Le -localhost L'option indique au serveur VNC de se lier uniquement à l'interface de bouclage, de sorte que vous ne pouvez vous connecter au serveur VNC qu'à partir de la machine sur laquelle il s'exécute. Cela signifie que toute personne essayant de s'introduire dans votre session VNC devrait pouvoir accéder à cette machine particulière. Sans -localhost , votre serveur VNC accepterait les connexions non locales, de sorte qu'un attaquant pourrait utiliser une autre machine pour tenter de s'introduire dans votre session VNC.
Si vous comptez utiliser -localhost , alors vous devriez passer -L 5900:localhost:5901 , pas -L 5900:vnc.machine:5901 , puisque votre serveur VNC n'écoute que sur l'interface de bouclage (localhost).
jjlin La réponse de couvre le dépannage, mais pour vraiment le sécuriser, vous devez également passer -nolisten tcp à vncserver . Cela garantit qu'il n'y aura pas d'écouteur TCP ouvert sur le X côté des choses.