El -localhost La opción le dice al servidor VNC que se vincule solo a la interfaz de bucle invertido, de modo que solo pueda conectarse al servidor VNC desde la máquina en la que se está ejecutando. Esto significa que cualquier persona que intente ingresar a su sesión de VNC debería poder acceder a esa máquina en particular. Sin -localhost , su servidor VNC aceptaría conexiones no locales, por lo que un atacante podría usar otra máquina para intentar ingresar a su sesión VNC.
Si vas a usar -localhost , entonces deberías pasar -L 5900:localhost:5901 , no -L 5900:vnc.machine:5901 , ya que su servidor VNC está escuchando solo en la interfaz loopback (localhost).
jjlin La respuesta de cubre la solución de problemas, pero para que sea realmente segura, también debe pasar -nolisten tcp a vncserver . Esto asegura que no habrá un oyente TCP abierto en el X lado de las cosas.