我想通过远程服务器将我的互联网流量从办公室的 Windows PC 隧道传输到远程服务器,最好使用 L2TP(不使用 IPsec,可能使用 ProhibitIpSec 注册表修改)。有点像AAISP L2TP 服务之类的服务。
通常,对于 VPN 而言,我认为单独使用未加密协议是完全不合适的。但是,我不会通过隧道访问敏感或纯文本资源(如文件共享),我只会发送在正常情况下会以原始形式通过互联网发送的流量。(而且确实会,只有在通过隧道服务器后才会发送)。
因此,如果我忽略了什么,请纠正我,但这里唯一需要担心的是 L2TP 登录凭据在传输过程中的安全性?窃取这些凭据并不理想,因为有人可能会自己连接到隧道服务器。(尽管我会对传入连接设置一些防火墙限制)。
问题:L2TP 中的凭证交换方法(是 MS CHAPv2 吗?)是否足够安全,无需额外加密即可使用,并且我的上述计划是否存在重大安全漏洞?
我有一台配备英特尔酷睿 i7-5600U CPU 和英特尔高清显卡 5500(集成显卡)的笔记本电脑。
我注意到当我的 GPU(集成显卡)正在使用/加载时,CPU 时钟会显著降低。这严重影响了系统的响应能力 - 即使 CPU 利用率不是太高,使用 GPU 时系统也会非常迟缓。(我猜是因为时钟速度低)。
请参阅下面的图片来了解我的意思:
低 GPU 使用率、高时钟速度:
GPU 正在使用,时钟速度低:
ThrottleStop 在 GPU 负载期间显示以下内容:
为什么使用集成显卡会降低我的 CPU 速度?温度?
在 Windows 10 服务器上设置我的 OpenSSH 服务器以暴露给 WAN。(到目前为止,它只是在 LAN 上使用)。
我想要实现的目标:
当连接来自互联网时,只应允许 1 个特定用户 ( remoteuser)。从互联网连接的用户应该被允许执行很少的操作:仅将 TCP 端口转发到某些特定主机(请参阅我的PermitOpen指令),无 shell 访问,无 SFTP,无我可能从未听说过的任何其他功能。
然后,我使用了一个Match块来匹配来自我的安全 LAN 的连接。对于这些,安全性应该更宽松。允许密码验证,允许更多用户(尽管sftpuser1应该仅限于 SFTP)等。
问题: 我的 Match 块会按预期工作吗?这是实现我目标的有效方法吗?此外,是否还有其他我不知道的功能需要为互联网客户端禁用(除了 shell、SFTP、X11 转发之外)?
到目前为止的配置:
Port 22
AddressFamily inet #IPv4 only
ListenAddress 10.10.10.15 #Listen on servers LAN IP
Protocol 2
TCPKeepAlive yes
HostKey __PROGRAMDATA__/ssh/ssh_host_rsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_dsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ecdsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ed25519_key
RekeyLimit 1G
#SyslogFacility AUTH # LOCAL0 - Logs to %programdata%\ssh\logs, AUTH - Logs to event viewer
LogLevel DEBUG
LoginGraceTime 1m
StrictModes yes
MaxAuthTries 3
MaxStartups 3:50:10
# SET TO 0 ON WAN TO DISABLE ALL BUT TUNNELS. INCREASED FOR LAN CONNECTIONS
MaxSessions 0
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
AuthorizedKeysFile __PROGRAMDATA__/ssh/keys/%u/authorized_keys #Where to look for keys for each user.
AllowUsers remoteuser (Allow only one port forwarding user for access from WAN)
X11Forwarding no
AllowTcpForwarding yes
PermitOpen ws1.internal:80 ws2.internal:80 #Only allow forwards to certain hosts & ports.
Match Address 10.10.10.0/24, 10.10.20.0/24
LoginGraceTime 1m
MaxAuthTries 5
MaxStartups 10
MaxSessions 5
PubkeyAuthentication yes
PasswordAuthentication yes
AllowUsers john sftpuser1
Match User sftpuser1
ChrootDirectory E:\
X11Forwarding no
AllowTcpForwarding no
AllowAgentForwarding no
ForceCommand internal-sftp -d /%u
说明:我的目标是 - 向 WAN 和 LAN 开放 SSH 服务器。当连接来自 WAN(即源 IP 不是我的 LAN 之一)时,只remoteuser允许连接(AllowUsers remoteuser),并且只能使用 TCP 转发。当连接来自 LAN 时,用户john和sftpuser1被允许连接,并且他们可以使用 shell 访问、SFTP 等功能。
因此基本上尝试运行一个启用了最少功能的强化 WAN 配置和一个更为宽松的仅限本地配置,而无需运行两个单独的实例sshd。
编辑:刚刚发现这个资源在一定程度上有助于 Match 语句......
在 Windows 10 服务器机箱上运行 Windows 版本的 OpenSSH(通过管理可选功能 GUI 安装)已有一段时间了。到目前为止,SSH 仅在 LAN 上使用,但我正在努力强化我的 SSH 配置,以便将其暴露给 WAN。
除了强化sshd_config自身功能,IE 仅允许一个特定的受限用户在连接来自 WAN 时使用,我还在考虑服务本身。我知道在特定用户帐户下运行服务通常是一种很好的做法。(尽管我在这方面的经验非常有限)
目前,sshd.exe似乎在SYSTEM帐户下运行,我曾想过要更改这一点,因为SYSTEM权限很高。但是,我注意到,当用户通过 SSH 连接时,sshd.exe会创建另一个进程,并在该用户帐户下运行。这是否意味着可以将“初始”sshd.exe进程作为 运行SYSTEM?
另外,我注意到,当用户已连接但尚未进行身份验证(使用密码身份验证,最终将在 WAN 上被禁用)时,sshd.exe将创建一个以该用户身份运行的实例sshd_644。有人能解释一下这个用户帐户是什么吗?
任何意见均表示赞赏。
使用 PHP 在 IIS 上托管多个站点 (2)。每个站点都在自己的应用程序池下运行,因此w3wp.exe(IIS 工作进程)的每个实例都php-cgi.exe在各自的应用程序池标识下运行。
我有一个文件夹C:\Web,其中包含与网络服务器相关的文件。目录结构如下:
C:\WEB
├───AVP
│ ├───1.0
│ │ └───wwwroot
│ │ ├───api
│ │ ├───images
│ │ ├───scripts
│ │ └───styles
│ ├───PHPLogs
│ └───Sessions
├───Dev01
│ ├───PHPLogs
│ ├───Sessions
│ └───wwwroot
└───IISLogs
├───W3SVC
└───W3SVC1.old
我正在尝试设置权限,以便每个站点都无法访问其他站点的文件,以防一个站点上的脚本存在漏洞。
我尝试过的操作:
从 上的“用户”组中删除了权限C:\Web,因为应用程序池身份是用户组的成员。然后,我将为每个应用程序池标识为其自己的目录添加显式权限。 IE 'IIS AppPool\Site1' 将具有 读/写权限C:\Web\AVP,但不具有读/写权限C\Web\Dev01。然而,有一个复杂的问题:该C:\Web文件夹也通过网络共享 - 这是为了让我可以从其他计算机编辑网络文件。我已经使用“高级共享”菜单完成了此操作,并且我已向用户分配了共享权限:
这是可行的,但是如果我只从(和子文件夹)中删除“用户”组C:\Web,PHP 实例仍然可以访问这些文件。我还必须删除“经过身份验证的用户”(我不完全理解)的权限,以阻止我的应用程序池身份访问这些文件。然而这样做会破坏网络访问......
这样做的最佳方法是什么?
我有一个外部硬盘,我使用该磁盘上的一个分区来进行 Windows 10 系统映像备份。理论上,如果灾难发生,我有一个完整的 SSD 映像,可以从中恢复我的系统。
我如何管理存储在该磁盘上的备份?如果我去创建另一个图像,Windows 会检测到已经存在的图像,并告诉我最近一个图像的创建日期(见下文),因此它显然知道有关存在的图像的所有信息。
如果我想删除“WindowsImageBackup”文件夹中可能存在的多个图像之一,除了尝试手动执行而不损坏任何其他图像之外,我该怎么办?有点像这样,但我似乎无法在 Windows 10 中找到它。
OpenVPN 配置文件中的“auth”指令有什么作用?
我正在使用带有 OpenVPN 设置的 PKI 系统,详细信息请参见此处,并且一切正常(IE 客户端连接到服务器)。但是,在服务器或客户端的配置文件中,我没有使用“auth”指令。我在其他人的配置文件中看到过这样的内容:
auth SHA512
我需要使用这个指令吗?如果我不指定 OpenVPN 默认是什么?
抱歉,我对密码学、PKI 等有点陌生,并且希望尽可能强化我的 OpenVPN 服务器。请指出我应该做的任何其他改进!
编辑:
这是我的服务器配置:
port 23535
proto udp4
dev tun
ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\Keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\Keys\\dh2048.pem"
tls-crypt-v2 "C:\\Program Files\\OpenVPN\\Keys\\server-tls-crypt-v2.key"
topology subnet
server 10.43.166.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
cipher AES-256-GCM
status openvpn-status.log
verb 4
explicit-exit-notify 1
和我的客户端配置:
setenv FRIENDLY_NAME "Test VPN."
client
dev tun
proto udp4
remote vpn.server.local 23535
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 4
mute-replay-warnings
<ca>
REDACTED
</ca>
<cert>
REDACTED
</cert>
<key>
REDACTED
</key>
<tls-crypt-v2>
REDACTED
</tls-crypt-v2>
另一个可能愚蠢的问题是:我正在设置 VPN 连接,以便远程访问我的家庭 LAN 上的服务。我为此使用的路由器、防火墙和 VPN 服务器是 Draytek Vigor 2865。我这里最大的问题是选择 VPN 协议/理解 IPSec。
我已经成功设置了 PPTP VPN,运行良好。Draytek 设置为服务器,Draytek 上有几个用户帐户,具有唯一的用户名和密码,可用于连接到 VPN,我可以根据用户更改各种设置。(即我可以为特定的拨入用户分配特定的IP)。然而,我知道 PPTP 不是最安全的选择。确实,对于我的需求,具有最大 MPPE 加密和强密码的 PPTP 可能就可以了,但如果可用的话,我会选择使用更好的选项。
以下是 draytek 中的拨入选项: Draytek 中的 VPN 选项
显然,我试图避免 PPTP。我不想使用 OpenVPN,因为我需要能够使用内置的 Windows VPN 客户端,而且根据我的理解,我认为 SSL VPN 也不是我想要的。这就留下了 IPsec 隧道或 L2TP(使用 IPsec)。
我真正不明白 IPSec 的是它似乎使用“预共享密钥”进行身份验证,而且我不太知道它是如何工作的。每个远程用户是否都使用相同的 PSK 登录?那么服务器端如何区分远程用户呢?如果除了用户/通行证之外还使用 PSK,这是有意义的,但在某些情况下,似乎只使用 PSK...(示例:https: //draytek.co.uk/support/guides/ kb-远程工作人员-smartvpn-ipsec )
您会推荐 IPsec 隧道选项吗?或者采用 IPsec 的 L2TP 是否良好且安全?Windows VPN 客户端支持哪个选项?
很抱歉这篇文章很长,如有任何建议,我们将不胜感激。
