小白是否不适合搞外网远程桌面?

2023-05-05 11:16:55 +08:00
 az22c

想从公司,远程桌面到家里的 主力机(代号为 C 机),看看笔记啥的,一般不需要提交什么资料。

一般方案就是:控制端机 A,远程桌面到,家里 主力机 C。(家里还有一台 闲置机 B,看看能不能帮助提高安全性。)


如果实施远程桌面方案:

研究了一下站里,我做一个肤浅的解读:

所以,

但是看到很多案例,病毒木马感染能打穿局域网。想试问 机 B 访问 机 C 的笔记和图床有什么安全的服务? ==》就是一个局域网里面搞安全隔离的问题。


如果不实施远程桌面方案:

任意一台局域网内机器,将笔记部署为一个网页服务,只暴露这个端口和网页。外网的机器怎么访问这个内网网页,同时安全性比较高呢?

6258 次点击
所在节点    宽带症候群
52 条回复
mohumohu
2023-05-05 11:21:32 +08:00
zerotier 开源可以自建,也不暴露端口。想安全暴露可以套个 cloudflare tunnel 。
az22c
2023-05-05 11:25:17 +08:00
@mohumohu zerotier 开源。个人粗浅理解,如果某人发现该程序后门,选择公不公开是个玄学问题
az22c
2023-05-05 11:27:47 +08:00
@mohumohu 不论开源还是闭源,个人对内网穿透和远程桌面不太信任,主要是因为这些给予的计算机权限太大了,把风险拔得太高。
iyiluo
2023-05-05 11:27:48 +08:00
开防火墙,只放行固定 ip 访问,如果是公司出口没有固定 ip ,可以放行网段,加上远程登录密码,足够安全了
weiweiwitch
2023-05-05 11:32:17 +08:00
没有绝对安全的系统。防的在好,某些安全技术在未来也有可能有致命漏洞。
所以说,所有方案都是在投入的时间精力(成本)和安全性之间做平衡。
把重要资料做离线备份,然后在自己有限精力范围内选择一个可行方案就行了。
太注重安全,这日子就没法过了(整天都处于焦虑中)。
mohumohu
2023-05-05 11:35:28 +08:00
@az22c 你这么说的话所有程序和方案都可能是不安全和有后门的,更别说闭源的程序了。远程权限并不是内网穿透给与的,而是你自己给的,你可以用标准用户远程连接,符合 UAC 的用法。
leaflxh
2023-05-05 11:38:39 +08:00
内网单独开一个 linux 虚拟机

用 iptables 禁止到内网的流量,只允许特定的端口
---
#新建一个隔离用的链
iptables -N ISOLATION

#允许内网机器 192.168.1.10 连接该虚拟机的 ssh 服务和 https 服务
iptables -A ISOLATION -d 192.168.1.10 -p tcp -m multiport --sport 22,443 -j ACCEPT
#拒绝所有的其他流量
iptables -A ISOLATION -d 192.168.1.0/24 -j DROP
iptables -A ISOLATION -p all -j RETURN

#以上规则应用到出站
iptables -I OUTPUT -p all -j ISOLATION
iptables -I DOCKER-USER -p all -j ISOLATION
---
xuelu520
2023-05-05 11:39:26 +08:00
你这个需求不需要远程呀,oneDrive 等等同步盘就行了
leaflxh
2023-05-05 11:41:36 +08:00
这样黑不到内网的机器,除非拿到 root 权限把防火墙清了,或者知道了这个规则,特地把发包的源端口设定为 22 或 443
az22c
2023-05-05 12:00:39 +08:00
@leaflxh > 允许内网机器 192.168.1.10 连接该虚拟机的 ssh 服务和 https 服务

那我外网连到该 隔离机,随便选个相对靠谱的远程桌面方案就可以了吗?

我笔记仓库应该是放在主力机呀,那这个 隔离机 可以通过 git ssh 连接笔记吗?还是用的 u 盘传输笔记?
az22c
2023-05-05 12:02:19 +08:00
@mohumohu #6 不太看得懂。意思是 标准用户远程连接或者说 UAC 是相对更安全一点嘛?
az22c
2023-05-05 12:06:23 +08:00
@xuelu520 #8 对呀。光是看笔记,靠笔记厂商的云服务或者云盘就可以了。这是绝大多数人已知的方案。我想问一下上述我这些不了解的方案,拿来实施一下。然后对比一下效果。

笔记云服务也不是十全十美的啊,主要在于要支付云服务费;然后大体积笔记仓库想弄到云上面,还是比较麻烦的呀
leaflxh
2023-05-05 12:16:21 +08:00
服务暴露在公网上肯定要开防火墙的。

如果不想学防火墙的话也可以试试端口敲门,就是只开一个端口,然后你连接过去,鉴权通过后它修改防火墙规则,把服务暴露出来。不过没怎么用过只看到过这个概念

https://www.freebuf.com/articles/network/281639.html
https://lingwu111.github.io/%E7%AB%AF%E5%8F%A3%E6%95%B2%E9%97%A8%E6%8A%80%E6%9C%AF.html
https://en.wikipedia.org/wiki/Port_knocking
leaflxh
2023-05-05 12:18:10 +08:00
再就是把服务绑在 ipv6 上,目前“看起来”挺安全的,没什么人扫
brader
2023-05-05 12:23:16 +08:00
如果你有自己的服务器,懂用 frp 的话,我推荐你用这个,吊打其他远程软件,配置好后,无论是操作便利性还是连接质量,非常完美,我使用这个模式 3 年了,没出什么问题,也没中毒。
我使用的是 stcp 模式。
az22c
2023-05-05 12:28:38 +08:00
@leaflxh 我笔记仓库应该是放在主力机呀,那这个 隔离机 可以通过 git ssh 连接笔记吗?还是用的 u 盘传输笔记?还是彻底物理隔离 wifi 隔离?
hack
2023-05-05 14:08:58 +08:00
mstsc 加个双因素认证
VirgilChen97
2023-05-05 14:14:30 +08:00
是不是直接用 VPN 就好了,我在公司就是直接 wireguard 回家然后直接内网地址远程桌面
az22c
2023-05-05 15:01:14 +08:00
@hack 双因素认证 有啥成功部署案例吗?企业级的好难呀。手持设备查看动态密码或者接收短信,应该都是需要服务的
Jhma
2023-05-05 15:20:21 +08:00
openvpn 方案,用 opnsense 开源防火墙搭建,可附加一个 OTP 二次验证,手机 APP 装谷歌验证器等,实现了用户+密码+证书+动态码高安全连接!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX