未分類
28 2 月 2021

请教远程连接方案

请教远程连接方案

資深大佬 : blackbookbj 1

win 服务器,出于安全考虑,不让用 3389 远程桌面了,但是系统还需要经常更新代码,有什么安全又便捷的远程连接方案么?
ssh 是 linux 下的,win 下可以用么?环境是局域网。
大佬有話說 (32)

  • 資深大佬 : myd

    可以换个端口,不过也是不安全。
    用向日葵吧,不用监听端口

  • 資深大佬 : rootmaster

    改端口又不是麻烦事,实在不行你就装 vnc

  • 資深大佬 : z740713651

    软件的话 试试 todesk

  • 資深大佬 : dongtingyue

    不是有防火墙可以限制特定 ip 连接么?或者更新代码用 svn 或 git 之类推。

  • 資深大佬 : sarices

    zerotier

  • 資深大佬 : vfxx

    经过领导同意的前提下,使用 FRP 的 STCP ( N2N )模式,服务器只有自己配置过 FRP 可连接,安全系数很高。

  • 資深大佬 : chenluo0429

    同局域网内一台 linux 提供 ssh tunnel 转发,ssh 只使用 public key 就行。

  • 資深大佬 : yanzhiling2001

    是啊,改革端口,用 frp 的 stcp 模式转发,不对外暴漏端口就比较安全了。

    那不然就搭建个 ftp 了?密码设置为 30 位数字大小写,穷举爆破得三十年起步

  • 資深大佬 : jing8956

    命令式远程的话 linux 的 ssh 可以对标 win 的 winrm,
    就是配置起来挺麻烦折腾了我有一天
    因为安全的配置要挂域名+ssl 证书,在局域网不想整的话还要加 ip 白名单
    而且还是从图形化远程过来的,不会撸 PowerShell 的话还得重新学习。
    然而这和安全能有什么关系。
    Win RDP 本来就有安全配置还也改端口,说因为不安全就不让用不是技术低不会怪工具要不就是懒惰爱不折腾要不就是别目的。

  • 資深大佬 : hjahgdthab750

    zerotier 真的方便,速度也快

  • 資深大佬 : nightwitch

    @jing8956 安全配置顶屁用。
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
    就去年 2020 年一年 RDP 就披露了 8 个 CVE,就这安全性还有人敢用?

  • 資深大佬 : nightwitch

    #11 看错了,2019 年 8 个,2020 年 9 个漏洞

  • 資深大佬 : opengps

    改端口,fail2ban 的 windows 版,不过已经是局域网了,这么做其实必要性没那么高了

  • 資深大佬 : Lemeng

    todesk,局域网以前一直用这个。

  • 資深大佬 : henyi2211

    公网环境, 开 VPN, 再 3389 远程
    局域网环境, 没那么高的安全要求吧, 直接 3389

  • 資深大佬 : newmlp

    当然是开 VPN 啊

  • 資深大佬 : billgong

    听你这个情况是只有一台或者很少数量的服务器?新的 Windows (包括 server 版)都自带 OpenSSH 了吧,可以搞 SSH 隧道的,体量和配置应该都比 VPN 要轻很多。放狗随便搜了个教程: http://woshub.com/ssh-tunnel-port-forward-windows/

    如果是机房或者云集群,量大了可以用跳板机(自己用 Guacamole 搭也行),还能做 AAA 安全管理

  • 資深大佬 : jing8956

    @nightwitch
    CVE 数量只看 rdp+windows 没有别的参考的话我无法确定这 8 个 9 个相比较其他的解决方案是多还是少。
    希望您赐教并回复题主的提问提出一个更安全的 win 上局域网的图形化远程解决方案,最好再附上没有严重事故+CVE 数量少并且使用人数广的数据支撑。

  • 資深大佬 : ericls

    Zerotier tinc nebula

  • 資深大佬 : yylzcom

    提供方案:
    1. Teamviewer, 设置免验证登陆(就是收费比较贵而且那个商业版连几分钟断 10 分钟的很烦)
    2. VNC Server, 自行设定安全措施
    3. FRP 的我比较粗暴, FRP 服务端手动开启, 只有用的时候才开启, 平时不启动, 再加上强密码….

  • 資深大佬 : nightwitch

    @jing8956 拿 teamviewer 出来比对下,局域网内使用无限制。唯一一个代码执行漏洞需要黑客进行 DLL 替换才能实现。
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=TeamViewer

    反观 RDP, 两年内爆出的 CVE-2020-0610,CVE-2020-0609 以及 cve-2019-0708 都是严重的远程代码执行漏洞,允许绕过安全验证在目标机器上执行代码。:)

  • 資深大佬 : Slartibartfast

    开 VPN,首先不要把任何服务暴露在公网上。

    VPN 可以用 tailscale 一类的,简单方便。

  • 資深大佬 : jing8956

    @nightwitch
    看来花钱是一切问题的最终解决方案。
    如果还没解决到位,那就是钱没花够。

  • 資深大佬 : sudoy

    windows server 2019 可以装 OpenSSH 的:
    https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse

  • 資深大佬 : dxfree

    公司放一台 win 台式机,远程上去当作跳板登录服务器,不建议直接从外网访问服务器。

  • 資深大佬 : dier

    我用的方法是通过 SSH + 私钥的方式登录到内网服务器开放 iptables 的 3389 配置,用完即关。

  • 資深大佬 : PUBG98k

    ToDesk

  • 資深大佬 : 320266360

    给你推荐一个 Radmin Server 从 2001 年一直用到现在 2021 年,配合 Radmin Viewer 是管理 windows server 远程除 3389 之外最靠谱的软件没有之一。。

  • 資深大佬 : luzemin

    不使用 GUI 的话,使用 PowerShell,把它当做 linux 服务器

  • 資深大佬 : precure

    JumpServer 做的堡垒机

  • 資深大佬 : faqqcn

    加个二次认证,duo.com

  • 資深大佬 : yezi988

    安装一个向日葵不就完事,控制电脑手机都可以