要让RealVNC真正实现“特定人员、特定时间、特定IP”三重精准管控，默认的“全开放”配置思路必须彻底推翻。服务端配置、系统用户权限、策略组绑定，这三步缺一不可。下面直接拆解具体操作方法。

限制访问IP地址

方法一：通过vncserver配置参数强制绑定本地回环

编辑用户级配置文件 ~/.vnc/config，在末尾追加一行 localhost=yes。这一步会让RealVNC只响应来自127.0.0.1的请求，外部网络直接拒之门外。

需要注意的是，这个配置对virtual模式生效。如果用的是x11模式，还得配合iptables或ufw来兜底。

方法二：用系统防火墙精准放行指定IP段

如果你想只让192.168.10.0/24这个网段访问5901端口，可以执行这条命令：sudo ufw allow from 192.168.10.0/24 to any port 5901 proto tcp。

跑完之后别忘了 sudo ufw enable 激活规则，否则配置不会自动生效。

方法三：修改xstartup启动脚本注入-rfbport参数

打开 ~/.vnc/xstartup，找到以 exec 开头的行（比如 exec /usr/bin/xvnc），在后面追加 -localhost no -rfbport 5901。

关键点在于 -localhost no 必须显式写出来。因为RealVNC 7.6及以上版本默认就会启用localhost-only保护，不主动声明的话，外网连接会被自动拦截。你以为放行了，实际根本连不上。

精细化用户权限控制

第一步：创建专用系统用户并禁用shell登录

执行 sudo adduser --shell /usr/sbin/nologin --gecos "" vnc-operator。这个用户无法通过SSH或终端登录，只能用于VNC会话隔离。

--shell /usr/sbin/nologin 这一步不要省略，否则用户可能被利用提权，风险不小。

第二步：为每个VNC用户单独生成密码文件

先切换到目标用户：sudo -u vnc-operator bash，然后执行 vncpasswd 生成 ~/.vnc/passwd。

RealVNC不会读取系统密码，必须每个用户独立设置。而且密码长度不能少于6位，否则服务会启动失败。

第三步：在RealVNC管理界面中绑定用户与策略组

登录 https://manage.realvnc.com → Devices → 选择目标设备 → Policies → Assign Policy → 新建策略组。

勾选“View only”或“Full control”之后，点击“Add users”，输入系统用户名（如vnc-operator）。策略组必须手动分配，否则用户会一直继承默认的Administrator权限，相当于没限制。

设置访问时段限制

方法1：使用RealVNC Enterprise版内置时间策略

进入管理后台 → Policies → 创建新策略 → Time Restrictions → 启用“Restrict access to these hours” → 设置工作日08:00–18:00。

这个策略会实时同步到客户端，非工作时间连接直接返回“Access denied”，非常干脆。

方法2：Linux系统级定时启停服务（适用于Home/Free版）

创建两个systemd timer单元：/etc/systemd/system/vnc-start.timer 和 vnc-stop.timer，分别触发 vnc-start.service 与 vnc-stop.service。

stop服务的内容很简单：ExecStart=/bin/sh -c 'vncserver -kill :1 2>/dev/null || true'。启用timer之后，RealVNC服务会在指定时间自动关闭，无需人工干预。

《夸克》非常好用的免费AI浏览器

下载APP查看