nehmen. Bleibt doch jedem selbst überlassen, ob er das über SSH oder bei Möglichkeit direkt am Server oder wie auch immer abhandelt. Vielen Dank! LG,
Newubunti
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29455
Wohnort: WW
|
Hallo,
Eine Hinweisbaustein, wie in meinem letzten Posting erwähnt, würde wesentlich schneller dazu führen, dass die Artikel auch tatsächlich getestet werden.
Aus Erfahrung würde ich sagen: nein, bringt genau so wenig. Es gibt im Wiki schon seeeeehr lange die "ungetestet" Markierung (wobei dein Artikel formell die Bedingungen nicht erfüllt, aber das ist jetzt mal sekundär). Die Markierung ist für jeden sichtbar. Die Wahrscheinlichkeit, dass der Artikel deswegen getestet wird, geht asymptotisch gegen Null. Das zieht nur, wenn wir gezielte Aktion für Überarbeitungsaktionen starten. Übrigens ist der Artikel mehrfach im Ubuntu Wochenrückblick als "Tester gesucht" erwähnt worden - hat offensichtlich auch keinen interessiert. Der Artikel ist ohne Frage umfangreich und sieht gut aus - nur scheint das halt ein Thema zu sein, was so wenig Nutzer interessiert, dass sich niemand dem Artikel annehmen will. Ist zwar sehr schade, andererseits schon hundertfach vorher bei anderen Artikel passiert. Warum installierst du eigentlich nicht zwei *buntus in zwei VMs und testest das ganz fix selber? Gruß, noisefloor
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
Newubunti schrieb: Hallo, da ich bei mir im Moment (heißt in diesem Jahr) ein vollständiges Auditing meiner SSH- und VNC-Prozesse mache, kann ich den Artikel testen. Das passiert aber nicht gleich morgen, sondern irgendwann innerhalb der nächsten ca. vier Wochen.
Das klingt schonmal gut.
Anschließend legt man für den jeweiligen Benutzer, für den man eine VNC Verbindung ermöglichen wollen, ein VNC Passwort an. user ist hierbei mit dem Benutzernamen des Benutzers zu ersetzen:
su - user -c tigervncpasswd
Anschließend gibt man, nachdem man sich als Superuser authentifiziert hat, ein selbstgewähltes Passwort ein und schließt die Konfiguration mit Enter ab.
Ich muss mich doch bei su user als user authentifizieren und nicht als Superuser?!
Ja, du hast recht. Das ist ein Fehler von mir. Ich habe das gestern noch eingebaut, um klar zu machen, dass man quasi als entsprechender Nutzer zuerst nach dem Loginpasswort gefragt wird und erst dann die Abfrage von tigervncpasswd für das Setzen des VNC Passwortes kommt.
Man wird also dreimal nach einem Passwort gefragt, ohne dass dabei deutlich wird, wann das eigentliche Setzen des PW beginnt.
Da steht also dreimal folgende Ausgabe:
Passwort:
Password:
Password: Ein Nutzer könnte also verwirrt werden, erst sein Loginpassword einzugeben und dann das normale Loginpassword noch einmal einzugeben.
Das Loginpassword und das VNC Passwort sollte aber unterschiedlich sein.
Oder er könnte dadurch verwirrt werden und meinen, dass er zweimal das neue PW eingibt und dann wird er nochmal ein drittes mal gefragt und fragt sich warum.
Deswegen habe ich im Artikel gestern noch erwähnt, dass die erste Abfrage lediglich eine Authentifizierung ist und man erst dann zweimal nach einem neuen PW für tigervnc gefragt wird. Auf einem Rechner mit nicht englischer Sprache ist der Unterschied lediglich an der unterschiedlichen Schreibweise zu erkennen, dass es sich bei der ersten Abfrage lediglich um ein normales Login handelt. Du hast also recht, dass hierfür das normal Nutzerpasswort gefragt wird.
Daran habe ich nicht mehr Gedacht, da der Nutzer pi auf dem Raspberry Pi ein sudo Nutzer mit entsprechenden sudo root Rechten ist. Daher kam der Gedanke an den Superuser. Ich werde es korrigieren. Danke für den Hinweis. Und zum Client-Abschnitt "Vorbereitungen": Warum muss ich die Passwortdatei vom Server auf den Client kopieren? Ist das wirklich so von TigerVNC empfohlene Praxis? Falls das so zwingend notwendig sein sollte, sollte man dann nicht wenigstens die Zugriffsrechte per chmod einschränken?
Weil tigervnc selber mit einer Verschlüsselung arbeitet und das quasi meines Wissens nach so ne Art symmetrischer Schlüssel ist, der auf beiden Rechnern identisch sein muss.
Wenn das auf einer Seite fehlt, dann scheitert der Verbindungsaufbau jedenfalls. Die Zugriffsrechte werden beim Erstellen der passwd Datei richtig gesetzt und sftp scheint sie so auch zu übernehmen.
D.h. bei mir ist das auf der Clientmasachine auch -rw-––– ohne dass ich da etwas ändern musste. Der Eigentümer und der Gruppenname scheint sich automatisch auf den Nutzer, von dem aus die sftp Verbindung gestartet wurde, zu ändern.
Der Gruppenname dürfte wohl der sein, der sonst auch genommen wird, wenn neue Dateien angelegt werden. Zumindest habe ich das gerade mal versucht, in dem ich auf dem Raspi eine Textdatei erzeugt habe, ihr die gleichen Rechte gab und dann die Gruppe auf 1001 geändert habe.
Nach dem kopieren via sftp von meinem Clientrechner aus, hatte die Datei auf dem Clientrechner dann den Eigentümer meines Nutzeraccounts auf dem Clientrechner und auch den Gruppennamen, der bei neuen Dateien von diesem sonst auch eingestellt wird. Das scheint also kein Problem zu sein. Der Abschnitt ist für mich nicht ganz verständlich: Warum brauche ich bei der Nutzung eines SSH-Tunnels die VNC-Passwort-Datei auf dem Client?
So weit ich mich daran erinnern kann, weil tigervnc das verlangt.
Und es auch nicht schadet. Denn wenn der Nutzer vergisst, in den globalen Einstellungen die localhost Option zu setzen, dann wäre der VNC Server von außen erreichbar und dann ist es gut, wenn ein PW gesetzt ist. Ansonsten würde nämlich jeder auf die Maschine per VNC kommen.
Der SSH-Tunnel hat doch zunächst mal nichts mit dem VNC-Passwort zu tun.
So ist es. Ich finde die Abhandlung von Client und Server in dem Fall durchaus auch sinnvoll, allerdings kann man sich dennoch an die Wiki-Formalien halten, d.h.
Dass es dafür Wiki-Formalien gibt, war mir nicht bekannt.
Ich finde es aber wichtig, dass man Client und Server trennt, weil man sich dann auf eine Maschine konzentrieren kann ohne ständig hin und her wechseln zu müssen, was dann wiederum auch extra Text bedeuten würde, weil man dann noch erklären müsste, auf welchem Rechner man das jetzt machen soll. Client- und Serverinstallation beides wie üblich an den Anfang des Artikels und das mit dem Anmelden per SSH am Server zwecks Installation heraus nehmen. Bleibt doch jedem selbst überlassen, ob er das über SSH oder bei Möglichkeit direkt am Server oder wie auch immer abhandelt.
Nein! Ich habe den Artikel extra so geschrieben, dass hier SSH für eine sichere VNC Verbindung verwendet wird und alle unsinnigen Nebenkonfigurationen erst gar nicht thematisiert werden.
Den Mischmasch, wo der Nutzer dann völlig durcheinander kommt und dann seine Konfiguration in eine unsichere VNC Verbindung endet, weil er nicht mitdenkt, wollte ich explizit nicht.
Wer das will, der kann bei x11vnc bleiben, das hat AFAIK keine Verschlüsselung und es gibt dazu auch viel mehr Artikel im Netz.
So wie der Artikel jetzt ist, endet der Nutzer IMMER in eine SICHERE VNC Verbindung, wenn er den Anweisungen klar folgt und genau so sollte es sein.
Unsichere VNC Verbindungen braucht heute kein Mensch mehr und diejenigen, die das brauchen, z.b. weil sie dafür ein abgesicherten vlan aufgesetzt haben, wissen ohnehin was sie tun. tigervnc habe ich gezielt wegen einer sicheren Verbindung ausgewählt und die sollte auch im lokalen LAN verschlüsselt sein, weil alles andere ein veraltetes Sicherheitskonzept wäre.
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
noisefloor schrieb: Aus Erfahrung würde ich sagen: nein, bringt genau so wenig. Es gibt im Wiki schon seeeeehr lange die "ungetestet" Markierung (wobei dein Artikel formell die Bedingungen nicht erfüllt, aber das ist jetzt mal sekundär). Die Markierung ist für jeden sichtbar. Die Wahrscheinlichkeit, dass der Artikel deswegen getestet wird, geht asymptotisch gegen Null.
Gut, dann gibt's halt mehr reine Nutzer als Leute, die sich an einer Wiki beteiligen wollen. Aber ihr bekommt dann doch sicher Feedback und Rückfragen auf den Diskussionsseiten, wenn die Leute eine Frage haben und daran sieht man dann, dass der Artikel benutzt wird und der ein oder andere wird wahrscheinlich sogar eine Verbesserung vornehmen, ohne das diese "ungetestet" Markierung jemals angerührt wird.
Das zieht nur, wenn wir gezielte Aktion für Überarbeitungsaktionen starten. Übrigens ist der Artikel mehrfach im Ubuntu Wochenrückblick als "Tester gesucht" erwähnt worden - hat offensichtlich auch keinen interessiert.
Der Artikel ist ohne Frage umfangreich und sieht gut aus - nur scheint das halt ein Thema zu sein, was so wenig Nutzer interessiert, dass sich niemand dem Artikel annehmen will. Ist zwar sehr schade, andererseits schon hundertfach vorher bei anderen Artikel passiert.
Ja, VNC ist für sich schon sehr speziell.
Warum installierst du eigentlich nicht zwei *buntus in zwei VMs und testest das ganz fix selber?
Weil ich meine SSD nicht wegen so einem Test mit 2 mal 1 bis n GB vollschreiben will und aus meiner Sicht Ubuntu sich nicht ausreichend von Debian unterscheidet um so nen extra Test zu rechtfertigen. Ich gehe nämlich davon aus, dass der Artikel, so wie er jetzt ist, unter einem modernen Ubuntu out of the box funktioniert.
Eben weil Ubuntu zum größten Teil aus Debian SID Paketen eines bestimmten Zeitpunkts besteht und Canonical nicht dafür bekannt ist, große Änderungen unter der Haube durchzuführen. Letzteres gilt vor allem, seitdem auch Canonical auf SystemD als Initsystem umgestiegen ist.
Früher mit upstart hätte es da vielleicht noch größere Unterschiede gegeben. Und Rasbian unterscheidet sich auch nicht groß von Debian. Im Prinzip besteht es aus Firmware und proprietären Treiber Zusätzen, damit die Raspi Hardware zuverlässig läuft und noch ein paar zusätzlichen Einsteiger- und auf die Raspi HW zugeschnittene Konfigurationsprogrammen im Userspace. Und es ist ja auch euer Wunsch, dass das unter Ubuntu getestet wird. Wenn es nach mir ginge, wäre der Artikel pragmatisch schon längst in der normalen Wiki so wie er ist. Wenn ich hier noch einen Rechner mit Ubuntu stehen hätte, dann würde ich das ja machen, aber ich habe die inzwischen seit spätestens dem Release von Buster 10 alle auf Debian umgerüstet. Lediglich zu Zeiten von Debian 9 (Stretch) hatte ich noch ein paar (K)Ubuntu Rechner im Einsatz, aber das ist jetzt auch schon wieder mindestens 2-3 Jahre her.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Cordess schrieb: Nein! Ich habe den Artikel extra so geschrieben, dass hier SSH für eine sichere VNC Verbindung verwendet wird und alle unsinnigen Nebenkonfigurationen erst gar nicht thematisiert werden.
Da hast Du mich missverstanden. Ich meinte nicht, dass man VNC auch ohne SSH nutzen kann, sondern ich meinte, dass man sich nicht zwangsweise per SSH auf dem "Server" anmelden muss, wenn man dort SSH und VNC-Server installiert/konfiguriert. "Server" kann ja auch ein Ubuntu-Desktop sein, auf den ich direkten Zugriff habe. Dann kann ich Installation und Konfiguration auch direkt an dem Rechner machen und muss das nicht zwangsläufig per SSH von einem anderen Rechner aus machen. "Mischmasch" wäre hier nur am Anfang des Artikels: Installation
Den Rest kannst Du ja dann genau vollständig nach Server und Client so getrennt lassen, wie Du es jetzt hast. Aber dazu müssten sich die Wiki-Mods auch noch mal äußern, die wissen das viel besser als ich. Zum Thema VNC-Passwort-Datei kopieren:
Wenn Du weißt warum man das macht, dann schreib einfach noch ein zwei Sätze in den Text. Muss kein Roman sein aber bei sicherheitsrelevanten Dingen muss man IMO auch immer wenigsten kurz erklären aus welchem Grund man was macht. Danke! LG,
Newubunti
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
Newubunti schrieb: Cordess schrieb: Nein! Ich habe den Artikel extra so geschrieben, dass hier SSH für eine sichere VNC Verbindung verwendet wird und alle unsinnigen Nebenkonfigurationen erst gar nicht thematisiert werden.
Da hast Du mich missverstanden. Ich meinte nicht, dass man VNC auch ohne SSH nutzen kann, sondern ich meinte, dass man sich nicht zwangsweise per SSH auf dem "Server" anmelden muss, wenn man dort SSH und VNC-Server installiert/konfiguriert. "Server" kann ja auch ein Ubuntu-Desktop sein, auf den ich direkten Zugriff habe. Dann kann ich Installation und Konfiguration auch direkt an dem Rechner machen und muss das nicht zwangsläufig per SSH von einem anderen Rechner aus machen.
Ach so, ja, da habe ich dich dann missverstanden. Da hast du dann natürlich recht.
Ich habe den Artikel praktisch für die remote Konfiguration geschrieben, weil ich davon ausgehe, dass man das ja eh vom Clientrechner aus die VNC Verbindung aus testen möchte und im Prinzip auch muss. Da macht das per Remote schon Sinn weil es einem das ständige Wechseln zwischen den Rechnern erspart. Du kannst aber natürlich die Serverkonfiguration auch alles lokal direkt am Rechner vornehmen und musst dich dann logischerweise nicht per ssh einloggen. Empfehlen würde ich dir das aber dennoch per Remoteverbindung, da du so direkt alles vom Clientrechner aus einrichten und auch gleich testen kannst. EDIT:
Außerdem kann es Probleme wegen der Desktopsitzung geben, wenn du lokal auf dem Server eingeloggt bist.
Siehe den Sessionabschnitt, den ich vorhin noch zum Artikel hinzugefügt habe.
Das allein ist schon ein Grund, den Artikel so wie er ist, für die Remotkonfiguration zu belassen. Das ist dann nämlich eine Fehlerquelle weniger.
"Mischmasch" wäre hier nur am Anfang des Artikels: Installation
Den Rest kannst Du ja dann genau vollständig nach Server und Client so getrennt lassen, wie Du es jetzt hast. Aber dazu müssten sich die Wiki-Mods auch noch mal äußern, die wissen das viel besser als ich.
Hm, also ob man jetzt am Anfang des Artikels unbedingt angeben muss, welches Paket auf welchem Rechner installiert wird?
Ich halte es für sinnvoller es der Reihe nach zu machen, so wie es momentan ist.
Zuerst das Einrichten des Servers, dann der Client.
Zum Thema VNC-Passwort-Datei kopieren:
Wenn Du weißt warum man das macht, dann schreib einfach noch ein zwei Sätze in den Text. Muss kein Roman sein aber bei sicherheitsrelevanten Dingen muss man IMO auch immer wenigsten kurz erklären aus welchem Grund man was macht.
Also, ich habe es jetzt durch umbenennen noch einmal ausprobiert.
Wenn man auf dem Client keine passwd Datei hat, z.B. weil sie fehlt oder umbenannt wurde,
dann erscheint beim Verbindungsaufbau zum VNC Server auf dem Clientrechner ein Popupfenster mit dem Hinweis "Öffnen der Passwortdatei fehlgeschlagen.".
Das gleiche passiert, wenn auch auf dem Server die passwd Datei fehlt und die Datei auf keinem Rechner vorhanden ist.
Sie muss also auf beiden Rechnern für den etwaigen Nutzer vorhanden und das Passwort somit gesetzt sein.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Cordess schrieb: Also, ich habe es jetzt durch umbenennen noch einmal ausprobiert.
Wenn man auf dem Client keine passwd Datei hat, z.B. weil sie fehlt oder umbenannt wurde,
dann erscheint beim Verbindungsaufbau zum VNC Server auf dem Clientrechner ein Popupfenster mit dem Hinweis "Öffnen der Passwortdatei fehlgeschlagen.".
Das gleiche passiert, wenn auch auf dem Server die passwd Datei fehlt und die Datei auf keinem Rechner vorhanden ist.
Sie muss also auf beiden Rechnern für den etwaigen Nutzer vorhanden und das Passwort somit gesetzt sein.
Und was passiert, wenn Du Dein Aufruf von ssh -fL 6001:localhost:5901 USERSERVER@HOSTNAME sleep 10; xtigervncviewer -SecurityTypes VncAuth -passwd /home/USERCLIENT/.vnc/passwd localhost:6001 änderst in ssh -fL 6001:localhost:5901 USERSERVER@HOSTNAME sleep 10; xtigervncviewer -SecurityTypes VncAuth localhost:6001 ? Weil ich habe eben mal kurz in man tigervncpasswd geschaut und dort steht:
...xtigervncviewer can also be given a password file to use via the -passwd option...
Könnte das nicht auch bedeuten, dass man damit den Aufruf des Client schützt, das aber nichts mit der Authentifizierung am Server zu tun hat? LG,
Newubunti
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
noisefloor schrieb: Hallo,
Eine Hinweisbaustein, wie in meinem letzten Posting erwähnt, würde wesentlich schneller dazu führen, dass die Artikel auch tatsächlich getestet werden.
Aus Erfahrung würde ich sagen: nein, bringt genau so wenig. ...
Wie wäre es, wenn man im Wiki des Artikels VNC (Abschnitt „TigerVNC“) , wo TigerVNC kurz erwähnt wird, auf den Baustelle/TigerVNC Artikel verweist?
Das wäre ja ein durchaus brauchbarer Kompromiss. Dann wäre der Baustellenartikel nicht im normalen Wiki, aber immer noch für die Leute, die sich für VNC interessieren gut erreichbar. Und wenn das nicht wie ein Wiki-Link aussehen soll, wäre auch eine Trennung möglich, in dem man den Verweis einfach als normalen Externen Link https://wiki.ubuntuusers.de/Baustelle/TigerVNC/ angibt.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Cordess schrieb: Wie wäre es, wenn man im Wiki des Artikels VNC (Abschnitt „TigerVNC“) , wo TigerVNC kurz erwähnt wird, auf den Baustelle/TigerVNC Artikel verweist?
Wenn Du Dich einfach noch ein bisschen gedulden kannst - wie gesagt ich werde Deinen Artikel testen - dann bin ich mir ziemlich sicher, dass wir den soweit hinbekommen, dass er dann auch "offiziell" ins Wiki kann. LG,
Newubunti
|
Cordess
(Themenstarter)
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
Newubunti schrieb: Cordess schrieb: Wie wäre es, wenn man im Wiki des Artikels VNC (Abschnitt „TigerVNC“) , wo TigerVNC kurz erwähnt wird, auf den Baustelle/TigerVNC Artikel verweist?
Wenn Du Dich einfach noch ein bisschen gedulden kannst - wie gesagt ich werde Deinen Artikel testen - dann bin ich mir ziemlich sicher, dass wir den soweit hinbekommen, dass er dann auch "offiziell" ins Wiki kann. LG,
Newubunti
Okay. War ja nur ein Vorschlag für die Zwischenzeit.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29455
Wohnort: WW
|
Hallo, @Cordess: es ist dir wahrscheinlich nicht bewusst, aber der Artikel bekommt schon eine extra Behandlung. Wenn ein Artikel länger als ~6 Monate in der Baustelle fertig aber ungetestet ist, wird er normalerweise gelöscht, weil scheinbar bis offensichtlich kein ausreichend großes Interesse der Community an dem Thema besteht. Ist immer Schade, ist aber halt so. Um es mal auf den Punkt zu bringen: mehr Sonderbehandlung wird es definitiv nicht geben. In so fern ist das Testangebot von Newubunti schon die allerbeste Option, die zur Zeit am Horizont ist. Gruß, noisefloor
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Newubunti schrieb: Könnte das nicht auch bedeuten, dass man damit den Aufruf des Client schützt, das aber nichts mit der Authentifizierung am Server zu tun hat?
Nein, das bedeutet es nicht in man steht:
If you are on a filesystem which gives you access to the password file used by the server, you can specify it here to avoid typing it in.
Das würde ich kurz auch bitte in den Text aufnehmen. Dann kann man sich die Warnung bezüglich "Öffnen der Passwortdatei fehlgeschlagen." auch sparen, wobei die aber IMO ohnehin nicht käme, wenn man bei Verzicht der Passwortdatei auf dem Client beim Aufruf die Option -passwd weglassen würde. Man müsste dann halt neben dem SSH-Passwort bzw. der Passphrase noch zusätzlich das VNC-Passwort eingeben. Mir kommt es im wesentlichen bei der Darstellung darauf an, dass nicht der Eindruck entsteht, man müsse zwingend die Passwortdatei vom Server auf den Client kopieren, um diese Konstellation zum Laufen zu bringen. So wirkt es im Moment nämlich. LG,
Newubunti
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
So ich habe jetzt mal angefangen zu testen. Testsysteme sind zwei virtualisierte Standard-Ubuntu-Desktops 20.04.3 - also direkt nach der Standard-Installation alle Updates eingespielt und dann die Anleitung befolgt:
Globale Voreinstellung
Zuerst erstellt man eine globale Konfiguration, die für jeden Nutzer gelten soll.
Dazu editiert man die Datei /etc/tigervnc/vncserver-config-mandatory mit folgendem Befehl:.
sudo nano /etc/tigervnc/vncserver-config-mandatory
"Editiert" meint hier wohl "erstellt" denn diese Datei gibt es weder im tigervnc-standalone-server Paket von Bionic oder Focal:
Manuelles Starten von TigerVNC auf dem Server...
Bringt über ssh eingeloggt - startet den vncserver also NICHT erfolgreich: tigervncserver
/usr/bin/xauth: file /home/ubuntu/.Xauthority does not exist
New 'ubuntuVM01:1 (ubuntu)' desktop at :1 on machine ubuntuVM01
Starting applications specified in /etc/X11/Xvnc-session
Log file is /home/ubuntu/.vnc/ubuntuVM01:1.log
Use xtigervncviewer -SecurityTypes VncAuth -passwd /home/ubuntu/.vnc/passwd :1 to connect to the VNC server.
tigervncserver: Failed command '/etc/X11/Xvnc-session': 256!
=================== tail -15 /home/ubuntu/.vnc/ubuntuVM01:1.log ===================
Copyright (C) 1999-2019 TigerVNC Team and many others (see README.rst)
See https://www.tigervnc.org for information on TigerVNC.
Underlying X server release 12008000, The X.Org Foundation
Thu Nov 25 18:08:27 2021
vncext: VNC extension running!
vncext: Listening for VNC connections on local interface(s), port 5901
vncext: created VNC server for screen 0
X connection to :1 broken (explicit kill or server shutdown).
Thu Nov 25 18:08:29 2021
ComparingUpdateTracker: 0 pixels in / 0 pixels out
ComparingUpdateTracker: (1:-nan ratio)
Killing Xtigervnc process ID 5247... which seems to be deadlocked. Using SIGKILL!
===================================================================================
Starting applications specified in /etc/X11/Xvnc-session has failed.
Maybe try something simple first, e.g.,
tigervncserver -xstartup /usr/bin/xterm
Ich kann den Server so aber direkt auf dem Server-PC starten, aber nicht wenn ich per ssh eingeloggt bin.
Starten von TigerVNC mit SystemD
...
sudo cp /lib/systemd/system/tigervncserver@.service /etc/systemd/system/
Funktioniert nicht, weil die Datei unter Ubuntu nicht vorhanden ist, siehe wieder:
Ich habe dann die tigervncserver@.service aus 9219482 in /etc/systemd/system erstellt. Die führt - egal ob über ssh oder direkt am Server-PC gestartet - zu folgendem Fehler: systemctl status tigervncserver@1.service
● tigervncserver@1.service - Start TigerVNC Server (VNC)
Loaded: loaded (/etc/systemd/system/tigervncserver@.service; disabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2021-11-25 20:30:22 CET; 3min 41s ago
Process: 6905 ExecStartPre=/usr/bin/tigervncserver -kill :1 > /dev/null 2>&1 (code=exited, status=0/SUCCESS)
Process: 6911 ExecStart=/usr/bin/tigervncserver -verbose -fg :1 (code=exited, status=255/EXCEPTION)
Main PID: 6911 (code=exited, status=255/EXCEPTION)
Nov 25 20:30:19 ubuntuVM01 systemd[1]: Starting Start TigerVNC Server (VNC)...
Nov 25 20:30:19 ubuntuVM01 systemd[6905]: pam_unix(login:session): session opened for user ubuntu by (uid=0)
Nov 25 20:30:20 ubuntuVM01 systemd[1]: Started Start TigerVNC Server (VNC).
Nov 25 20:30:20 ubuntuVM01 systemd[6911]: pam_unix(login:session): session opened for user ubuntu by (uid=0)
Nov 25 20:30:22 ubuntuVM01 systemd[1]: tigervncserver@1.service: Main process exited, code=exited, status=255/EXCEPTION
Nov 25 20:30:22 ubuntuVM01 systemd[1]: tigervncserver@1.service: Failed with result 'exit-code'.
journalctl -xe
Nov 25 20:30:19 ubuntuVM01 sudo[6902]: ubuntu : TTY=pts/1 ; PWD=/home/ubuntu ; USER=root ; COMMAND=/usr/bin/systemctl start tigervncserver@1.service
Nov 25 20:30:19 ubuntuVM01 sudo[6902]: pam_unix(sudo:session): session opened for user root by ubuntu(uid=0)
Nov 25 20:30:19 ubuntuVM01 systemd[1]: Starting Start TigerVNC Server (VNC)...
-- Subject: A start job for unit tigervncserver@1.service has begun execution
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit tigervncserver@1.service has begun execution.
--
-- The job identifier is 4203.
Nov 25 20:30:19 ubuntuVM01 systemd[6905]: pam_unix(login:session): session opened for user ubuntu by (uid=0)
Nov 25 20:30:19 ubuntuVM01 systemd[1]: Started Session 15 of user ubuntu.
-- Subject: A start job for unit session-15.scope has finished successfully
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit session-15.scope has finished successfully.
--
-- The job identifier is 4260.
Nov 25 20:30:20 ubuntuVM01 systemd[1]: Started Start TigerVNC Server (VNC).
-- Subject: A start job for unit tigervncserver@1.service has finished successfully
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit tigervncserver@1.service has finished successfully.
--
-- The job identifier is 4203.
Nov 25 20:30:20 ubuntuVM01 sudo[6902]: pam_unix(sudo:session): session closed for user root
Nov 25 20:30:20 ubuntuVM01 systemd[6911]: pam_unix(login:session): session opened for user ubuntu by (uid=0)
Nov 25 20:30:20 ubuntuVM01 systemd[6906]: pam_unix(login:session): session closed for user ubuntu
Nov 25 20:30:20 ubuntuVM01 dbus-daemon[417]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.185" (uid=1000 pid=6906 comm="(sd-pam) " label="unconfined") interface="org.freedesktop.login1.Manager" member="ReleaseSession" error name="(unset)" requested_reply="0" destination="org.freedesktop.login1" (uid=0 pid=436 comm="/lib/systemd/systemd-logind " label="unconfined")
Nov 25 20:30:20 ubuntuVM01 systemd[6906]: pam_systemd(login:session): Failed to release session: Access denied
Nov 25 20:30:20 ubuntuVM01 systemd[1]: session-15.scope: Succeeded.
-- Subject: Unit succeeded
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- The unit session-15.scope has successfully entered the 'dead' state.
Nov 25 20:30:20 ubuntuVM01 systemd[1]: Started Session 16 of user ubuntu.
-- Subject: A start job for unit session-16.scope has finished successfully
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit session-16.scope has finished successfully.
--
-- The job identifier is 4320.
Nov 25 20:30:20 ubuntuVM01 dbus-daemon[1249]: [session uid=1000 pid=1249] Activating via systemd: service name='org.freedesktop.Tracker1' unit='tracker-store.service' requested by ':1.2' (uid=1000 pid=1247 comm="/usr/libexec/tracker-miner-fs " label="unconfined")
Nov 25 20:30:20 ubuntuVM01 systemd[1239]: Starting Tracker metadata database store and lookup manager...
-- Subject: A start job for unit UNIT has begun execution
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit UNIT has begun execution.
--
-- The job identifier is 627.
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6922]: /usr/bin/Xtigervnc :1 -desktop ubuntuVM01:1 (ubuntu) -auth /home/ubuntu/.Xauthority -geometry 1900x1200 -depth 24 -rfbwait 30000 -rfbauth /home/ubuntu/.vnc/passwd -rfbport 5901 -pn -localhost -SecurityTypes VncAuth
Nov 25 20:30:20 ubuntuVM01 dbus-daemon[1249]: [session uid=1000 pid=1249] Successfully activated service 'org.freedesktop.Tracker1'
Nov 25 20:30:20 ubuntuVM01 systemd[1239]: Started Tracker metadata database store and lookup manager.
-- Subject: A start job for unit UNIT has finished successfully
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit UNIT has finished successfully.
--
-- The job identifier is 627.
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6911]: New 'ubuntuVM01:1 (ubuntu)' desktop at :1 on machine ubuntuVM01
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6911]: Starting applications specified in /etc/X11/Xvnc-session
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6911]: Log file is /home/ubuntu/.vnc/ubuntuVM01:1.log
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6911]: Use xtigervncviewer -SecurityTypes VncAuth -passwd /home/ubuntu/.vnc/passwd :1 to connect to the VNC server.
Nov 25 20:30:20 ubuntuVM01 tigervncserver[6911]: /etc/X11/Xvnc-session
Nov 25 20:30:20 ubuntuVM01 gnome-session[6939]: gnome-session-binary[6939]: WARNING: Falling back to non-systemd startup procedure due to error: GDBus.Error:org.freedesktop.systemd1.NoSuchUnit: Unit gnome-session-unspecified@ubuntu.target not found.
Nov 25 20:30:20 ubuntuVM01 gnome-session-binary[6939]: WARNING: Falling back to non-systemd startup procedure due to error: GDBus.Error:org.freedesktop.systemd1.NoSuchUnit: Unit gnome-session-unspecified@ubuntu.target not found.
Nov 25 20:30:21 ubuntuVM01 tigervncserver[6911]: tigervncserver: Failed command '/etc/X11/Xvnc-session': 256!
Nov 25 20:30:22 ubuntuVM01 tigervncserver[6911]: =================== tail -15 /home/ubuntu/.vnc/ubuntuVM01:1.log ===================
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Xvnc TigerVNC 1.10.0 - built Apr 9 2020 06:49:31
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Copyright (C) 1999-2019 TigerVNC Team and many others (see README.rst)
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: See https://www.tigervnc.org for information on TigerVNC.
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Underlying X server release 12008000, The X.Org Foundation
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Thu Nov 25 20:30:20 2021
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: vncext: VNC extension running!
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: vncext: Listening for VNC connections on local interface(s), port 5901
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: vncext: created VNC server for screen 0
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: X connection to :1 broken (explicit kill or server shutdown).
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: ComparingUpdateTracker: 0 pixels in / 0 pixels out
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: ComparingUpdateTracker: (1:-nan ratio)
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Killing Xtigervnc process ID 6922... which seems to be deadlocked. Using SIGKILL!
Nov 25 20:30:22 ubuntuVM01 tigervncserver[7010]: Killing Xtigervnc process ID 6922... which seems to be deadlocked. Using SIGKILL!
Nov 25 20:30:22 ubuntuVM01 tigervncserver[6911]: ===================================================================================
Nov 25 20:30:22 ubuntuVM01 tigervncserver[6911]: Starting applications specified in /etc/X11/Xvnc-session has failed.
Nov 25 20:30:22 ubuntuVM01 tigervncserver[6911]: Maybe try something simple first, e.g.,
Nov 25 20:30:22 ubuntuVM01 tigervncserver[6911]: tigervncserver -xstartup /usr/bin/xterm
Nov 25 20:30:22 ubuntuVM01 systemd[1]: tigervncserver@1.service: Main process exited, code=exited, status=255/EXCEPTION
-- Subject: Unit process exited
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- An ExecStart= process belonging to unit tigervncserver@1.service has exited.
--
-- The process' exit code is 'exited' and its exit status is 255.
Nov 25 20:30:22 ubuntuVM01 systemd[1]: tigervncserver@1.service: Failed with result 'exit-code'.
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- The unit tigervncserver@1.service has entered the 'failed' state with result 'exit-code'.
Nov 25 20:30:22 ubuntuVM01 systemd[6912]: pam_unix(login:session): session closed for user ubuntu
Nov 25 20:30:22 ubuntuVM01 dbus-daemon[417]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.187" (uid=1000 pid=6912 comm="(sd-pam) " label="unconfined") interface="org.freedesktop.login1.Manager" member="ReleaseSession" error name="(unset)" requested_reply="0" destination="org.freedesktop.login1" (uid=0 pid=436 comm="/lib/systemd/systemd-logind " label="unconfined")
Nov 25 20:30:22 ubuntuVM01 systemd[6912]: pam_systemd(login:session): Failed to release session: Access denied
An der Stelle steige ich dann erst mal aus. Dann habe ich noch folgende Fragen:
Would you like to enter a view-only password (y/n)?
Verneint man diese mit (n)ein.
Warum? Warum starte man den VNC-Server über systemd nicht als Benutzer unit? Weiter oben starte man den Server ja auch als Benutzer (beim) ersten Test. Das ist möglicherweise/vermute ich bei VNC einfacher/weniger Konflikt geladen. Also eine Unit in
LG,
Newubunti
|