关于vnc不用输入最后一位的真相：只支持8位！！

iking

最近在整服务器。用的是rhel5.1版，使用自带vnc进行远程管理，无意间试了下。只支持8位密码。。即使你配置时密码输得再长，前8位正确就直接可以登录了。这样安全隐患也太大了。想咨询下。有高手可以解决此问题？windows下VNC服务器自行安装。。支持128位加密。可linux，8位貌似少了点吧。。。

iking

可以考虑用ssh tunnel
1. 根据manpage of vncpasswd，密码最长为8。
vncpasswd allows you to set the password used to access VNC desktops.  It stores an obfuscated version of the password in the given file (default $HOME/.vnc/passwd).

The password must be at least six characters long, and only the first eight characters  are  significant. Note  that  the  stored password is not encrypted securely - anyone who has access to this file can trivially find out the plaintext password, so vncpasswd always sets appropriate permissions (read  and  write only  by  the  owner).  However, when accessing a VNC desktop a challenge-response mechanism is used over the wire making it hard for anyone to crack the password simply by snooping on the network.

2. 8已经可以算得上strong password。如果觉得不够，可以考虑使用ssh tunnel，这样用户需要经过两次认证：ssh和vnc.

iking

119          RealVNC遠端驗證密碼弱點通知         網路暨維修組         許翠婷         665         2006-05-17 10:33:09

        發佈編號
        ICST-ANA-2006-0043
        發佈日期
        2006/05/17

        通告名稱
        RealVNC遠端驗證密碼弱點通知

        內容說明
        RealVNC為全球最廣泛被使用的遠端控制軟體，其允許多個使用者同時連線到同一電腦上，並支援各種知名的 Linux 系統及Windows系統。日前被發現存在遠端身份驗證弱點，當密碼設定超過八位數以上時即可能存在此項弱點，其使得有心人士可以躲過驗證程序，進入遠端系統進行非授權的存取。

        此弱點存在於RealVNC 4.11與之前的版本，技服中心呼籲使用所有使用RealVNC軟體的使用者儘快採取以下建議措施。


        影響平台
        所有使用RealVNC的使用者

        影響等級
        中

        建議措施
        技服中心建議所有相關單位：儘速安裝RealVNC至版本 4.12

        參考資料
        [1] RealVNC更新資訊網址：http://www.realvnc.com/download.html