這是一個巨大的安全漏洞,允許用戶通過遠程桌面連接到您的服務器?現在我有一個安裝程序,我只允許通過RDP端口連接幾個IP地址,但我正在考慮刪除它,並允許所有IP連接,所以如果出現問題,我可以使用我的iPhone的RDP。我不在家。允許RDP公共網絡服務器?
所以只要我有一個安全的密碼,你們認爲這是一個壞主意?還有什麼我可以做,讓它更安全一些,但仍然能夠連接從「任何地方」?是否可以設置一個我必須訪問的頁面,「允許任何人登錄2小時」。通過默默無聞的某種安全措施?
感謝任何幫助,我可以得到。
也許你應該把這個問題發佈到serverfault。但不管怎麼說。
如果您僅使用用戶名/密碼作爲訪問方法。然後,攻擊者很容易鎖定你的用戶(或者所有用戶,甚至不必擁有終端訪問權限)。所以是的,這將是一個巨大的安全缺陷。有很多方法可以防止這種治療,並使rdp可以從任何地方獲得。但我對他們中的任何一個都不熟悉。
對任何遠程訪問公司服務器實施雙因素身份驗證是非常普遍的。在許多公司中,你會看到RSA令牌被用作第二個因素,儘管我更喜歡使用SMS--只要你有兩個因素在起作用就沒有關係:你知道的東西,你有的東西,你的東西是。
如果你的公司不想實施第二個因素,那麼我仍然不會推薦公開暴露的RDP接口。它暴露於暴力攻擊,操作系統漏洞攻擊或僅僅是普通的舊拒絕服務(如果我用流量爆炸你的公共接口,那麼它會減慢你公司內部的合法機器使用)。至少我會考慮通過SSH進行隧道傳輸,也許使用客戶端證書認證,或者我會首先實現端口敲入來獲取服務器接口。
這是一個安全漏洞,但並不是那麼龐大。流量是加密的,從它讀取用戶或密碼不像基於文本的協議那樣是立即的,就像在ftp中一樣。它只比ssh安全一點點。
它顯然和任何其他遠程訪問(可能的蠻力或DOS攻擊)具有相同的缺陷。您還應該使用非默認帳戶名稱,以避免簡化攻擊者的任務。
您只有在訪問某個頁面後纔打開訪問權限的想法也不錯。看起來這是典型的port knocking機制的變體(但要小心避免打開更大的孔)。