-localhost opsi memberi tahu server VNC untuk mengikat hanya ke antarmuka loopback, sehingga Anda hanya dapat terhubung ke server VNC dari mesin yang menjalankannya. Ini berarti bahwa siapa pun yang mencoba masuk ke sesi VNC Anda harus dapat menggunakan mesin tersebut. Tanpa -localhost , server VNC Anda akan menerima koneksi non-lokal, sehingga penyerang dapat menggunakan komputer lain untuk mencoba masuk ke sesi VNC Anda.
Jika Anda akan menggunakan -localhost , maka Anda harus meneruskan -L 5900:localhost:5901 , bukan -L 5900:vnc.machine:5901 , karena server VNC Anda hanya mendengarkan pada antarmuka loopback (localhost).
jjlin Jawabannya mencakup pemecahan masalah, tetapi untuk benar-benar membuatnya aman, Anda juga harus meneruskan -nolisten tcp ke vncserver . Ini memastikan bahwa tidak akan ada pendengar TCP terbuka di X sisi hal.