V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
blackbookbj
V2EX  ›  程序员

请教远程连接方案

  •  1
     
  •   blackbookbj · 2021-03-03 09:31:09 +08:00 · 3843 次点击
    这是一个创建于 1121 天前的主题,其中的信息可能已经有所发展或是发生改变。
    win 服务器,出于安全考虑,不让用 3389 远程桌面了,但是系统还需要经常更新代码,有什么安全又便捷的远程连接方案么?
    ssh 是 linux 下的,win 下可以用么?环境是局域网。
    32 条回复    2021-03-04 10:25:56 +08:00
    myd
        1
    myd  
       2021-03-03 09:34:15 +08:00
    可以换个端口,不过也是不安全。
    用向日葵吧,不用监听端口
    rootmaster
        2
    rootmaster  
       2021-03-03 09:35:26 +08:00
    改端口又不是麻烦事,实在不行你就装 vnc
    z740713651
        3
    z740713651  
       2021-03-03 09:37:19 +08:00
    软件的话 试试 todesk
    dongtingyue
        4
    dongtingyue  
       2021-03-03 09:40:41 +08:00
    不是有防火墙可以限制特定 ip 连接么?或者更新代码用 svn 或 git 之类推。
    sarices
        5
    sarices  
       2021-03-03 09:42:35 +08:00
    zerotier
    vfxx
        6
    vfxx  
       2021-03-03 09:43:52 +08:00
    经过领导同意的前提下,使用 FRP 的 STCP ( N2N )模式,服务器只有自己配置过 FRP 可连接,安全系数很高。
    chenluo0429
        7
    chenluo0429  
       2021-03-03 09:49:33 +08:00
    同局域网内一台 linux 提供 ssh tunnel 转发,ssh 只使用 public key 就行。
    yanzhiling2001
        8
    yanzhiling2001  
       2021-03-03 10:23:48 +08:00
    是啊,改革端口,用 frp 的 stcp 模式转发,不对外暴漏端口就比较安全了。

    那不然就搭建个 ftp 了?密码设置为 30 位数字大小写,穷举爆破得三十年起步
    jing8956
        9
    jing8956  
       2021-03-03 10:38:21 +08:00 via Android
    命令式远程的话 linux 的 ssh 可以对标 win 的 winrm,
    就是配置起来挺麻烦折腾了我有一天
    因为安全的配置要挂域名+ssl 证书,在局域网不想整的话还要加 ip 白名单
    而且还是从图形化远程过来的,不会撸 PowerShell 的话还得重新学习。
    然而这和安全能有什么关系。
    Win RDP 本来就有安全配置还也改端口,说因为不安全就不让用不是技术低不会怪工具要不就是懒惰爱不折腾要不就是别目的。
    qW7bo2FbzbC0
        10
    qW7bo2FbzbC0  
       2021-03-03 10:42:42 +08:00
    zerotier 真的方便,速度也快
    nightwitch
        11
    nightwitch  
       2021-03-03 10:45:57 +08:00
    @jing8956 安全配置顶屁用。
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
    就去年 2020 年一年 RDP 就披露了 8 个 CVE,就这安全性还有人敢用?
    nightwitch
        12
    nightwitch  
       2021-03-03 10:47:31 +08:00
    #11 看错了,2019 年 8 个,2020 年 9 个漏洞
    opengps
        13
    opengps  
       2021-03-03 10:52:56 +08:00 via Android
    改端口,fail2ban 的 windows 版,不过已经是局域网了,这么做其实必要性没那么高了
    Lemeng
        14
    Lemeng  
       2021-03-03 10:55:03 +08:00
    todesk,局域网以前一直用这个。
    henyi2211
        15
    henyi2211  
       2021-03-03 11:44:24 +08:00
    公网环境, 开 VPN, 再 3389 远程
    局域网环境, 没那么高的安全要求吧, 直接 3389
    newmlp
        16
    newmlp  
       2021-03-03 11:48:49 +08:00
    当然是开 VPN 啊
    billgong
        17
    billgong  
       2021-03-03 13:04:55 +08:00
    听你这个情况是只有一台或者很少数量的服务器?新的 Windows (包括 server 版)都自带 OpenSSH 了吧,可以搞 SSH 隧道的,体量和配置应该都比 VPN 要轻很多。放狗随便搜了个教程: http://woshub.com/ssh-tunnel-port-forward-windows/

    如果是机房或者云集群,量大了可以用跳板机(自己用 Guacamole 搭也行),还能做 AAA 安全管理
    jing8956
        18
    jing8956  
       2021-03-03 13:12:29 +08:00
    @nightwitch
    CVE 数量只看 rdp+windows 没有别的参考的话我无法确定这 8 个 9 个相比较其他的解决方案是多还是少。
    希望您赐教并回复题主的提问提出一个更安全的 win 上局域网的图形化远程解决方案,最好再附上没有严重事故+CVE 数量少并且使用人数广的数据支撑。
    ericls
        19
    ericls  
       2021-03-03 13:14:57 +08:00 via iPhone
    Zerotier tinc nebula
    yylzcom
        20
    yylzcom  
       2021-03-03 13:17:32 +08:00
    提供方案:
    1. Teamviewer, 设置免验证登陆(就是收费比较贵而且那个商业版连几分钟断 10 分钟的很烦)
    2. VNC Server, 自行设定安全措施
    3. FRP 的我比较粗暴, FRP 服务端手动开启, 只有用的时候才开启, 平时不启动, 再加上强密码....
    nightwitch
        21
    nightwitch  
       2021-03-03 13:41:58 +08:00
    @jing8956 拿 teamviewer 出来比对下,局域网内使用无限制。唯一一个代码执行漏洞需要黑客进行 DLL 替换才能实现。
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=TeamViewer

    反观 RDP, 两年内爆出的 CVE-2020-0610,CVE-2020-0609 以及 cve-2019-0708 都是严重的远程代码执行漏洞,允许绕过安全验证在目标机器上执行代码。:)
    Slartibartfast
        22
    Slartibartfast  
       2021-03-03 13:49:09 +08:00 via iPhone
    开 VPN,首先不要把任何服务暴露在公网上。

    VPN 可以用 tailscale 一类的,简单方便。
    jing8956
        23
    jing8956  
       2021-03-03 14:03:11 +08:00
    @nightwitch
    看来花钱是一切问题的最终解决方案。
    如果还没解决到位,那就是钱没花够。
    sudoy
        24
    sudoy  
       2021-03-03 14:12:00 +08:00
    dxfree
        25
    dxfree  
       2021-03-03 14:35:37 +08:00
    公司放一台 win 台式机,远程上去当作跳板登录服务器,不建议直接从外网访问服务器。
    dier
        26
    dier  
       2021-03-03 16:07:46 +08:00
    我用的方法是通过 SSH + 私钥的方式登录到内网服务器开放 iptables 的 3389 配置,用完即关。
    PUBG98k
        27
    PUBG98k  
       2021-03-03 16:14:02 +08:00
    ToDesk
    320266360
        28
    320266360  
       2021-03-03 16:20:14 +08:00
    给你推荐一个 Radmin Server 从 2001 年一直用到现在 2021 年,配合 Radmin Viewer 是管理 windows server 远程除 3389 之外最靠谱的软件没有之一。。
    luzemin
        29
    luzemin  
       2021-03-03 16:20:44 +08:00
    不使用 GUI 的话,使用 PowerShell,把它当做 linux 服务器
    precure
        30
    precure  
       2021-03-03 16:26:10 +08:00
    JumpServer 做的堡垒机
    Rache1
        31
    Rache1  
       2021-03-04 09:31:11 +08:00
    加个二次认证,duo.com
    yezi988
        32
    yezi988  
       2021-03-04 10:25:56 +08:00
    安装一个向日葵不就完事,控制电脑手机都可以
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3256 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 14:06 · PVG 22:06 · LAX 07:06 · JFK 10:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.