. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
blackboy
 
blackboy 的头像
超级会员
 
资 料:
注册日期: Mar 2000
帖子: 1,475 声望值: 3
精华: 0,解答: 16
#31 旧 2019-09-04, 16:04:57 默认
blackboy 当前离线  

关于3389
我以前的做法是,RDP的监听只对127.0.0.1
然后对外,是个stunnel的server来转发,stunnel对外监听,转发到127.0.0.1的3389上。
stunnel用自颁证书,需要连RDP的人,一人发个文件证书。
没证书文件的人,连试密码的机会都没有……


干,是一种美德
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#32 旧 2019-09-04, 18:58:32 默认
Fireflying 当前离线  

引用:
作者: blackboy 查看帖子
关于3389
我以前的做法是,RDP的监听只对127.0.0.1
然后对外,是个stunnel的server来转发,stunnel对外监听,转发到127.0.0.1的3389上。
stunnel用自颁证书,需要连RDP的人,一人发个文件证书。
没证书文件的人,连试密码的机会都没有……
百度了一下stunnel,貌似有点复杂,最近我加大监控频度先观察一下再说。
回复时引用此帖
littlefat
 
littlefat 的头像
热心会员
 
资 料:
注册日期: Jul 2001
帖子: 3,406 声望值: 5
精华: 2,解答: 7
#33 旧 2019-09-04, 20:32:39 默认
littlefat 当前离线  

引用:
作者: blackboy 查看帖子
关于3389
我以前的做法是,RDP的监听只对127.0.0.1
然后对外,是个stunnel的server来转发,stunnel对外监听,转发到127.0.0.1的3389上。
stunnel用自颁证书,需要连RDP的人,一人发个文件证书。
没证书文件的人,连试密码的机会都没有……



我也想过这个办法,无奈有点复杂了,现在年纪大了,不太像折腾。。。


请问有详细教程吗?:blush;


Little@FAT :)
回复时引用此帖
aspirer
 
aspirer 的头像
支柱会员
 
资 料:
注册日期: Feb 2011
帖子: 4,803 声望值: 4
精华: 1,解答: 19
#34 旧 2019-09-05, 07:38:00 默认
aspirer 当前离线  

装个安全狗软件,能抵御一些网站的漏洞。防止提权。

然后安全组可以加上自己所在地方的ip段

rdp还可以加装个什么rdp防护软件名字忘记了secureRDO?,会多一层密码或是证书。

关键还是源头,估计是网站来的
回复时引用此帖
blackboy
 
blackboy 的头像
超级会员
 
资 料:
注册日期: Mar 2000
帖子: 1,475 声望值: 3
精华: 0,解答: 16
#35 旧 2019-09-05, 09:32:02 默认
blackboy 当前离线  

引用:
作者: littlefat 查看帖子
我也想过这个办法,无奈有点复杂了,现在年纪大了,不太像折腾。。。


请问有详细教程吗?:blush;
很简单,stunnel也就是在正常流量上套个壳转发而已,写两个配置文件的事情
随手搜了下
https://qhh.me/2019/06/23/%E4%BD%BF%...5%81%E9%87%8F/
参考这里即可,他是套openvpn,你端口改成rdp的3389端口即可,以前还用它套过1433,3306等,省事:)
回复时引用此帖
MacOS
 
MacOS 的头像
热心会员
 
资 料:
注册日期: Aug 2002
帖子: 13,284 声望值: 5
精华: 0,解答: 128
#36 旧 2019-09-05, 12:30:53 默认
MacOS 当前离线  

引用:
作者: blackboy 查看帖子
很简单,stunnel也就是在正常流量上套个壳转发而已,写两个配置文件的事情
随手搜了下
https://qhh.me/2019/06/23/%E4%BD%BF%...5%81%E9%87%8F/
参考这里......
俺觉得这个机制WINDOWS也能实现,现在RDP就是发送自颁证书的,但证书总是由服务器推送,不是客户端准备,又一直找不到关闭推送的设置,如果能让WINDOWS不推证书就好了


HIDDEN MESSAGE LEVEL 3
14863 159357 789 159357 3245687 3684
回复时引用此帖
imlogo
 
imlogo 的头像
热心会员
 
资 料:
注册日期: Dec 2001
帖子: 8,510 声望值: 4
精华: 0,解答: 20
#37 旧 2019-09-05, 16:36:51 默认
imlogo 当前离线  

Windows安全性比较重要的是,
1、修改3389或其它远程控制软件的默认端口,必须是5位数,且不含原端口号的随机数字
2、修改默认的Administrator、Guest名字为其他自定义名字,加特殊字符搞复杂点。还可以新建一个“Administrator”(和默认的同名)加入guest组、删除一切权限、设定巨复杂的128-256位密码,然后禁用之。
3、防火墙block所有端口,只留远程控制端口和80等必要的端口。
4、定期检查系统进程、服务,看是否有可疑的东西
5、阿里云的安全组也要用好,相当于是第二道防火墙

我管理公网Windows服务器也将近20年了,还没过用楼上说的这么高级的东西,不过至今未被黑过。

根据阿里云给我推送的漏洞通知,我感觉centos 7的漏洞要远远多于Server 2016,每个月有一堆的高危漏洞要打补丁,不知道说Linux比Windows安全的依据是什么

此帖于 2019-09-05 16:59:11 被 imlogo 编辑. .


我翻开历史一查,这历史没有年代,歪歪斜斜的每叶上都写着“仁义道德”几个字。我横竖睡不着,仔细看了半夜,才从字缝里看出字来,满本都写着两个字是“吃人”!
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#38 旧 2019-09-05, 18:25:43 默认
Fireflying 当前离线  

引用:
作者: imlogo 查看帖子
根据阿里云给我推送的漏洞通知,我感觉centos 7的漏洞要远远多于Server 2016,每个月有一堆的高危漏洞要打补丁,不知道说Linux比Windows安全的依据是什么......
Centos属于开源的吧?有啥漏洞比较容易被各路程序员发现,Windows系统就不那么容易发现了。所以外部表现,貌似Centos补丁频发,Windows补丁没那么多。
另外,相对来说,搞Windows主机的门槛很低,各种现成的工具一大堆;而熟悉Linux平台的人在数量上要比Windows系统少很多。
回复时引用此帖
blackboy
 
blackboy 的头像
超级会员
 
资 料:
注册日期: Mar 2000
帖子: 1,475 声望值: 3
精华: 0,解答: 16
#39 旧 2019-09-06, 16:11:06 默认
blackboy 当前离线  

引用:
作者: MacOS 查看帖子
俺觉得这个机制WINDOWS也能实现,现在RDP就是发送自颁证书的,但证书总是由服务器推送,不是客户端准备,又一直找不到关闭推送的设置,如果能让WINDOWS不推证书就好了
定位不一样了。
RDP的做法是类似HTTPS,是个正常请求就响应,发出证书,让双方的通讯内容加密。
stunnel的本意也是给通讯加密,而在这里对Stunnel的异类用法,是在这些协议上再套一层,用自定义证书加了把锁,开锁之后才能跟后面真正的应用协议通讯,打不开这把锁,根本无法接触到后面的服务。保护好stunnel的证书文件,所有的经过stunnel“套壳”的端口,基本上已经不是“开放“端口了,只是对有证书的用户的”私有端口“:) 换个角度而言,对所有通过stunnel转发的服务而言,它就是个跳板机/堡垒机的角色,先通过跳板才能到达目标服务(器)。

此帖于 2019-09-06 16:15:30 被 blackboy 编辑. .
回复时引用此帖
jackie-xu
 
jackie-xu 的头像
支柱会员
 
资 料:
注册日期: Apr 2000
帖子: 5,917 声望值: 3
精华: 0,解答: 7
#40 旧 2019-09-06, 16:18:13 默认
jackie-xu 当前离线  

引用:
作者: Fireflying 查看帖子
我之前一直是用PCHunter的,6月份突然发现PCHunter在Win2008、Win7、Win10上面点击启动管理就直接蓝屏重启,不知道啥原因,怀疑是不是跟微软更新的某补丁包有关系,并且作者也没更新:
[url]https://bbs.et8.net/bbs/showthread.php?t=1372009[/ur......
不想下载7z ,有什么办法解压呢?
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#41 旧 2019-09-06, 16:25:36 默认
Fireflying 当前离线  

引用:
作者: blackboy 查看帖子
很简单,stunnel也就是在正常流量上套个壳转发而已,写两个配置文件的事情
随手搜了下
https://qhh.me/2019/06/23/%E4%BD%BF%...5%81%E9%87%8F/
参考这里......
这篇文章不错,条理清晰易懂,捣鼓试试……

此帖于 2019-09-06 19:06:57 被 Fireflying 编辑. .
回复时引用此帖
muler2000
 
muler2000 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 5,018 声望值: 3
精华: 0,解答: 6
#42 旧 2019-09-06, 18:09:06 默认
muler2000 当前离线  

看这个截图不是大神所黑啊,哪里有这么容易发现的程序,还是放在桌面
用防火墙过滤那些接入的ip段和mac地址就很安全了, server一定要用防火墙的
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#43 旧 2019-09-06, 19:52:37 默认
Fireflying 当前离线  

引用:
作者: jackie-xu 查看帖子
不想下载7z ,有什么办法解压呢?
那是zip的分卷压缩包啊,随便啥支持zip的解压缩工具应该都可以,而且7z还可以用绿色版的。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#44 旧 2019-09-12, 12:20:59 默认
Fireflying 当前离线  

引用:
作者: iamal 查看帖子
密码锁定策略实施了没?

来个输错1次密码就锁30分钟,应该能防止密码爆破吧?
今天做了设置,密码错误5次就锁15分钟。目前为止,没有再监测到异常。
回复时引用此帖
waiting
 
waiting 的头像
终极会员
 
资 料:
注册日期: Jun 2000
帖子: 15,016 声望值: 3
精华: 4,解答: 13
#45 旧 2019-09-12, 17:25:16 默认
waiting 当前离线  

要说安全程度,总体来说 linux 和 windows 差不多。
windows 的远程桌面是主要入侵的入口。
就安全配置而言 linux 要比 windows 方便些,比如 ssh 改成证书登录就很好弄,就修改下 ssh/sshd_config 文件,然后 ssh-id-copy 复制自己公钥到服务器就行了。


你所浪费的今天,是昨天死去的人奢望的明天。你所厌恶的现在,是未来的你回不去的曾经。
一生何求 来过,见过,爱过
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 04:56:55.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号