目的地
保护措施
风险等级
风险

路由器
强密码,改端口
🌟🌟🌟🌟
应该还是比较大,但是我想不到攻击方式

PVE 的 windows 虚拟机
强密码,拒绝 Administrator 远程登录[[＃设置账户锁定]]github 的 IPBAN通过端口映射,域名+非 3989 实现访问
🌟🌟🌟🌟🌟
极度危险,家里所有数据都有风险,因为这个就是我的跳板机

FnOS
强密码,改端口
🌟🌟
只有 FnOS 虚拟机有危险

目前我这三个设备/软件暴露出去了。还有什么值得加固的吗？
华硕路由器自带的 wireguard 来做防护是不可以的，公司不能装 VPN 软件。
fnos 危险系数低是因为里面重要信息不多。那是我 N100 PVE 小主机里面装的 NAS ，我还有一台黑群晖有用时再通过 IOS 快捷指令开机

你都把 VPN ban 了那就只能用防火墙了，OPNsense 上可以用 Suricata 和 Crowdsec ，有钱买企业级的更好

最优解就是 wg 组网，然后监听到 wg 网卡上。

rdp 可以上 multiotp 上多步认证.

RDP 套 SSH ，ssh 禁止密码登录，使用密钥登录，高位端口，调教好的话非常丝滑

公司公网 IP 一般都是固定的
实在不行 ddns 放行
我自己手搓了一个防火墙放行脚本，每 2 分钟获取一次 IP ，自动解除上一次放行的 IP ，并且放行该 IP 地址

最安全的就是 wireguard 组网，如果有失联风险就配合 fn connect 的中继连接，其他什么端口都不用开

rdp 还可以套个 TOTP： inc.sysu.edu.cn/article/1050

虽然我感觉最靠谱的还是 ip 白名单，动态加白场景可以连到另外的服务里加白 ip ，加白服务本身也要有账密校验，至于要不要在加白服务前边继续套端口敲门埋蜜罐啥的就看个人了，校验层拖长点无所谓，不影响使用

windows 和 linux 都支持 ssh 密钥远程登录，关闭其他端口，使用 ssh 隧道连接回去

公司 IP 可能比较固定，使用白名单登录回家

感谢，用上了
然后去了解一了下它的技术原理，真是美妙至极。

rdp+非 3389+强密码 那么请问不安全在哪里

web 服务可以前置 https 网关（家用 nginx 或 stunnel 等）启用客户端证书认证，超高安全，win 、mac 、android 、ios 安装上客户端证书后，使用超便捷。

rdp 服务可以躲在 ssh （密钥认证）后面，windows 、mac 都是内置 ssh ，无需安装第三方软件，一条命令直接将远程服务器的 rdp 映射到客户机 127.0.0.1 本地 tcp 端口，然后 rdp 这个 127.0.0.1 端口即可，也是超高安全的。

＃11 rdp 担心 0day 漏洞。

rdp 是有成熟黑产的，目前“盲扫+破解弱密码+勒索病毒”是全自动，如果出现了 0day 漏洞加持，直接能破强密码，后果不堪设想。（ rdp 曾经出现过 0day 不用密码直接获取管理员权限）

借道问一下 vnc 暴露在公网风险有多大？

改 vpn 不就完事了？

＃11 曾经的 rdp 漏洞，有些还是很致命的，强密码对暴力破解有效，但是对协议漏洞无能为力。

CVE‑2012‑0002 漏洞
CVE‑2018‑0886 （ CredSSP RCE ）漏洞
CVE-2019-0708 （ BlueKeep ）漏洞
CVE‑2019‑1181 / CVE‑2019‑1182 漏洞
RDP 叠加输入法提权漏洞

一般都是不建议将 rdp 直接暴露在公网上的。

＃14 vnc 也出现过远程攻击的漏洞的，建议放在 vpn 后面。

最佳实践是：vpn 协议、ssh 协议（仅密钥登录）、tls 协议（开启双向证书认证 或 鉴别 sni ）暴露在公网上，其他协议尽量别暴露公网。tcp 协议可以包裹 tls 并开启双向证书认证/sni 鉴别，然后暴露在公网。

对我的方案感兴趣的，可以把这个页面所有对话内容都 paste 给 gpt4/5 ，gpt 能给出详细说明和部署方案的。

没看到不能 vpn 。如果只是 tcp 和 udp 协议，直接 shadowsocks 连回家。或者 ssh 开证书直接 ssh -D 充当 socks 代理，只是 udp 就没法用了。

只要暴露端口服务，就有 0day 漏洞攻击的风险。

我目前在用 ip 敲门的方法，通过中间服务器报告客户端 ip ，家里网关再将 ip 加入到白名单中放行 10 分钟。默认关闭所有端口

有公网 ip 就可以装堡垒机啦。Jumpserver 社区版。 咳咳。

你既然公司使用? 为什么不 ip 白名单?

限制只允许中国 IP 访问，屏蔽 阿里云/腾讯云/华为云 机房 IP