-localhost Volba říká serveru VNC, aby se vázal pouze na rozhraní zpětné smyčky, takže se k serveru VNC můžete připojit pouze ze stroje, na kterém běží. To znamená, že každý, kdo by se pokusil proniknout do vaší relace VNC, by se musel dostat na tento konkrétní počítač. Bez -localhost , váš server VNC by akceptoval nelokální připojení, takže útočník by se mohl pokusit proniknout do vaší relace VNC pomocí jiného počítače.
Pokud se chystáte použít -localhost , pak byste měli předat -L 5900:localhost:5901 , nikoli -L 5900:vnc.machine:5901 , protože váš VNC server naslouchá pouze na rozhraní zpětné smyčky (localhost).
jjlin Odpověď pokrývá odstraňování problémů, ale aby byla skutečně bezpečná, měli byste předat také -nolisten tcp na vncserver . To zajistí, že na X nebude otevřený TCP listener stranu věci.