umax wrote:
AnyDesk for(恕刪)
目前應該是會偏向ssh VM 和瀏覽器操作server上的VM,anydesk 可能沒辦法,我再補充一下我的需求,謝謝大大提供
但我是不會特別想使用teamviewer去連我的設備
過去有爆過teamviewer的中間人攻擊的問題.....
我個人會麻煩點去架設個vpn
如果你會用vm的話
或許你可以去研究看看openwrt等這類的router os
會調整的話可以直接接管你的wifi分享器
然你的wifi分享器就變成純ap的功能
我現在就是這樣子
利用esxi做openwrt
然後用網卡直通讓openwrt管理網卡
然後再接上wifi分享器做ap功能
搞定家裡一切需要上網的設備
然後還可以做其他系統去跟opnenwrt串
只是就不能關機就是了~~~
電腦一(WorkStation)
cpu:i7-3820
RAM:16G(DDR3)
mb:p9x79
gpu:AX6670
HDD:SSD128G+
視窗圖形界面操作:xwindow server、vnc
ssh、xwindow server、vnc 都可以開埠從外面連進去的。
當然設定檔案別允許 root 登入,先以一般 user 身份登入,進去後再轉身份為 root。
要更安全一點,就是 vpn 進去區網後,在虛擬區網連線,這樣多一層防護。但需要架設 vpn server(在主機上,或路由器,要更安全就是路由器上)。
vpn 只是虛擬區網而已,進去後,一樣是得 ssh、xwindows server、vnc 擇其一。
主機如果是直接曝露在互聯網上的(Public IP),防火牆腳本,也要檢測來源非區網IP試圖連線 ssh、vnc 的封包一律丟棄。防火牆也要開,不然vpn就沒意義了,外面連也行,裡面連也行,那vpn不就拖褲子放屁多此一舉。要防火牆護住,才有意義。
teamviewer 之類的,是不必開埠,藉由第三方伺服器中介連線。但是軟體要錢。不必開埠,被掃描就不會被發現有洞可以鑽。理論上也是比較安全,前提要信任第三方伺服器。
**************
xwindow server (遠端視窗)和 vnc(遠端桌面) 的差別:
- xwindow server 一次只能控制一個視窗軟體,效能反應快,它只傳輸資料,不傳輸畫面。遠端連線,用起來類似本地端視窗軟體的感覺,幾乎感覺不到延遲。設定複雜,較少人用。
- vnc 是控制整個桌面,傳輸的是壓縮的螢幕畫面,以串流影片的方式在傳輸,反應較慢,有延遲感,和網路速度有關。使用簡易。Linux 遠端桌面,標準都是用 vnc,自由軟體,各大發行版的官方軟體庫裡面就有。
推薦 vnc,網上搜:Linux vnc
就有一堆教學。
如要進一步要求連線反應速度,可以朝 xwindow server/clinet 架構那方面去研究。
至於 ssh,它只能純文字指令操作(Terminal 或 Console 終端機模式)。使用必須熟 Linux bash 指令操作。沒有圖形GUI畫面。SSH 也可以加密傳檔,類似sFTP。
ssh 是最常用的。但如果你要操作的是視窗,ssh 就不合適了。
**********************
談談資安方面:
開埠一定會被掃描,然後就會被嘗試非法登入。
一般常見防護手法:
- 避免使用慣用埠。
比如 ssh 是 TCP 23,你知我知大家知,如果掃到23埠監聽有反應,那肯定就是 ssh 跑不掉。而 Linux 各項 service 服務,設定檔中都可以改監聽埠號,例如不要監聽預設的23,改監聽 11230...什麼的,反正就是1024 以上的非慣用埠,那麼即便外面掃到這個埠有開,他也不知道那是幹啥用的,就不能用針對的軟體去嘗試登入。VNC 也是同理的,它也有一個預設的慣用埠,一樣可以改別的監聽埠號。
- 禁止 root 登入
只准一般 usr 登入,進去後再 su 轉 root。
第一,這樣就要兩層密碼。即便user密碼被破解,沒轉root,對系統破壞能力有限。
第二,root 名稱是固定的,但 user 名稱不固定,除非對方知道你 user 名稱,不然他連嘗試暴力破解密碼的機會都沒有。因為使用者名稱不對,密碼再怎樣試也沒用。Linux 登入不會提示該 user 名稱是否存在,只會說密碼不對。
- vpn 虛擬區網
如果用 vpn,那伺服器主機就不必開對WAN埠,自然不會有洞可鑽。不過 vpn 密碼若被猜中一樣會被入侵區網。它只是多一層密碼這樣子。切勿以為vpn就是無敵的,區網一樣要有防護,不可無密碼登入。
不過它可以不同 ip,比方 vpn 在路由器是一個對外 ip,伺服器主機又是另外一個 ip。這樣別人就不知道其中關聯,狂掃伺服器ip的漏洞,殊不知洞在另一個ip上。最主要的意義是在這一點。
進階防護手法:
- 暗鎖
設計一個網頁,進入這個網頁要密碼,進去後有一個不顯眼的隱藏開關,按了可以讓某個文字檔的值,變成 0 或 1。
寫一個 shell script 腳本,排程每分鐘運行。去偵測那個文字檔的值,如果是 0,就把 ssh服務關掉。如果是 1,才打開 ssh服務。
就是想要用 ssh 之前,還要先去那個暗藏的網頁,先把 "暗鎖" 打開的意思。
- 修改 su/sudo 的擁有群組
(/sbin/su ? 看執行檔在哪裡 ) 只允許加入特定群組的 user 使用 su 提昇權限。比方: 770 root/mis。這樣別的閒雜人等,就無法 sudo 成 root。好像也可以改 sudo 設定檔的樣子,總之條條大路通羅馬,效果一樣就行。
這是做法
內文搜尋
從 APP 打開
X