.

Wer die DOM-0 einer KVM/XEN Maschine, also das Basis-System eines Virtuellen-Servers abschießt, der hat den gesamten Server erfolgreich und komplett gekillt. Alle VMs/Gäste sind dann unerreichbar oder sogar ganz tot. Seit dem März 2022 gewinnt dieser vorsorgende Schutz an ungeahntem Wert, wenn die beiden Kriegsparteien alle Programmierer weltweit auf verwundbare oder gar offene Server ansetzen.

Darum muß die DOM-0 besonders sorgfältg geschützt (abgeschottet) sein. Auch wenn eine kostbare IP-V4 Adresse dabei drauf geht, auf der DOM-0 läuft nichts außer dem grafischen Virt-Manager unter minimal X11 und icewm, um die virtuellen Gäste administrieren, starten und stoppen zu können und eventuell im Notfall von dort aus auch reparieren zu können, wenn das virtuelle VM-Netzwerk nicht mehr will.
.

Doch die VNC-Verbindung von einem entfernten VNC-Client (z.B. von Windows aus) zu einem (Tiger- oder Tigh-) VNC-Server irgendwo draußen im Netz ist nicht sicher. Die Verbindung muß !!! getunnelt werden und das geht bei uns mit dem SSH CLient "putty" und dessen Verschlüsselung und dem dort eingetragenen "tunneling" mit X11 "forwarding" (= Weiterleitung).

Dazu gehört auch, auf sogenannte eingeführte Standard Ports am Server zu verzichten und zum Beispiel die ssh Verbindung auf einen Port weit oberhalb von 31.000 zu verlegen. Der VNC Port kann dann sogar auf 5900 bleiben, denn die Verbindung funktioniert ohne den Tunnel nicht.

Das habe ich jetzt ausgiebig ausprobiert. In der "firewalld" habe ich den weit nach oben verlegten putty/ssh Port eingetragen (und in der sshd_conf natürlich auch) und dazu den VNC Port 5901. Ist putty nicht geladen und nicht verbunden, kommt man zwar auf den VNC Server drauf, aber keine einzige Applikation bekommt man zum Laufen.

Und selbstverständlich ist im ssh-Dienst auf dem Server der sogenannte "root"-login abgeschaltet. Sollen sich doch die Russen die Finger mit den möglichen User-Namen wund tippen. Auch ein Script mit einem Portscanner braucht für das Abfragen von 64.000 Ports pro aktiver IP-Adresse enorme Zeit.

• Zur Sicherheit :

Noch besser ist es, wenn der TigerVNC Server nach jeder Session gekillt (gestoppt) wird. Dann hängt der Port 5900 und 5901 völlig in der Luft und antwortet nicht mal.
.
Auch der "putty Tunnel" muß natürlich (unbedingt) beendet werden, sonst kommt man auf einmal mit dem VNC-Client über den VNC Port samt der VNC-Server-Nummer auf das Login der lokalen VM-Kommandozeile. Und dort kann man sich mit "root" einloggen. Auch das ist mir nicht erkärlich, weil der VNC Server Dienst ja gar nicht mehr da ist.

Wenn also keine weiteren Lücken im Linux Kernel zu finden sind, ist die DOM-0 damit hoffentlich "dicht".
.