Ubuntu 怎麼遠端：從零開始，教你輕鬆搞定遠端桌面連線與SSH指令操作

你是不是也曾經遇到過這種情況：人不在電腦旁邊，卻又急著需要存取家裡或辦公室那台Ubuntu主機上的資料，或是想跑個程式、做個設定？嘿，別擔心！這篇文章就是要來跟你聊聊「Ubuntu 怎麼遠端」這個超實用的技能，而且保證讓你一學就會，輕鬆搞定！

簡單來說，想要遠端連線到你的Ubuntu電腦，主要有兩種方式：一種是透過SSH (Secure Shell) 進行文字指令操作，這對伺服器管理員或開發者來說簡直是神器，效率高又安全；另一種則是透過VNC (Virtual Network Computing) 或是 RDP (Remote Desktop Protocol) 來實現圖形介面遠端桌面，這就跟你在本機操作電腦一樣，直觀又方便，特別適合需要圖形化介面操作的朋友們。

接下來，我會深入淺出地為你詳細解說這兩種方法的設定步驟、注意事項，以及我在實際應用中累積的一些寶貴經驗，保證讓你受益匪淺，輕鬆化身遠端連線大師！

為什麼你會需要遠端Ubuntu？這些情境是不是超熟悉！

你可能會想，好好地坐在電腦前用不就好了嗎？幹嘛非得遠端呢？其實啊，遠端存取Ubuntu的應用場景可多了，遠遠超出你的想像喔！

• 遠端管理伺服器： 如果你架設了Ubuntu伺服器，總不可能24小時守在機房吧？透過SSH，你就能隨時隨地監控伺服器狀態、部署應用、更新系統，輕鬆又省力。
• 開發與測試環境： 許多開發者會把開發環境搭建在遠端的Ubuntu虛擬機或雲伺服器上。這樣一來，無論你用的是Windows、macOS還是其他Linux系統，都能統一在遠端Ubuntu上進行開發和測試，避免本機環境混亂。
• 在家辦公或遠端教學： 疫情期間，遠端辦公成為常態。如果你的辦公電腦是Ubuntu，或者家裡有台Ubuntu電腦放著重要的資料或應用程式，遠端連線就能讓你隨時隨地「回家辦公」，效率一點都不打折扣。
• 資源共享與協作： 有時候，你可能需要與團隊成員共享一個Ubuntu環境，比如一個安裝了特定軟體的工作站。透過遠端桌面，大家都能同時連線進來，提高協作效率。
• 處理「放在家裡」的電腦： 像我，有時候會把一些耗資源的運算或自動化任務丟到家裡的Ubuntu舊電腦去跑。人不在家的時候，就能遠端連線進去查看進度，甚至修改參數，超方便的啦！

遠端Ubuntu的兩大王道：圖形介面 vs. 文字指令

瞭解了需求，接下來我們就來看看要怎麼實現遠端連線。基本上，這就像是開車有手排跟自排一樣，各有各的優點和適用場合：

• 文字指令模式 (SSH)：
  • 優點： 極致高效、資源佔用少、安全性高（如果配置得當）、網路需求低、跨平台兼容性強。對於伺服器管理、腳本執行、程式開發等純文字操作來說，SSH絕對是首選。
  • 缺點： 對於不熟悉Linux指令的朋友來說，可能會覺得有些門檻。沒有圖形介面，不適合需要點擊滑鼠或看視覺化效果的任務。
• 圖形介面模式 (VNC/RDP)：
  • 優點： 直觀易用，跟你在實體電腦前操作一模一樣，有完整的桌面環境、檔案總管、瀏覽器等。適合新手，或者需要圖形化應用程式的場景。
  • 缺點： 資源佔用較高（尤其在遠端傳輸畫面時）、對網路頻寬要求較高、延遲可能較大，安全性配置相對複雜一點點。

我的建議是：如果你只是想管理伺服器、跑個程式，那SSH絕對是你的不二選擇。但如果你想遠端操作帶有桌面環境的Ubuntu，就像坐在它前面一樣，那VNC或RDP會更適合你。當然，兩種方法你都可以學起來，視情況選擇最合適的！

方法一：透過SSH進行文字指令遠端連線 (安全、高效，專業人士首選！)

SSH，全名是「Secure Shell」，顧名思義，它提供了一個安全的通道，讓你在不安全的網路環境下也能安全地執行指令、傳輸檔案。可以說，它是Linux/Unix系統遠端管理的基石，超級重要！

什麼是SSH？簡單原理大解密

想像一下，你在A電腦上，想透過網路控制B電腦。如果直接傳送指令，就像在馬路上大聲說話，誰都聽得到，非常不安全。SSH就像是給你和B電腦之間架設了一條只有你們兩條能聽懂的「秘密電話線」，所有通訊都經過加密，外人即使截取了也看不懂，這就是SSH最核心的價值。

Ubuntu端設定：讓你的Ubuntu敞開大門（安全地喔！）

首先，要讓你的Ubuntu接受SSH連線，你需要安裝並啟動SSH伺服器。別擔心，這可比你想像的簡單多了！

1. 安裝OpenSSH Server：

   在你的Ubuntu電腦上（你需要能物理接觸它或透過其他方式登入一次），打開終端機（Terminal），輸入以下指令：

   sudo apt update
   sudo apt install openssh-server

   這兩行指令會先更新你的軟體套件清單，然後安裝 `openssh-server`。過程中如果要求輸入密碼，請輸入你的Ubuntu用戶密碼喔。

2. 檢查SSH服務狀態：

   安裝完成後，SSH服務通常會自動啟動。你可以輸入以下指令來確認它是否正在運行：

   sudo systemctl status ssh

   如果看到「active (running)」的字樣，就代表SSH服務已經成功運行啦！如果沒有，可以嘗試用 `sudo systemctl start ssh` 來啟動它。

3. 配置防火牆 (UFW)：允許SSH埠號

   Ubuntu預設通常會啟用防火牆 (UFW, Uncomplicated Firewall)。為了讓遠端連線能順利通過，你必須允許SSH預設使用的22埠號。輸入以下指令：

   sudo ufw allow ssh

   或者，如果你想指定埠號（後面會提到更改預設埠號的做法），也可以這樣：

   sudo ufw allow 22/tcp

   然後，確認UFW是否啟用：

   sudo ufw enable

   （如果防火牆沒有啟用過，啟用時會提示你可能會中斷現有連線，確認就好。）

   最後，檢查防火牆規則是否生效：

   sudo ufw status

   看到「22/tcp ALLOW Anywhere」或「SSH ALLOW Anywhere」就對了。

提升SSH安全性：這些步驟超級重要，千萬別跳過！

預設的SSH配置雖然能用，但安全性可不夠！想像一下，你的電腦就像敞開的大門，雖然有鎖，但小偷知道門鎖品牌型號，是不是就容易多了？我們得把鎖換成特殊的，甚至要個特別的鑰匙才行！

1. 更改預設SSH埠號 (Port)

SSH預設使用22埠。很多惡意掃描程式會專門掃描這個埠號，試圖進行暴力破解。把埠號換掉，就像把大門從正大街搬到小巷子裡，雖然不是絕對安全，但能大大減少被「順手」攻擊的機會！

1. 打開SSH設定檔：

   sudo nano /etc/ssh/sshd_config

   （`nano` 是一個文字編輯器，你也可以用 `vim` 或其他你習慣的編輯器）

2. 找到 `Port 22` 這一行。如果你找不到，可能前面有個 `#` 符號，代表被註釋掉了。把 `#` 刪掉，然後把 `22` 改成一個不常用的埠號，例如 `2222`、`8888` 或其他大於1024的數字（1-1023通常是系統保留埠號）。例如：

   Port 2222

   我的經驗是：選擇一個不那麼常見的埠號，但也要記住它！建議設定在 `1024` 到 `65535` 之間，避開一些常見服務的埠號，例如80 (HTTP), 443 (HTTPS), 21 (FTP) 等。

3. 儲存並退出：在 nano 編輯器中，按 `Ctrl + O` (寫入)，然後按 `Enter` 確認檔案名，最後按 `Ctrl + X` (退出)。

4. 更新防火牆規則：如果你改了SSH埠號，記得要讓UFW也跟著改！

   sudo ufw delete allow 22/tcp  # 刪除舊的22埠規則
   sudo ufw allow 2222/tcp      # 允許新的埠號 (用你設定的埠號取代2222)

5. 重啟SSH服務：

   sudo systemctl restart ssh

   這樣新的埠號設定才會生效喔。

2. 禁用Root用戶登入

Root用戶擁有系統的最高權限，一旦Root帳號被攻破，你的系統就全盤皆輸了。所以，最好禁止Root直接透過SSH登入。

1. 再次打開SSH設定檔：

   sudo nano /etc/ssh/sshd_config

2. 找到 `PermitRootLogin` 這一行。如果被註釋了，去除 `#` 符號，並將其值改為 `no`：

   PermitRootLogin no

   如果原本沒有這行，就直接新增在檔案末尾。

3. 儲存並退出，然後重啟SSH服務：

   sudo systemctl restart ssh

   這樣一來，即使攻擊者知道了Root密碼，也無法直接透過SSH登入了。你需要先用普通用戶登入，然後再用 `sudo su -` 提升到Root權限。

3. 使用SSH金鑰認證 (Key-based Authentication) – 最安全的登入方式！

這是我個人強烈推薦的SSH登入方式，比密碼登入安全N倍！想像一下，密碼就像是一把鎖，而金鑰認證則像是你必須擁有特定的一對「鑰匙」（公鑰和私鑰）才能打開鎖。公鑰放在伺服器上，私鑰放在你的客戶端電腦上，而且私鑰通常會用密碼保護，安全性極高。

1. 在你的客戶端電腦上生成SSH金鑰對：

   在你的本機電腦（Windows, macOS, Linux都行）打開終端機或Git Bash (Windows)，輸入：

   ssh-keygen -t rsa -b 4096 -C "你的Email或其他標記"

   這會生成一個4096位元的RSA金鑰對。過程中會詢問儲存路徑和密碼 (passphrase)。強烈建議為你的私鑰設定一個複雜的密碼，這樣即使私鑰洩露了，沒有密碼也無法使用。

   金鑰會預設儲存在 `~/.ssh/` 目錄下，通常會生成兩個檔案：`id_rsa` (這是你的私鑰，絕對不能分享給任何人！) 和 `id_rsa.pub` (這是你的公鑰，可以分享)。

2. 將公鑰複製到Ubuntu伺服器：

   有幾種方法可以做，最簡單的是使用 `ssh-copy-id` 指令：

   ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_ubuntu_ip -p 2222

   （請將 `user` 替換為你的Ubuntu用戶名，`your_ubuntu_ip` 替換為Ubuntu的IP地址，`2222` 替換為你的SSH埠號）。

   這個指令會自動將你的公鑰添加到Ubuntu伺服器上你的用戶的 `~/.ssh/authorized_keys` 檔案中。

   如果 `ssh-copy-id` 無法使用，你也可以手動複製：

   cat ~/.ssh/id_rsa.pub | ssh user@your_ubuntu_ip -p 2222 "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

   這行指令會先在遠端Ubuntu上建立 `.ssh` 目錄，設定好權限，然後將你的公鑰內容寫入 `authorized_keys` 檔案，最後再設定好這個檔案的權限。

3. 禁用密碼登入（啟用金鑰登入後再做！）

   當你確認金鑰登入已經可以正常工作後，就可以禁用密碼登入了，這樣系統安全性會大大提升，因為暴力破解密碼將不再有效。

   再次打開SSH設定檔：

   sudo nano /etc/ssh/sshd_config

   找到 `PasswordAuthentication` 這一行，將其值改為 `no`：

   PasswordAuthentication no

   儲存並退出，然後重啟SSH服務：

   sudo systemctl restart ssh

   從此以後，你將只能透過SSH金鑰來登入你的Ubuntu了，安全性簡直是五顆星！

客戶端連線：終於可以連上你的Ubuntu啦！

當你的Ubuntu伺服器都設定好了，接下來就是從你的客戶端電腦發起連線了。

• Linux/macOS 用戶：

  直接打開終端機，輸入：

  ssh -p 2222 user@your_ubuntu_ip

  (別忘了將 `2222` 替換為你的SSH埠號，`user` 和 `your_ubuntu_ip` 也要換成你的實際資訊喔)。

  如果你是用SSH金鑰登入且設定了密碼，系統會提示你輸入金鑰密碼 (passphrase)。

• Windows 用戶：
  • 使用PuTTY (傳統方式)：

    PuTTY是一個非常流行的SSH客戶端軟體。你需要下載並安裝它。對於SSH金鑰，PuTTY需要 `.ppk` 格式的私鑰，所以你需要用 PuTTYgen 工具將你生成的 `id_rsa` 轉換成 `.ppk` 格式。

    1. 打開PuTTYgen，點擊 `Load`，選擇你的 `id_rsa` 私鑰檔案。
    2. 輸入你的私鑰密碼 (如果有)。
    3. 點擊 `Save private key`，將其儲存為 `.ppk` 格式。
    4. 打開PuTTY，在 `Host Name (or IP address)` 填寫你的Ubuntu IP。
    5. 在 `Port` 填寫你的SSH埠號 (例如2222)。
    6. 在左側分類樹中，導航到 `Connection` -> `SSH` -> `Auth`。
    7. 點擊 `Browse`，選擇你剛剛生成的 `.ppk` 私鑰檔案。
    8. 回到 `Session`，輸入一個 `Saved Sessions` 名稱，點擊 `Save` 以後方便快速連線。
    9. 點擊 `Open` 即可連線。
  • 使用WSL (Windows Subsystem for Linux)：

    這是Windows 10/11上一個非常方便的功能，讓你可以在Windows裡運行一個完整的Linux環境。一旦安裝了WSL (例如WSL2 + Ubuntu)，你就可以像在原生Linux系統一樣，直接在WSL終端機裡使用 `ssh` 指令連線了，操作方式跟Linux/macOS完全一樣，我個人超級推薦這種方式！

  • 使用內建OpenSSH客戶端 (Windows 10/11)：

    Windows 10 v1803及更高版本，以及Windows 11，都內建了OpenSSH客戶端。你可以在PowerShell或命令提示字元中直接使用 `ssh` 指令，用法與Linux/macOS一樣。你需要將你的SSH私鑰 (id_rsa) 放在 `C:\Users\你的用戶名\.ssh\` 目錄下。

我的經驗與評論：SSH的魅力與注意事項

老實說，一旦你習慣了SSH，你會發現它的效率之高是圖形介面無法比擬的。特別是在伺服器管理領域，SSH就是標準作業流程。但有幾點是我要特別提醒你的：

• 私鑰安全： 你的SSH私鑰比你的信用卡還重要！一旦洩露，攻擊者就可以直接登入你的伺服器。務必保護好你的私鑰，不要分享給任何人，並設定一個強大的密碼來保護它。
• 多重金鑰： 如果你有多台伺服器，可以考慮為每台伺服器生成不同的金鑰對，或者至少為你的不同角色（例如個人用、工作用）生成不同的金鑰。這樣即使一個金鑰洩露，也不會影響到所有的伺服器。
• `ssh-agent` 的使用： 如果你頻繁使用SSH金鑰，每次都要輸入密碼會很麻煩。`ssh-agent` 可以幫你把解鎖過的私鑰暫時儲存在記憶體中，一段時間內無需重複輸入密碼，超方便的！macOS和一些Linux發行版會預設啟用它，Windows的WSL也能使用。

方法二：透過VNC/RDP進行圖形介面遠端連線 (直觀、易用，如同在現場)

如果你更喜歡圖形化操作，或者你的應用程式必須在圖形介面下運行，那麼VNC或RDP就是你的救星。想像一下，你人不在電腦旁邊，卻能像坐在它前面一樣點擊滑鼠、拖曳視窗，是不是超酷的？

雖然VNC和RDP都提供圖形介面，但它們的實現方式略有不同。我會分開來詳細說明。

VNC (Virtual Network Computing)：跨平台的好選擇

VNC是一種開放標準的遠端桌面系統，它的最大優勢就是跨平台兼容性極佳。無論你是從Windows、macOS、Linux，甚至手機或平板，幾乎都能找到相應的VNC客戶端來連線到你的Ubuntu。

VNC運作原理

VNC伺服器會「捕捉」你的Ubuntu桌面環境的畫面，然後將這些畫面數據傳輸到客戶端。客戶端接收到畫面後顯示出來，同時將你的鍵盤和滑鼠操作傳回給伺服器，伺服器再執行這些操作。這就像是你在遠端「看」著電腦的螢幕並「遙控」它。

Ubuntu端設定 (以TigerVNC為例，它是很流行的VNC伺服器)

由於Ubuntu預設沒有VNC伺服器，我們需要自己安裝。

1. 安裝桌面環境 (如果你的Ubuntu沒有桌面環境)：

   如果你的Ubuntu是伺服器版，沒有安裝圖形桌面環境，你需要先安裝一個。我推薦使用輕量級的桌面環境，例如XFCE、LXDE 或 MATE，這樣遠端連線時的效能會比較好。

   sudo apt update
   sudo apt install xfce4 xfce4-goodies # 安裝XFCE桌面環境

   如果你已經有GNOME或KDE桌面，這一步可以跳過。

2. 安裝VNC伺服器軟體：

   這裡我們以TigerVNC為例，它效能不錯，也相對穩定。

   sudo apt install tigervnc-standalone-server tigervnc-xorg-extension

3. 設定VNC密碼：

   運行以下指令來為VNC設定一個登入密碼：

   vncpasswd

   它會提示你輸入VNC連線密碼，並再次確認。這個密碼是專門用於VNC連線的，跟你的Ubuntu用戶密碼是分開的。它還會問你是否設定一個「view-only password」，通常選 `n` 就可以了。

4. 配置VNC啟動腳本 (xstartup)：

   VNC伺服器需要知道啟動哪個桌面環境。首先，第一次運行 `vncserver` 會自動生成 `~/.vnc/xstartup` 檔案。我們需要編輯這個檔案來指定桌面環境。

   vncserver # 第一次運行，它會提示你創建一個顯示號碼，例如 :1，記住這個號碼
   vncserver -kill :1 # 啟動後立刻殺掉，方便我們編輯 xstartup 檔案
   
   nano ~/.vnc/xstartup

   將 `xstartup` 檔案的內容替換為以下（以XFCE為例）：

   #!/bin/bash
   unset SESSION_MANAGER
   unset DBUS_SESSION_BUS_ADDRESS
   startxfce4 & # 啟動XFCE桌面，如果是GNOME則是 gnome-session & 或 /usr/bin/gnome-session
   
   [ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
   [ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
   vncconfig -iconic &
   # x-terminal-emulator -geometry 80x24+10+10 -ls &
   # x-window-manager &

   確保 `startxfce4 &` 前面沒有 `#`，並且該行存在。如果你的桌面環境是GNOME，可以嘗試 `exec /usr/bin/gnome-session` 或 `gnome-session &`。

   儲存並退出 `xstartup` 檔案。

   給予 `xstartup` 執行權限：

   chmod +x ~/.vnc/xstartup

5. 啟動VNC伺服器：

   現在你可以啟動VNC伺服器了：

   vncserver :1 # 這裡的 :1 就是顯示號碼，你可以用 :2, :3 等等

   它會提示VNC伺服器運行在哪個埠號上。通常 `:1` 對應的是 `5901` 埠，`:2` 對應 `5902` 埠，以此類推。

6. 防火牆設定 (UFW)：允許VNC埠號

   跟SSH一樣，VNC的埠號也需要在防火牆中開放。如果你用的是 `:1` (埠號5901)，就這樣設定：

   sudo ufw allow 5901/tcp

   如果用了其他顯示號碼，請換成對應的埠號。

VNC客戶端連線：

現在，從你的客戶端電腦下載並安裝一個VNC客戶端。比較流行的有：

• RealVNC Viewer： 跨平台，功能強大，我個人常用。
• TightVNC Viewer： Windows上的不錯選擇。
• Remmina (Linux)： Linux上一個強大的遠端桌面客戶端，支援VNC和RDP。

打開VNC Viewer，輸入你的Ubuntu IP地址和VNC埠號，格式通常是 `your_ubuntu_ip:5901` 或 `your_ubuntu_ip::5901`。然後輸入你設定的VNC密碼，就可以看到你的Ubuntu桌面了！

RDP (Remote Desktop Protocol) for Ubuntu (使用XRDP)：Windows用戶的福音

RDP是微軟開發的遠端桌面協議，Windows系統內建的「遠端桌面連線」就是用它。如果你主要從Windows電腦連線到Ubuntu，那麼使用XRDP會給你帶來非常流暢的體驗，甚至比VNC還要好一些。

XRDP運作原理

XRDP是一個開源的RDP伺服器，它讓Linux系統能夠接受來自RDP客戶端的連線。它會將Linux桌面環境轉換成RDP協議能夠理解的數據流，並傳輸給Windows的遠端桌面客戶端。

Ubuntu端設定：安裝與配置XRDP

1. 安裝桌面環境 (如果沒有)：

   同VNC設定，如果你的Ubuntu是伺服器版，建議安裝一個輕量級桌面環境，例如XFCE4。這會讓你的遠端桌面體驗更流暢。

   sudo apt update
   sudo apt install xfce4 xfce4-goodies # 安裝XFCE

2. 安裝XRDP：

   sudo apt install xrdp

   安裝過程中，XRDP會自動設定好一些基本配置，並啟動服務。

3. 配置XRDP與桌面環境整合：

   安裝XRDP後，你需要告訴它使用哪個桌面環境。我們需要編輯一個設定檔，讓XRDP預設使用我們安裝的桌面環境 (例如XFCE)。

   echo xfce4-session > ~/.xsession # 將這行寫入用戶的 .xsession 檔案
   sudo nano /etc/xrdp/startwm.sh

   在 `startwm.sh` 檔案中，找到以下兩行（通常在檔案的末尾）：

   test -x /etc/X11/Xsession && exec /etc/X11/Xsession
   . /etc/X11/Xsession

   將它們註釋掉（在前面加上 `#`），然後在它們上面或下面添加你想要啟動的桌面環境指令。以XFCE為例：

   # test -x /etc/X11/Xsession && exec /etc/X11/Xsession
   # . /etc/X11/Xsession
   startxfce4 & # 添加這行來啟動XFCE
   
   # 或更通用的做法，如果存在 ~/.xsession 檔案
   # [ -r "$HOME/.xsession" ] && . "$HOME/.xsession"

   儲存並退出檔案。

   小撇步： 如果你的XRDP連線後一直黑屏，或是無法正確顯示桌面，通常就是 `startwm.sh` 或 `.xsession` 配置出了問題。GNOME桌面可能需要更複雜的配置，或者安裝GNOME的RDP插件。

4. 重啟XRDP服務：

   sudo systemctl restart xrdp

   確認服務狀態：

   sudo systemctl status xrdp

5. 防火牆設定 (UFW)：允許RDP埠號

   RDP預設使用3389埠號。你需要開放這個埠：

   sudo ufw allow 3389/tcp

   一樣可以用 `sudo ufw status` 來檢查規則是否生效。

RDP客戶端連線：

• Windows 用戶：

  這是RDP的主場！按下 `Win + R` 鍵，輸入 `mstsc`，然後按 `Enter`。這會打開「遠端桌面連線」程式。在「電腦」欄位輸入你的Ubuntu IP地址，然後點擊「連線」。

  XRDP的登入介面會跳出來，輸入你的Ubuntu用戶名和密碼，就可以成功登入到你的Ubuntu桌面了！

• macOS 用戶：

  下載並安裝「Microsoft Remote Desktop」應用程式，在App Store裡就可以找到。打開應用後，點擊「Add PC」，輸入你的Ubuntu IP地址，然後連線即可。

• Linux 用戶：

  可以使用Remmina、FreeRDP等客戶端來連線。Remmina是個不錯的選擇，支援多種協議，安裝方便。

  sudo apt install remmina remmina-plugin-rdp

  然後打開Remmina，選擇RDP協議，輸入IP地址和用戶名，就可以連線了。

我的經驗與評論：VNC與RDP的選擇與優化

我的實測經驗是，如果是從Windows連線，XRDP的體驗通常會比VNC更流暢，尤其是針對畫面更新頻繁的操作。VNC在跨平台兼容性上更勝一籌，但畫面壓縮和延遲有時候會比較明顯。

• 桌面環境選擇： 這是影響遠端桌面效能的關鍵！GNOME或KDE這些功能豐富的桌面環境，在遠端連線時會非常吃資源，導致畫面卡頓。所以我強烈建議你使用XFCE、LXDE、MATE這類輕量級的桌面環境，它們能顯著提升遠端桌面連線的流暢度。
• 網路頻寬： 遠端桌面很吃網路頻寬。如果你的網路環境不好，即使是輕量級桌面，也可能感覺卡頓。這時候可以嘗試在VNC客戶端或RDP客戶端的設定中，調整畫質、顏色深度等選項，犧牲一點畫質來換取流暢度。
• 音訊傳輸： 有些遠端桌面解決方案（尤其是RDP）也支援音訊傳輸，你可以在遠端聽到Ubuntu的聲音。但這會進一步增加頻寬需求，如果不需要，可以關閉。

網路設定與路由轉發 (NAT/Port Forwarding)：讓外網也能連進來！

前面我們設定的都是在Ubuntu主機「內部」的防火牆規則。但如果你的Ubuntu是放在家裡或公司內部網路（例如路由器後面），並且你想從「外部網路」（例如咖啡廳、朋友家）連線進來，你就需要設定「埠號轉發」（Port Forwarding）了。這就像是在你家的路由器上開個「後門」，讓特定服務的連線能直接轉發到你的Ubuntu電腦。

為什麼需要？ 大多數家庭和小型辦公室網路都使用NAT（Network Address Translation）。你的路由器有一個對外的公網IP地址，而你的Ubuntu電腦則是一個內網IP地址（例如192.168.1.100）。當外部連線請求到達你的路由器時，路由器不知道要把這個請求轉發給哪台內網電腦，所以就需要你手動設定轉發規則。

設定埠號轉發的步驟：

1. 確認你的Ubuntu的內部IP地址：

   在你的Ubuntu上打開終端機，輸入：

   ip a

   找到你的網路介面（通常是 `enp0s3` 或 `eth0`），在 `inet` 後面會顯示你的內部IP地址，例如 `192.168.1.100`。

   重要： 建議將你的Ubuntu設定為靜態IP地址，或在路由器上為它保留一個IP地址（DHCP Reservation），避免每次重啟路由器或Ubuntu後IP地址變動，導致遠端連線失敗。

2. 登入你的路由器管理介面：

   打開你的網頁瀏覽器，在網址列輸入路由器的預設閘道IP地址。通常是 `192.168.1.1` 或 `192.168.0.1`。如果你不知道，可以在Windows的命令提示字元輸入 `ipconfig`，在macOS/Linux終端機輸入 `ip route | grep default` 找到。

   輸入路由器的管理員帳號和密碼登入。

3. 找到「埠號轉發」(Port Forwarding) 或「虛擬伺服器」(Virtual Server) 設定：

   每個路由器的介面都不一樣，但通常會在「WAN」、「防火牆」、「NAT」、「進階設定」或「轉發規則」等標籤下找到「Port Forwarding」、「Virtual Server」、「NAT Rules」之類的選項。

4. 新增轉發規則：

   你需要新增一條規則，告訴路由器：

   • 服務名稱： 隨便填，例如「Ubuntu SSH」或「Ubuntu VNC」。
   • 外部埠號 (External Port / WAN Port)： 這是你希望從外網連線時使用的埠號。強烈建議使用非標準埠號，例如SSH的2222，VNC的5901，RDP的3389等。你可以將外部埠和內部埠設定成不一樣的，增加一層隱蔽性。例如，你外部開放8888埠，然後轉發到內部Ubuntu的22埠（SSH）。
   • 內部埠號 (Internal Port / LAN Port)： 這是你的Ubuntu上實際使用的埠號（例如SSH的22，VNC的5901，RDP的3389）。
   • 協議 (Protocol)： 選擇TCP，因為SSH、VNC和RDP都使用TCP協議。
   • 內部IP地址 (Internal IP Address)： 填寫你Ubuntu電腦的內部IP地址（例如192.168.1.100）。

   例如，設定SSH埠號轉發：

   假設你的Ubuntu內網IP是 `192.168.1.100`，SSH服務在 `2222` 埠。

   規則範例：

   • 服務名稱：Ubuntu SSH
   • 外部埠號：2222 (或任何你選的非標準埠，例如8888)
   • 內部埠號：2222 (要跟你SSH伺服器設定的埠號一致)
   • 協議：TCP
   • 內部IP地址：192.168.1.100

   例如，設定VNC埠號轉發：

   假設你的Ubuntu內網IP是 `192.168.1.100`，VNC服務在 `5901` 埠。

   規則範例：

   • 服務名稱：Ubuntu VNC
   • 外部埠號：5901 (或任何你選的非標準埠，例如5999)
   • 內部埠號：5901
   • 協議：TCP
   • 內部IP地址：192.168.1.100

5. 儲存並應用設定：

   完成後，別忘了點擊「儲存」或「應用」按鈕，讓路由器的新設定生效。

動態IP地址問題與DDNS

大多數家庭網路的公網IP地址是動態的，也就是說，你的網路供應商可能會在一段時間後（例如重啟路由器後）改變你的公網IP。這樣一來，即使你設定了埠號轉發，IP地址變了你也連不上了。

解決這個問題的最佳方式是使用DDNS (Dynamic DNS) 服務。DDNS服務會將一個固定的域名（例如 `myubuntu.ddns.net`）與你變動的公網IP地址綁定起來。每次你的公網IP改變時，路由器或DDNS客戶端軟體會自動通知DDNS服務提供商更新IP地址。這樣，你就只需要記住一個域名，而不用擔心IP地址變動了。

許多路由器都內建了DDNS客戶端功能，你可以直接在路由器上設定。如果你的路由器不支持，也可以在Ubuntu上安裝DDNS客戶端軟體，或者使用像Cloudflare這種提供DDNS API的服務。

遠端連線的安全性考量：保護你的寶貝Ubuntu！

進行遠端連線，就等同於在網路上為你的電腦開啟了一扇門。這扇門開得越大、越隨便，潛在的風險就越高。因此，安全考量絕對是重中之重，請務必認真對待！

• 強密碼！強密碼！強密碼！

  重要的事情說三遍！無論是SSH的密碼，VNC的密碼，還是你的Ubuntu用戶密碼，都必須設定得又長又複雜，包含大小寫字母、數字和特殊符號。禁用簡單、常見的密碼，避免使用生日、電話等容易猜到的資訊。這是最基礎也是最有效的防線。

• 定期更新系統：

  Ubuntu會定期發布安全更新。這些更新通常會修補已知的漏洞，防止惡意攻擊。務必養成定期更新系統的好習慣：

  sudo apt update && sudo apt upgrade -y
  sudo apt autoremove -y

• 防火牆 (UFW)：

  前面我們已經提到了UFW，它是你Ubuntu的第一道防線。只開放你確實需要外部訪問的埠號，關閉所有不必要的埠。如果你的服務器只用於SSH，那就只開放SSH埠號。

  sudo ufw default deny incoming # 預設拒絕所有進入連線
  sudo ufw default allow outgoing # 預設允許所有出去連線
  # 然後再個別允許你需要的埠，例如：
  sudo ufw allow 2222/tcp # 允許SSH埠 (如果你改了埠號)
  sudo ufw allow 5901/tcp # 允許VNC埠
  sudo ufw enable # 啟用防火牆

• 禁用不必要的服務：

  檢查你的Ubuntu上是否運行了你不需要的服務。運行越多服務，潛在的攻擊面就越大。你可以使用 `sudo systemctl list-units –type=service –state=running` 來查看當前正在運行的服務。

• SSH金鑰認證 (Key-based Authentication)：

  這絕對是比密碼更安全的登入方式。前面已經詳細介紹了，強烈建議啟用並禁用密碼登入。

• 限制IP存取 (選配)：

  如果你只會從特定的IP地址（例如你的辦公室IP）連線到Ubuntu，你可以在UFW中限制只允許該IP地址訪問你的SSH/VNC埠。例如：

  sudo ufw allow from 1.2.3.4 to any port 2222 proto tcp

  這會大大降低被惡意掃描和攻擊的風險。但缺點是，如果你的來源IP變動了，你就連不上了。

• 使用VPN (Virtual Private Network)：

  這是最推薦的安全方式！你可以設定一個VPN伺服器（例如OpenVPN或WireGuard）在你的路由器上或另一台專用的主機上。然後，當你想遠端連線到Ubuntu時，先透過VPN連線到你的家庭或辦公室網路，這樣你的所有流量都會在VPN隧道中加密傳輸，而且你的Ubuntu就好像和你在同一個區域網路一樣，無需開放任何埠號到公網。這大大降低了被攻擊的風險，因為你的SSH或VNC埠號不再直接暴露在網際網路上。

• 安裝並配置Fail2Ban (適用於SSH)：

  Fail2Ban是一個入侵防禦軟體，它會掃描日誌檔，監測登入失敗的嘗試。如果發現有IP地址在短時間內多次嘗試登入失敗（例如暴力破解），它會自動將這個IP地址加入到防火牆的黑名單中，阻止它在一段時間內再次連線。這對於抵禦自動化的暴力破解攻擊非常有效！

  安裝Fail2Ban：

  sudo apt install fail2ban

  它通常會自動啟動並監測SSH服務。你可以編輯 `/etc/fail2ban/jail.local` 檔案來進行更詳細的配置。

常見問題與疑難排解：搞定你的遠端連線小煩惱！

在設定遠端連線的過程中，你可能會遇到一些小狀況。別擔心，這都是常見的，讓我來幫你快速排除！

Q1: 為什麼我無法連線到我的Ubuntu？

這絕對是新手最常遇到的問題！可能性有很多，我們可以一一排查：

• 防火牆問題：
  這是最常見的原因！請再次確認你的Ubuntu上的UFW（或任何其他防火牆）是否已經允許了你所使用的遠端連線埠號（例如SSH的22或你自定義的埠號、VNC的5901、RDP的3389）。
  輸入 `sudo ufw status` 檢查規則。如果沒有開放，記得用 `sudo ufw allow 埠號/tcp` 來開放。

• 服務未啟動：
  你的SSH服務 (`sshd`)、VNC伺服器 (`vncserver`) 或XRDP服務 (`xrdp`) 有沒有正常運行？
  可以用 `sudo systemctl status ssh`、`systemctl status vncserver@:1` (VNC) 或 `sudo systemctl status xrdp` 來檢查它們的運行狀態。如果沒有運行，嘗試用 `sudo systemctl start 服務名` 啟動。

• IP地址錯誤：
  你確定你輸入的是正確的Ubuntu IP地址嗎？如果是內網連線，請確認你輸入的是內網IP。如果是外網連線，請確認你輸入的是公網IP，而且埠號轉發也設定正確。

• 埠號轉發設定錯誤 (針對外網連線)：
  如果你是從外網連線，請檢查你的路由器埠號轉發設定。確認外部埠號、內部埠號和內部IP地址都對應正確。

• 網路連通性：
  你的客戶端電腦能否「ping」通Ubuntu電腦的IP地址？
  在客戶端電腦的終端機或命令提示字元輸入 `ping your_ubuntu_ip`。如果ping不通，可能是網路線沒插好、無線網路沒連上，或是路由器有問題。

Q2: 遠端連線很慢，畫面卡頓怎麼辦？

尤其在VNC/RDP圖形介面連線時，網路頻寬和桌面環境的選擇是關鍵！

• 網路頻寬不足：
  這是最直接的影響因素。如果你的網路速度不夠快，或者網路環境擁塞，畫面傳輸自然會慢。嘗試在客戶端連線軟體中調整「畫質」、「顏色深度」或「壓縮等級」設定，犧牲一點視覺效果來換取流暢度。

• 桌面環境選擇不當：
  前面提過，GNOME或KDE這些「重型」桌面環境會消耗大量系統資源和網路頻寬。
  強烈建議使用XFCE、LXDE、MATE等輕量級桌面環境。它們不僅佔用資源少，遠端傳輸時也更加流暢。如果你現在用的是GNOME，可以嘗試安裝XFCE並將XRDP/VNC配置為使用XFCE。

• Ubuntu硬體配置：
  如果你的Ubuntu電腦本身記憶體或CPU不足，即使網路很好，運行桌面環境和應用程式也會很慢，進而影響遠端體驗。

• 遠端連線協議選擇：
  在Windows客戶端連線Ubuntu時，XRDP通常會比VNC提供更流暢的體驗。考慮切換協議來測試。

Q3: 如何知道我的Ubuntu IP地址？

簡單！在你的Ubuntu電腦上打開終端機，輸入：

ip a

這會顯示你所有網路介面的詳細資訊。找到你的主網路介面，通常會是像 `enp0s3`、`eth0` 或 `wlan0` (如果是無線網路)。在該介面下方，找到 `inet` 後面跟著的數字，那就是你的IPv4地址。例如：

2: enp0s3:  mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global dynamic enp0s3
       valid_lft 42967sec preferred_lft 42967sec

這裡的 `192.168.1.100` 就是你的內網IP地址。

如果你想知道你的公網IP地址（用於外網連線時），可以在Ubuntu上打開瀏覽器，搜尋「what is my ip」或訪問像 `ip.me` 這樣的網站。或者在終端機輸入：

curl ifconfig.me

這會直接顯示你的公網IP。

Q4: 遠端桌面連線後黑屏或無法顯示桌面？

這是VNC和XRDP常見的問題，通常是桌面環境配置出錯了。

• VNC 的 `xstartup` 檔案配置：
  對於VNC，請檢查你的 `~/.vnc/xstartup` 檔案。確保它包含了正確的桌面環境啟動指令（例如 `startxfce4 &` 或 `exec /usr/bin/gnome-session`）。並且確認 `chmod +x ~/.vnc/xstartup` 已經執行，給予了執行權限。

• XRDP 的 `.xsession` 或 `startwm.sh` 配置：
  對於XRDP，確保你的用戶主目錄下有一個 `.xsession` 檔案，內容為 `xfce4-session` (如果你使用XFCE)。
  同時檢查 `/etc/xrdp/startwm.sh` 檔案，確認它已正確配置以啟動你選擇的桌面環境，並且原有的 `test -x /etc/X11/Xsession && exec /etc/X11/Xsession` 等行已經被註釋掉。

• 桌面環境本身問題：
  有時候桌面環境本身可能沒有正常啟動。嘗試在Ubuntu本機登入，確認桌面環境可以正常顯示。如果本機也無法顯示，則需要修復桌面環境安裝問題。

• 重啟服務：
  每次修改VNC或XRDP的配置檔案後，記得要重啟對應的服務：
  `vncserver -kill :1` 然後 `vncserver :1` (VNC)
  或 `sudo systemctl restart xrdp` (XRDP)。

Q5: SSH連線時出現「Permission denied, please try again.」？

這代表你的登入驗證失敗了。可能的原因有：

• 密碼輸入錯誤：
  最直接的原因。請仔細核對你的用戶名和密碼，注意大小寫。

• 用戶名錯誤：
  你是否使用了正確的Ubuntu用戶名？記得不是Root。

• 禁用Root登入：
  如果你在 `/etc/ssh/sshd_config` 中設定了 `PermitRootLogin no`，你就不能直接用 `root` 帳號透過SSH登入。你必須先用普通用戶登入，然後再用 `sudo su -` 提升權限。

• 金鑰認證失敗：
  如果你配置了SSH金鑰認證並禁用密碼登入，那麼可能是：

  • 你的客戶端沒有提供正確的私鑰。
  • 私鑰的權限不對（在Linux/macOS上，私鑰檔案的權限必須是 `chmod 400 ~/.ssh/id_rsa` 或 `chmod 600 ~/.ssh/id_rsa`）。
  • 私鑰的密碼 (passphrase) 輸入錯誤。
  • Ubuntu伺服器上的 `~/.ssh/authorized_keys` 檔案權限不對（應為 `chmod 600 ~/.ssh/authorized_keys`）。
  • Ubuntu伺服器上的 `~/.ssh` 目錄權限不對（應為 `chmod 700 ~/.ssh`）。

  你可以嘗試在客戶端添加 `-v` 參數 (`ssh -v -p 2222 user@your_ubuntu_ip`) 來查看更詳細的除錯訊息，它會告訴你驗證失敗的具體原因。

• 設定檔有誤：
  檢查 `/etc/ssh/sshd_config` 檔案是否有語法錯誤，或者其他配置限制了你的登入。每次修改後記得 `sudo systemctl restart ssh`。

Q6: 遠端連線安全嗎？有哪些潛在風險？

遠端連線本身是一個強大的工具，但也確實存在潛在風險，如果沒有正確配置，可能會變成安全漏洞。

主要風險包括：

• 暴力破解攻擊 (Brute-force Attacks)：
  攻擊者會自動化地嘗試使用大量的用戶名和密碼組合來猜測你的登入憑證。如果你的密碼過於簡單，或者沒有啟用金鑰認證，你的系統就可能被攻破。
  防範： 使用複雜密碼、啟用SSH金鑰認證、禁用密碼登入、安裝Fail2Ban、更改預設埠號。

• 中間人攻擊 (Man-in-the-Middle Attacks)：
  惡意方可能截斷你和伺服器之間的通訊，並冒充其中一方來獲取你的登入資訊或注入惡意指令。
  防範： SSH協議本身提供了加密，但首次連線時務必驗證伺服器指紋 (fingerprint)。如果指紋有變動，要特別警惕。使用VPN可以大大降低這種風險。

• 軟體漏洞：
  SSH伺服器、VNC/RDP伺服器或底層作業系統本身可能存在未知的安全漏洞。
  防範： 定期更新你的Ubuntu系統和所有軟體套件，確保它們處於最新版本，以修補已知的安全漏洞。

• 配置錯誤：
  不正確的防火牆規則、過於寬鬆的檔案權限、或者開放了不必要的服務，都可能為攻擊者提供入侵點。
  防範： 仔細檢查所有安全相關配置，只開放必要的埠號和服務，遵循最小權限原則。

總之，遠端連線的安全性在於你的配置意識和實踐。遵循本文中提供的安全建議，你的Ubuntu遠端連線就能既方便又安全！

希望這篇詳細的文章能幫助你完全搞懂「Ubuntu 怎麼遠端」這個議題。如果你還有其他問題，或者在實作過程中遇到任何困難，都可以多加研究和嘗試，因為每一次的除錯都是學習和成長的機會！祝你遠端愉快，工作順利啦！