Předtím, než jsem se přestěhoval do nového bytu, používal jsem WireGuard pro vzdálený přístup na můj Debian server přes SSH a na můj Windows server přes RDP.
Teď jsem si řekl: Proč je pouze směrovat na internet a zbavit se VPN věci? Nebojím se SSH, ale pokud jde o RDP, zdá se, že internet důrazně odrazuje jeho vystavení na internetu.
Mám jen jednoho místního uživatele s 64znakovým heslem. Můj server se pravidelně restartuje, instaluje aktualizace a můj router se také aktualizuje.
Co by mohlo jít špatně kromě botů, kteří bombardují můj systém, nebo extremně nešťastného zero-day exploit?
Tato tvrzení nejsou myšlena jako urážka přímo autora, ale právě proto bude infosec průmysl vždy mít práci.
Autorovi, s láskou, prosím, nedělej to. Použij VPN
Vystavujete svůj systém komukoliv a čemukoliv na internetu. Bezpečnost je nyní odpovědností desktopu, což je nezodpovědné.
Použij VPN. Tímto se připojit může jenom ty
Celkem dost riskantní. V podstatě byste to neměl dělat bez brány nebo něčeho jiného před tím.
Je to vysoce cílený closed-source protokol. Microsoft doporučuje používat RDGateway před tím, pouze pro zajištění, že 3389 není otevřený na internetu.
POZNÁMKA: Nyní jste částečně zmírnili problém s heslem, ale je to pro administrátorský účet? Dáváte někomu root přístup na Windows stroj vystavený na internetu. To určitě není případ u jednoduchého SSH provozu, protože vy výchozí nemáte přístup bez root a musíte sudo nebo su na root. Plus SSH sám o sobě měl poměrně málo zranitelností… a stále bych nedovolil jeho veřejné vystavení bez klíčové autentifikace.
2FA s RDP? To může být o něco jednodušší na zabezpečení.
RDP je aktivně cílen na útoky. Už máte nastavenou VPN a funguje. Vystavit ho přímo na internet je zbytečné riziko.
Nedělej to. Není to hodnotné.