请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
| 目的地 | 保护措施 | 风险等级 | 风险 |
|---|---|---|---|
| 路由器 | 强密码,改端口 | 🌟🌟🌟🌟 | 应该还是比较大,但是我想不到攻击方式 |
| PVE 的 windows 虚拟机 | 强密码, 拒绝 Administrator 远程登录 [[#设置账户锁定]] github 的 IPBAN 通过端口映射,域名+非 3989 实现访问 |
🌟🌟🌟🌟🌟 | 极度危险,家里所有数据都有风险,因为这个就是我的跳板机 |
| FnOS | 强密码,改端口 | 🌟🌟 | 只有 FnOS 虚拟机有危险 |
目前我这三个设备/软件暴露出去了。还有什么值得加固的吗?
华硕路由器自带的 wireguard 来做防护是不可以的,公司不能装 VPN 软件。
fnos 危险系数低是因为里面重要信息不多。那是我 N100 PVE 小主机里面装的 NAS ,我还有一台黑群晖有用时再通过 IOS 快捷指令开机
第 1 条附言 · 27 天前
很多小伙伴建议用 IP 白名单,想过这个问题,但是偶尔用流量登录,偶尔出差,不是 100%纯公司登录
第 2 条附言 · 27 天前
不可以组网,tailscale ,wirguard 这类组网软件都不行。
 |
1
AkinoKaedeChan 28 天前 via iPhone
你都把 VPN ban 了那就只能用防火墙了,OPNsense 上可以用 Suricata 和 Crowdsec ,有钱买企业级的更好
|
 |
2
jimages 28 天前
最优解就是 wg 组网,然后监听到 wg 网卡上。
|
 |
3
zhangeric 28 天前
rdp 可以上 multiotp 上多步认证.
|
 |
4
deepbytes 28 天前
RDP 套 SSH ,ssh 禁止密码登录,使用密钥登录,高位端口,调教好的话非常丝滑
|
 |
5
totoro625 28 天前  1
公司公网 IP 一般都是固定的
实在不行 ddns 放行 我自己手搓了一个防火墙放行脚本,每 2 分钟获取一次 IP ,自动解除上一次放行的 IP ,并且放行该 IP 地址 |
 |
6
Huelse 28 天前
最安全的就是 wireguard 组网,如果有失联风险就配合 fn connect 的中继连接,其他什么端口都不用开
|
 |
7
coldle 28 天前 1
rdp 还可以套个 TOTP: https://inc.sysu.edu.cn/article/1050
虽然我感觉最靠谱的还是 ip 白名单,动态加白场景可以连到另外的服务里加白 ip ,加白服务本身也要有账密校验,至于要不要在加白服务前边继续套端口敲门埋蜜罐啥的就看个人了,校验层拖长点无所谓,不影响使用 |
 |
8
dode 28 天前
windows 和 linux 都支持 ssh 密钥远程登录,关闭其他端口,使用 ssh 隧道连接回去
|
|
9
dode 28 天前
公司 IP 可能比较固定,使用白名单登录回家
|
 |
11
dany663399 28 天前
rdp+非 3389+强密码 那么请问不安全在哪里
|
 |
12
yinmin 28 天前 via iPhone
web 服务可以前置 https 网关(家用 nginx 或 stunnel 等)启用客户端证书认证,超高安全,win 、mac 、android 、ios 安装上客户端证书后,使用超便捷。
rdp 服务可以躲在 ssh (密钥认证)后面,windows 、mac 都是内置 ssh ,无需安装第三方软件,一条命令直接将远程服务器的 rdp 映射到客户机 127.0.0.1 本地 tcp 端口,然后 rdp 这个 127.0.0.1 端口即可,也是超高安全的。 |
|
13
yinmin 28 天前 via iPhone
@dany663399 #11 rdp 担心 0day 漏洞。
rdp 是有成熟黑产的,目前“盲扫+破解弱密码+勒索病毒”是全自动,如果出现了 0day 漏洞加持,直接能破强密码,后果不堪设想。( rdp 曾经出现过 0day 不用密码直接获取管理员权限) |
 |
14
nkcfc 28 天前 via Android
借道问一下 vnc 暴露在公网风险有多大?
|
 |
15
Ipsum 28 天前 via Android
改 vpn 不就完事了?
|
|
16
yinmin 28 天前 via iPhone 2
@dany663399 #11 曾经的 rdp 漏洞,有些还是很致命的,强密码对暴力破解有效,但是对协议漏洞无能为力。
CVE‑2012‑0002 漏洞 CVE‑2018‑0886 ( CredSSP RCE )漏洞 CVE-2019-0708 ( BlueKeep )漏洞 CVE‑2019‑1181 / CVE‑2019‑1182 漏洞 RDP 叠加输入法提权漏洞 一般都是不建议将 rdp 直接暴露在公网上的。 |
|
17
yinmin 28 天前 via iPhone
@nkcfc #14 vnc 也出现过远程攻击的漏洞的,建议放在 vpn 后面。
最佳实践是:vpn 协议、ssh 协议(仅密钥登录)、tls 协议(开启双向证书认证 或 鉴别 sni )暴露在公网上,其他协议尽量别暴露公网。tcp 协议可以包裹 tls 并开启双向证书认证/sni 鉴别,然后暴露在公网。 |
|
18
yinmin 28 天前 via iPhone 1
对我的方案感兴趣的,可以把这个页面所有对话内容都 paste 给 gpt4/5 ,gpt 能给出详细说明和部署方案的。
|
|
19
Ipsum 28 天前 via Android
没看到不能 vpn 。如果只是 tcp 和 udp 协议,直接 shadowsocks 连回家。或者 ssh 开证书直接 ssh -D 充当 socks 代理,只是 udp 就没法用了。
|
 |
20
swiftg 28 天前 via iPhone
只要暴露端口服务,就有 0day 漏洞攻击的风险。
我目前在用 ip 敲门的方法,通过中间服务器报告客户端 ip ,家里网关再将 ip 加入到白名单中放行 10 分钟。默认关闭所有端口 |
 |
21
hefish 28 天前
有公网 ip 就可以装堡垒机啦。Jumpserver 社区版。 咳咳。
|
 |
22
TsubasaHanekaw 28 天前
你既然公司使用? 为什么不 ip 白名单?
|
 |
23
vibbow 28 天前
限制只允许中国 IP 访问,屏蔽 阿里云/腾讯云/华为云 机房 IP
|
 |
24
sheayone 28 天前
有条件上堡垒机,无条件就藏到 SSH Tunnel (仅密钥/证书登录)后面
|
 |
25
HenryHe613 28 天前
@coldle RDP 还可以使用 Duo 进行二步验证
|
 |
26
yulon 28 天前
懒得转发端口了,移动端的新客户端也不怎么好用,直接用 Parsec
|
 |
27
billccn 28 天前
这个属于“Zero-trust access"的范畴,国外每隔一个大厂都有解决方案,Cloudflare 还是免费的。基本上都能实现服务端不用开放任何端口(使用厂家的内网转发软件),客户端可以用软件也可以用浏览器登陆远程桌面和 SSH 。
国内一些云也有的,但不可能免费了。 |
 |
28
wuruxu 28 天前
路由器最好使用证书通过 ssh 登录
|
 |
29
godall 28 天前 via Android
我是用 2 个方式,ssh 的用密钥登录,web 的用 nginx 加域名反向代理方式,这样 IP 地址不能直接访问 web ,而攻击者一般不知道你的域名是什么的。rdp 没啥好办法,因为用 frps 的话说不定 frps 本身也有漏洞
|
 |
30
gearfox 28 天前
为啥要直接放公网上,直接 easytier 组个网不就好了
|
 |
31
zhq566 28 天前
我是 RDP 和 NAS ,两个都改端口。加证书。复杂用户名和密码。
|
 |
32
DefoliationM 27 天前 via Android
不暴露,走 tailscale 。
|
 |
33
zyt5876 OP @dany663399 看了日志,这个方案正在被爆破,虽然都还没有猜出我的用户名。后来加了 IPBAN(5 次失败封一天),每天也都还有几十条日志
|
 |
34
guanzhangzhang 27 天前
不做端口映射暴漏,而是组网,这样只有组网鉴权后设备才能路由到内网
|
 |
36
amorphobia 27 天前
@zyt5876 不知道你用的是什么端口,我以前是平移到高的 X3389 ,还是很多试图爆破,但改成一个随机的端口后,接近一年没人爆破了
|
 |
37
n0bin0bita 27 天前
试试开源的堡垒机,HTTPS+密码+二次认证。
|
|
38
zyt5876 OP @amorphobia 我就是平移到高的 X3389 XD
|
|
39
n0bin0bita 27 天前
用 iPsce 或 L2TP 搭建 VPN windows 自带 VPN 可以直接拨号,不需要安装额外的 VPN 客户端,如果你们只是禁止安装 VPN 客户端而不是禁止所有 VPN 访问的话
|
 |
40
preach 27 天前
路由器的公网映射 用的时候打开,不用的时候关闭。
我现在这样 |
 |
41
suitts 27 天前
不能用 vpn 就 ssh 转发端口呗
|
 |
42
zer 27 天前
最好还是 vpn ,要不然可能会被运营商警告
https://v2ex.com/t/1129251 |
 |
43
Kirkcong 27 天前
@yinmin #16 你说的这些漏洞都是上古时期的,正常开着 windows 更新并且使用没有 EOL 的系统是不会有问题的。我们服务器 rdp 常年暴露公网,一点问题没有。99.9% rdp 被攻破的案例都是因为弱密码或者撞库导致的。即便真的有 0day 出来,也不会用于大面积扫描的,这样太浪费了。更何况近些年出现的漏洞都是有前置条件的,要么你有普通用户权限(内部提权),要么你已经能访问到机器(输入法绕过 login )。
|
 |
44
desdouble PRO 1
@zyt5876 #33 你这个方法就足够了,其他的操作效费比就有点低了。除非你是想实践一些方案。
0day 这种大杀器好贵的,一般在很高 level 的对抗中才会使用。比如,最近的 xu 经理意大利事件中,从美国披露的证据看,即使国家级对抗中也只使用了 exchange 的两个 0day 。 RDP 设强密码限制失败次数足够了,踏实的搬你的砖去。 |
 |
45
szqh97 27 天前
没有公网 IP 就不用操这个心了
我是 nas 上装了个 shadowsocks-rust, 用 natmap 做转发,在公司和手机上用 clash 回家 |
 |
46
yimiaoxiehou 27 天前
敲门器
|
 |
47
Cruzz 27 天前
路由器我用 routeros 。设置外网不能登录,内网设备我搭建一个 ss 节点,在外边 ip 分流进家里,ssh 设备在加上密钥。
|
 |
48
jakehu 27 天前
openvpn
|
 |
49
ScotGu 27 天前
需要暴露到互联网得端口 套个 WAF , 其他业务搞非默认端口得远程桌面。
|
 |
50
smsbot 27 天前
不需要搞什么复制的技术,防火墙直接白名单 IP 就是本市几个 IP 段,另开一个远程遥控插头控制开机自启的另一个主机。出差的时候直接开插座,RDP 到另一个主机,再从另一个主机 RDP 到你的大奶机上把出差的 IP 段加到大奶机的 RDP 白名单上就好了。控制 IP 白名单,安全的一匹。我说的白名单不是你公司的那一个 IP ,而是运营商的 IP 段,任何一个城市,不管你多大,你平时的移动联通电信没几个 IP 段,你常用的不超过 4 行。遇到新的再开二奶机加呗。
|
 |
51
imnpc 27 天前
推荐 ddnsto 好像一年 28 ?可以免费试用 7 天
子域名指向自己内网设备 需要扫码验证才能访问 但是不支持小米内网路由器 我用来管理 ikuai 和 iStoreOS |
 |
52
neroxps 27 天前 via iPhone
原则上越简单的协议越安全。越多功能越多漏洞。
不套隧道是无法保证相对安全的。套了隧道你又不喜欢,无解 |
 |
53
liuhai233 27 天前
自建 rustdesk 使用 web 客户端, 配合 cf 大善人穿透到公网
|
 |
54
alfawei 26 天前 via iPhone
走虚拟组网?
|
 |
55
xhcnb 26 天前
1. 国内 IP 白名单, 可以搭配端口敲门技巧动态管理
2. vpn 再访问 3. 绑定域名 https, 拒绝 ip 直接请求, 同时账号绑定 MFA |
|
56
desdouble PRO |
|
57
desdouble PRO |
|
58
desdouble PRO 
|
 |
59
lff0305 26 天前
可以试试端口敲门
|
 |
60
zzutmebwd 26 天前
如果网速快的话,用 sunshine+moonlight 就行了。
|
 |
61
jocover 25 天前
我用 vpn 或者反向代理
|
 |
62
flynaj 23 天前 via Android
我的 rdp 默认端口直接暴露到 ipv6 公网上,很多年了没有什么问题。
|
Select Language