V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
iamobj
V2EX  ›  程序员

使用 frps 远程桌面,暴露到公网上,难道就没安全隐患?

  •  
  •   iamobj · 2019-06-05 08:23:55 +08:00 · 9131 次点击
    这是一个创建于 2034 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近看到好多人推荐使用 frps 远程桌面,我在想,如果使用 frps 穿透了,自己的电脑暴露在公网上,那些闲着没事,整天扫 ip 扫端口的,扫到你的了,不就是可以通过 ip 和端口就直接访问你自己的电脑了吗?还是说 frps 有应对措施,只是我不知道,还望各位大佬科普科普
    34 条回复    2019-06-05 11:27:49 +08:00
    yamedie
        1
    yamedie  
       2019-06-05 08:26:32 +08:00 via Android
    远程桌面不是也需要密码的吗?
    hanxiV2EX
        2
    hanxiV2EX  
       2019-06-05 08:27:56 +08:00 via Android
    安全是相对而言的,用户名和密码不能太简单。
    0312birdzhang
        3
    0312birdzhang  
       2019-06-05 08:28:07 +08:00
    所以你的电脑没密码吗?
    anyele
        4
    anyele  
       2019-06-05 08:28:12 +08:00 via Android
    有密码啊我的哥
    MeteorCat
        5
    MeteorCat  
       2019-06-05 08:28:35 +08:00 via Android
    frps 加 token,然后二楼说的对
    hanxiV2EX
        6
    hanxiV2EX  
       2019-06-05 08:28:45 +08:00 via Android
    另外记得把 guest 账户禁用
    co3site
        7
    co3site  
       2019-06-05 08:29:30 +08:00 via Android
    映射端口不是典型的 RDP 端口
    fengtons
        8
    fengtons  
       2019-06-05 08:30:54 +08:00 via Android
    暴不暴露跟防火墙相关,不关 frps 的事。所以最好的做法是使用 VPN。
    crab
        9
    crab  
       2019-06-05 08:32:22 +08:00
    别用默认 3389 端口就可以避免不少扫描,除非针对某 IP 全部端口。
    anyclue
        10
    anyclue  
       2019-06-05 08:34:59 +08:00
    bghtyu
        11
    bghtyu  
       2019-06-05 08:42:29 +08:00
    有风险,之前 frp 映射了 3389,我平时用的账户密码挺复杂的没注意,结果 administrator 密码特别简单,过了三天就让人扫到了,还好上面没啥东西
    Osk
        12
    Osk  
       2019-06-05 08:44:13 +08:00 via Android
    直接暴露肯定不好,是近的 CVE-2019 防和谐 -0708 了解下
    lanternxx
        13
    lanternxx  
       2019-06-05 08:48:43 +08:00
    不要用 3389 端口+强密码
    另外 frp 也有 stcp 模式,双方都运行一个 frpc 才能访问,更安全但麻烦一点
    letitbesqzr
        14
    letitbesqzr  
       2019-06-05 08:50:07 +08:00 via Android   ❤️ 2
    stcp 模式会比较好
    KasuganoSoras
        15
    KasuganoSoras  
       2019-06-05 08:57:02 +08:00
    我远程端口 5 位数,而且我 Frp 服务器一大堆人用,上面开了几千上万个端口,他怎么知道哪个是我的
    另外我不是直接把 3389 暴露在公网,而是在电脑上运行了一个 SSR 服务端,然后把 SSR 端口映射出去
    要连接的时候先开 SSR,通过映射连接到家里电脑的服务端,然后再连接远程,足够安全
    openbsd
        16
    openbsd  
       2019-06-05 09:13:17 +08:00
    @fengtons #8 有 VPN 了还要啥 frps
    frps 是用在那些不具备公网接入环境机器的吧?
    365hddvd
        17
    365hddvd  
       2019-06-05 09:15:32 +08:00 via Android
    改默认 3389 端口为其他的,登陆账户设置安全的密码,基本就够了
    fitmewell
        18
    fitmewell  
       2019-06-05 09:22:52 +08:00 via Android   ❤️ 1
    @openbsd 我猜是在远程机器运行 VPN 映射 VPN 端口而不是远程桌面端口
    tinybaby365
        19
    tinybaby365  
       2019-06-05 09:24:32 +08:00
    frps 本身有一个 token。如果是暴露 ssh,可以再配一个二次验证:libpam-google-authenticator,这样相当于三重门槛。
    xiozf
        20
    xiozf  
       2019-06-05 09:24:39 +08:00
    在被控电脑开 s s 服务端,把端口通过 Frp 服务暴露出去,然后在控制端通过 s s 客户端连接到被控端电脑,再连接远程桌面。
    因为 s 的安全性,我觉得这样操作的安全性蛮高。
    Daming
        21
    Daming  
       2019-06-05 09:48:19 +08:00
    @0312birdzhang #3
    没有密码反而比弱密码要安全的多
    aru
        22
    aru  
       2019-06-05 09:53:44 +08:00
    有风险。而且微软最近爆了一个 rdp 漏洞,无需密码就能运行执行命令。有人在批量扫描机器挖矿
    dabaibai
        23
    dabaibai  
       2019-06-05 09:54:50 +08:00 via iPhone
    难道你 vps 不暴露 22 3389 ?
    kylix
        24
    kylix  
       2019-06-05 09:57:42 +08:00
    同楼上,用 sftp 会好些。另外默认端口最好改一下
    claysec
        25
    claysec  
       2019-06-05 09:59:23 +08:00
    bluekeep 了解下
    LoliconInside
        26
    LoliconInside  
       2019-06-05 10:00:14 +08:00
    对,很不安全,建议关机拔网线。
    sw0rd3n
        27
    sw0rd3n  
       2019-06-05 10:02:50 +08:00 via iPhone
    防火墙设置 IP 白名单
    Blacate
        28
    Blacate  
       2019-06-05 10:10:28 +08:00
    @LoliconInside 所以我远程回去每次用完就关机 orz
    wslzy007
        29
    wslzy007  
       2019-06-05 10:19:22 +08:00
    当然有安全隐患!这段时间爆出的 RDP 安全漏洞足以说明问题,和密码强度无关。
    要安全就不能暴露到公共访问区域!不妨试试 smarGate+Microsoft Remote Desktop,自行度娘 smarGate,注意拼写,拿走不谢
    banditv2ex
        30
    banditv2ex  
       2019-06-05 10:26:20 +08:00
    首先是公网那么多 ip,别人怎么知道你 ip 的,难道去遍历?
    然后是端口,65535 个端口扫描一遍也是要花时间的,
    还有协议,知道端口不知道协议也是无法访问,
    还有账号密码

    最后你把上面的四个项目组合一下,这是有多少种可能的组合,如果不是吃饱了没事干我觉得没人会那么干。
    banditv2ex
        31
    banditv2ex  
       2019-06-05 10:29:00 +08:00
    @banditv2ex 即使使用默认端口,只要你不要在网上说你的 ip 上开放了远程桌面服务别人也很难找到你的机器。
    linhua
        32
    linhua  
       2019-06-05 10:41:36 +08:00
    不用 RDP,还是用 teamviewer。frps + teamviewer (仅局域网模式)
    msaionyc
        33
    msaionyc  
       2019-06-05 10:59:12 +08:00
    偷偷告诉你个小秘密,你打开百度首页,按 f12,刷新一下,你就能知道百度的服务器地址了,厉害不厉害!别告诉别人
    lambchasr
        34
    lambchasr  
       2019-06-05 11:27:49 +08:00 via iPhone
    看过 Unfriended 2 之后,我就把 frps 关了...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2591 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:25 · PVG 11:25 · LAX 19:25 · JFK 22:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.