这是一个创建于 1363 天前的主题,其中的信息可能已经有所发展或是发生改变。
win 服务器,出于安全考虑,不让用 3389 远程桌面了,但是系统还需要经常更新代码,有什么安全又便捷的远程连接方案么?
ssh 是 linux 下的,win 下可以用么?环境是局域网。
ssh 是 linux 下的,win 下可以用么?环境是局域网。
 |
1
myd 2021-03-03 09:34:15 +08:00
可以换个端口,不过也是不安全。
用向日葵吧,不用监听端口 |
 |
2
rootmaster 2021-03-03 09:35:26 +08:00
改端口又不是麻烦事,实在不行你就装 vnc
|
 |
3
z740713651 2021-03-03 09:37:19 +08:00
软件的话 试试 todesk
|
 |
4
dongtingyue 2021-03-03 09:40:41 +08:00
不是有防火墙可以限制特定 ip 连接么?或者更新代码用 svn 或 git 之类推。
|
 |
5
sarices 2021-03-03 09:42:35 +08:00
zerotier
|
 |
6
vfxx 2021-03-03 09:43:52 +08:00
经过领导同意的前提下,使用 FRP 的 STCP ( N2N )模式,服务器只有自己配置过 FRP 可连接,安全系数很高。
|
 |
7
chenluo0429 2021-03-03 09:49:33 +08:00
同局域网内一台 linux 提供 ssh tunnel 转发,ssh 只使用 public key 就行。
|
 |
8
40EaE5uJO3Xt1VVa 2021-03-03 10:23:48 +08:00
是啊,改革端口,用 frp 的 stcp 模式转发,不对外暴漏端口就比较安全了。
那不然就搭建个 ftp 了?密码设置为 30 位数字大小写,穷举爆破得三十年起步 |
 |
9
jing8956 2021-03-03 10:38:21 +08:00 via Android
命令式远程的话 linux 的 ssh 可以对标 win 的 winrm,
就是配置起来挺麻烦折腾了我有一天 因为安全的配置要挂域名+ssl 证书,在局域网不想整的话还要加 ip 白名单 而且还是从图形化远程过来的,不会撸 PowerShell 的话还得重新学习。 然而这和安全能有什么关系。 Win RDP 本来就有安全配置还也改端口,说因为不安全就不让用不是技术低不会怪工具要不就是懒惰爱不折腾要不就是别目的。 |
 |
10
qW7bo2FbzbC0 2021-03-03 10:42:42 +08:00
zerotier 真的方便,速度也快
|
 |
11
nightwitch 2021-03-03 10:45:57 +08:00
@jing8956 安全配置顶屁用。
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows 就去年 2020 年一年 RDP 就披露了 8 个 CVE,就这安全性还有人敢用? |
|
12
nightwitch 2021-03-03 10:47:31 +08:00
#11 看错了,2019 年 8 个,2020 年 9 个漏洞
|
 |
13
opengps 2021-03-03 10:52:56 +08:00 via Android
改端口,fail2ban 的 windows 版,不过已经是局域网了,这么做其实必要性没那么高了
|
 |
14
Lemeng 2021-03-03 10:55:03 +08:00
todesk,局域网以前一直用这个。
|
 |
15
henyi2211 2021-03-03 11:44:24 +08:00
公网环境, 开 VPN, 再 3389 远程
局域网环境, 没那么高的安全要求吧, 直接 3389 |
 |
16
newmlp 2021-03-03 11:48:49 +08:00
当然是开 VPN 啊
|
 |
17
billgong 2021-03-03 13:04:55 +08:00
听你这个情况是只有一台或者很少数量的服务器?新的 Windows (包括 server 版)都自带 OpenSSH 了吧,可以搞 SSH 隧道的,体量和配置应该都比 VPN 要轻很多。放狗随便搜了个教程: http://woshub.com/ssh-tunnel-port-forward-windows/
如果是机房或者云集群,量大了可以用跳板机(自己用 Guacamole 搭也行),还能做 AAA 安全管理 |
|
18
jing8956 2021-03-03 13:12:29 +08:00
@nightwitch
CVE 数量只看 rdp+windows 没有别的参考的话我无法确定这 8 个 9 个相比较其他的解决方案是多还是少。 希望您赐教并回复题主的提问提出一个更安全的 win 上局域网的图形化远程解决方案,最好再附上没有严重事故+CVE 数量少并且使用人数广的数据支撑。 |
 |
19
ericls 2021-03-03 13:14:57 +08:00 via iPhone
Zerotier tinc nebula
|
 |
20
yylzcom 2021-03-03 13:17:32 +08:00
提供方案:
1. Teamviewer, 设置免验证登陆(就是收费比较贵而且那个商业版连几分钟断 10 分钟的很烦) 2. VNC Server, 自行设定安全措施 3. FRP 的我比较粗暴, FRP 服务端手动开启, 只有用的时候才开启, 平时不启动, 再加上强密码.... |
|
21
nightwitch 2021-03-03 13:41:58 +08:00
@jing8956 拿 teamviewer 出来比对下,局域网内使用无限制。唯一一个代码执行漏洞需要黑客进行 DLL 替换才能实现。
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=TeamViewer 反观 RDP, 两年内爆出的 CVE-2020-0610,CVE-2020-0609 以及 cve-2019-0708 都是严重的远程代码执行漏洞,允许绕过安全验证在目标机器上执行代码。:) |
 |
22
Slartibartfast 2021-03-03 13:49:09 +08:00 via iPhone
开 VPN,首先不要把任何服务暴露在公网上。
VPN 可以用 tailscale 一类的,简单方便。 |
|
23
jing8956 2021-03-03 14:03:11 +08:00
|
 |
24
sudoy 2021-03-03 14:12:00 +08:00
windows server 2019 可以装 OpenSSH 的:
https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse |
 |
25
dxfree 2021-03-03 14:35:37 +08:00
公司放一台 win 台式机,远程上去当作跳板登录服务器,不建议直接从外网访问服务器。
|
 |
26
dier 2021-03-03 16:07:46 +08:00
我用的方法是通过 SSH + 私钥的方式登录到内网服务器开放 iptables 的 3389 配置,用完即关。
|
 |
27
PUBG98k 2021-03-03 16:14:02 +08:00
ToDesk
|
 |
28
320266360 2021-03-03 16:20:14 +08:00
给你推荐一个 Radmin Server 从 2001 年一直用到现在 2021 年,配合 Radmin Viewer 是管理 windows server 远程除 3389 之外最靠谱的软件没有之一。。
|
 |
29
luzemin 2021-03-03 16:20:44 +08:00
不使用 GUI 的话,使用 PowerShell,把它当做 linux 服务器
|
 |
30
precure 2021-03-03 16:26:10 +08:00
JumpServer 做的堡垒机
|
 |
32
yezi988 2021-03-04 10:25:56 +08:00
安装一个向日葵不就完事,控制电脑手机都可以
|
Select Language