Comments 54
Простите, а зачем этот весь колхоз, когда есть живой и рабочий Remote Desktop Gateway?
Не очень понял из публикации, чем не устроили стандартный VPN (pptp, sstp) с доменной аутентификацией. Настроить VPN подключения на компьютерах пользователей можно или через GPO или через CMAK. Ярлык подключения к серверу можно даже по почте отправить.
В чем преимущества вашей системы?
В чем преимущества вашей системы?
Уверен, что есть готовые решения. По тем или иным причинам ни одно из них мне не подходит. К сожалению в моём случае имеет место ещё и «политическая» составляющая. Не буду вдаваться в подробности, но для меня это было самым выгодным решением. Надеюсь кому-то ещё пригодится, для того и разместил.
UFO just landed and posted this here
Речь идет о домашних ПК. Хотя подключения можно создавать из bat файлов, что тоже вариант.
Не надо никаких bat файлов: для доменных ПК — GPO, для всех остальных — CMAK.
Один бинарник, который можно переслать пользователю по email(или другим способом), который он запускает и работает.
А как вопрос с безопасностью и разграничением прав удаленного доступа в офисную сеть решается и контролируется?
А скриншоту уже лет 9-10? Понастольгировал :)
Можно было и проще — банальный батник для настройки всего-и-вся (VPN, RDP)
А если надо много файлов — смотрим в сторону самораспаковывающихся архивов (Во временную папку).
А если надо много файлов — смотрим в сторону самораспаковывающихся архивов (Во временную папку).
Скриншот из игрушки simadmin, если кто не в курсе.
Сам сайт (simadmin.ru) приказал долго жить, но флешку можно скачать на просторах интернета.
Не сочтите за рекламу производителей севревров :)
Сам сайт (simadmin.ru) приказал долго жить, но флешку можно скачать на просторах интернета.
Не сочтите за рекламу производителей севревров :)
На SF ни каких исходников, только голый rlink.exe, если это попытка «втюхать» вирус — то глупая, если попытка показать проект — то какой смысл?
Путём несложных манипуляций (через страницу автора на SF) всё же удалось найти исходники проекта:
Беглый осмотр сразу выявил ряд проблем, на мой взгляд:
* Не бросилось в глаза в статье (а в ней есть) но бросилось в исходниках
Такую деятельность некоторые антивирусы рассматривают как признак заражения (как запись, так и извлечение данных) и между прочим — правильно делают, да и «всё давно придумано за нас» ни кто не отменял. Есть специальный раздел в ресурсах исполняемых файлов именно для этого и придуманный — RCDATA если память не подводит.
Беглый осмотр сразу выявил ряд проблем, на мой взгляд:
* Не бросилось в глаза в статье (а в ней есть) но бросилось в исходниках
// структура данных дописываемых в конец exe
// записывается после данных.
// структура exe файла выглядит так:
// EXE
// DATA
// MAGIC_DATAТакую деятельность некоторые антивирусы рассматривают как признак заражения (как запись, так и извлечение данных) и между прочим — правильно делают, да и «всё давно придумано за нас» ни кто не отменял. Есть специальный раздел в ресурсах исполняемых файлов именно для этого и придуманный — RCDATA если память не подводит.
Каюсь, сырцы не выложил т.к. хотел собрать в отдельный проект, не выкладывая libssh с openssl и убрать лишнее. Это в ближайшие дни исправлю.
Ваше решение, как и RDP+ dnat обладает одним существенным недостатком — нужно вводить пароль.
Сын или племянник главбуха может в целях развлечения «подслушат» пароль и проникнуть в вашу сеть.
Вот кто бы написал мануал по настройке plink+etoken с неизвлекаемым ключом.
Тогда уже Марьванна не сможет отбрехаться, мол «ничего не знаю — пароль никому не говорила».
Только нужно обязать пользователей хранить etoken как зеницу ока и прописать ответственность за передачу третьим лицам.
Сын или племянник главбуха может в целях развлечения «подслушат» пароль и проникнуть в вашу сеть.
Вот кто бы написал мануал по настройке plink+etoken с неизвлекаемым ключом.
Тогда уже Марьванна не сможет отбрехаться, мол «ничего не знаю — пароль никому не говорила».
Только нужно обязать пользователей хранить etoken как зеницу ока и прописать ответственность за передачу третьим лицам.
Далеко не всем и не везде нужен повышенный уровень безопасности. Ну и нет ничего сложного в прикручивании к уже существующему впн и/или терминальному серверу авторизации по токенам или генераторам одноразовых кодов. Для этих целей существует много проприетарных решений и опенсорсная privacyIDEA.
Авторизация по MAC/IP?
А я для этого использую бесплатный ssh клиент Bitvise (https://www.bitvise.com/)
В автозапуске у пользователя указан старт этого клиента с заранее настроенным профилем, в котором прописывается подключение к нашему ssh серверу (с разными способами аутентификации) и настраиваются предоставляемые сервисы. По желанию: автозапуск remote desktop, кстати; терминал; мост ftp->sftp; socks прокси (очень удобно для многих применений); проброс портов от клиента к серверу и обратно и т.д. Так же есть настройки поддержания подключения, автоматического отключения, автозапуска программ при соединении и т.д. В общем — незаметная иконка в трее, ставшая уже почти незаменимой ))
с оффсайта
Our free and flexible SSH Client for Windows includes state of the art terminal emulation, graphical as well as command-line SFTP support, an FTP-to-SFTP bridge, powerful tunneling features including dynamic port forwarding through integrated proxy, and remote administration for our SSH Server.
Bitvise SSH Client can be used free of charge in environments of any type.
Bitvise SSH Client can be used free of charge in environments of any type.
В автозапуске у пользователя указан старт этого клиента с заранее настроенным профилем, в котором прописывается подключение к нашему ssh серверу (с разными способами аутентификации) и настраиваются предоставляемые сервисы. По желанию: автозапуск remote desktop, кстати; терминал; мост ftp->sftp; socks прокси (очень удобно для многих применений); проброс портов от клиента к серверу и обратно и т.д. Так же есть настройки поддержания подключения, автоматического отключения, автозапуска программ при соединении и т.д. В общем — незаметная иконка в трее, ставшая уже почти незаменимой ))
Он бесплатный для домашнего использования. Если компания — покупайте лицензию.
А так сам его дома использую, да. И на работе — купленный.
А так сам его дома использую, да. И на работе — купленный.
Они год или два назад сменили лицензию, https://www.bitvise.com/ssh-client-license — теперь Bitvise SSH Client can be used free of charge, in all types of environments, without limitation.
Продают они только SSH Server
Продают они только SSH Server
UFO just landed and posted this here
Я думаю, что автор получил те же яйца в профиль. Тот же гемор если б просто поднял vpn и сам удалено настроил бы соединение и rdp на ПК юзверей. Я так настраиваю по республике, где проживаю. Приструнить пользователей не менять ПК не сложно. Один раз настроил все и забыл. Разные серверы, подход один. Абсолютно не вижу разницы с вариантом автора. Просто он взял и потерял время в том же направлении, ни произведя усовершенствование процесса и не добавив изящности в него.
а можно сделать чтобы пароль шифровался и строка запуска не отображалась в программе Process Monitor?
Прошу прощения, уважаемые гуру! У меня одного не соединяется на стадии запроса ssh пароля? И при указании заведомо верного пароля я получаю
[STATUS]: Authentication by password: Fail
Я что-то не так делаю?
rlink --saddr=192.168.1.102 --sport=22 --user=пользователь --lport=3399 --raddr=имя.сервера.домен --rport=3389 --user=«домен\пользователь» --cmd=«mstsc /v:localhost:1234»
[STATUS]: Authentication by password: Fail
Я что-то не так делаю?
rlink --saddr=192.168.1.102 --sport=22 --user=пользователь --lport=3399 --raddr=имя.сервера.домен --rport=3389 --user=«домен\пользователь» --cmd=«mstsc /v:localhost:1234»
Вы указываете --user=«домен\пользователь» видимо подразумевая пользователя конечной машины а программа думает что Вы логинитесь на ssh.
К сожалению я не предусмотрел, что кому-либо может вздуматься дважды указать один и тот же ключ и логика выстроена таким образом что Вы можете его указать хоть трижды — актуальным будет последний.
К сожалению я не предусмотрел, что кому-либо может вздуматься дважды указать один и тот же ключ и логика выстроена таким образом что Вы можете его указать хоть трижды — актуальным будет последний.
Поднять VPN на базе Hamachi — легко и просто, и стоит недорого (вплоть до бесплатно).
Сам так делал, как раз для бухгалтеров, чтобы они по RDP в 1С лазили.
Сам так делал, как раз для бухгалтеров, чтобы они по RDP в 1С лазили.
… до тех пор пока адрес вашего сервера не начинается на пятерку. После того, как подобное с вами случится, вы больше не скажите про эту программу ни одного хорошего слова :)
А можно поподробнее?
https://habrahabr.ru/post/146382/
Еще был пост гнева "Как схомячить интернеты и не поперхнуться" но его автор спрятал. Можете поискать в гугле копии.
Зная пронырливость и бессовестность СБ наших корпораций, ни за что не стал бы запускать на домашнем компе EXEшник, выданный на работе.
Спасибо автору, а то я делал 100% тоже самое огородом из plink+cmd+key+.rdp в архиве!
Новым юзерам буду выдывать exe!
Новым юзерам буду выдывать exe!
не работает с последними OpenSSH серверами (например, в ubuntu 16.04). видимо, приоритеты алгоритмов шифрования поменять нужно
Как же я хочу дойти до такого уровня, чтобы в один прекрасный день я мог сказать:
«По большому счёту ничего сложного. Берём исходники libssh2, openssl и zlib и прикручиваем их к нашему проекту.»
«По большому счёту ничего сложного. Берём исходники libssh2, openssl и zlib и прикручиваем их к нашему проекту.»
Благодарю за хорошее решение!
Подскажите, где можно пощупать исходники? Есть потребность вместо подключения по rdp к Win, подключаться к Linux серверам, скорее всего по VNC. По этой причине, думаю попробовать заменить, потестировать ит.п. Заранее благодарю!
Подскажите, где можно пощупать исходники? Есть потребность вместо подключения по rdp к Win, подключаться к Linux серверам, скорее всего по VNC. По этой причине, думаю попробовать заменить, потестировать ит.п. Заранее благодарю!
При коннекте (из Windows в Linux) получаю ошибку:
«только с поддержкой 8,15, 16 и 24 bpp rdp-соединений»
Как я понимаю — лечится изменением глубины цвета в Remote Deskope. Вы можете снизить глубину цвета до 24 по умолчанию? Или возможностью задавать этот параметр в команде запуска…
«только с поддержкой 8,15, 16 и 24 bpp rdp-соединений»
Как я понимаю — лечится изменением глубины цвета в Remote Deskope. Вы можете снизить глубину цвета до 24 по умолчанию? Или возможностью задавать этот параметр в команде запуска…
Добрый день!
Исходники можно посмотреть там же.
Подключение к rdp в статье рассматривалось как пример использования. Подключаться можно к любой службе. Все параметры которые можно задать запускаемой программе через командную строку, указываются с ключом --cmd. Если используемый Вами, клиент не может изменять глубину цвета путём указания его в командной строке, то боюсь никак этого не изменить.
Хотя в таком случае, действительно возможно добавить в исходники код изменяющий соответствующие ключи реестра (если это поможет). Но это частный случай.
Кстати, хочу обратить внимание, что в этой версии, максимальное количество одновременных соединений, жестко ограничено одним единственным. Что не даёт возможности, например, в RDP сессии, качать файлы. Что в моём случае, было определяющим, в плане безопасности ;)
Исходники можно посмотреть там же.
Подключение к rdp в статье рассматривалось как пример использования. Подключаться можно к любой службе. Все параметры которые можно задать запускаемой программе через командную строку, указываются с ключом --cmd. Если используемый Вами, клиент не может изменять глубину цвета путём указания его в командной строке, то боюсь никак этого не изменить.
Хотя в таком случае, действительно возможно добавить в исходники код изменяющий соответствующие ключи реестра (если это поможет). Но это частный случай.
Кстати, хочу обратить внимание, что в этой версии, максимальное количество одновременных соединений, жестко ограничено одним единственным. Что не даёт возможности, например, в RDP сессии, качать файлы. Что в моём случае, было определяющим, в плане безопасности ;)
Sign up to leave a comment.
SSH вместо VPN