家庭云及其它(下)
远程管理
我反对用Windows做服务器的一大原因就是远程管理不方便。不论是远程桌面协议(RDP)还是VNC,都太麻烦,也不安全。除非用VPN。
最关键的是远程传输屏幕内容实在是太浪费流量了,而且碰到低速网络时就杯具了。
另外就是,GUI操作实在很麻烦,点几下鼠标的时间,足够跑一堆的命令了。
因为远程管理往往并不是说在公司里连家里,而是出门在外用3G甚至是手机上网——Android下装一个TerminalIDE用SSH连服务器上用VIM写程序都是可以的。
这种情况下想要远程管理Windows纯属杯具。
相比之下,SSH具有无可比拟的优势——安全,轻量,功能强大。通过tunnel功能甚至可以作为一个安全的代理达到VPN的作用,但又比它更安全(当然也有局限,比如并发连接数就比VPN差很多)。
当 然,现在的Win Server也有无图形界面的安装方式,也有PowerShell这种类似Shell的东西。但是丫跟传统Unix shell完全不兼容,无异于增加学习成本,并且不利于利用几十年来世界人民在Unix Shell上积累的经验和资源。有跟没有也没啥区别。
关于安全
0bug老师在文章里提到他用向日葵VPN来实现远程管理服务器。算是有一定的安全意识。
但是我一向认为VPN其实在一定程度上反而是个危险的东西。
如Virushuo曾经说过的(大意):
虚假的安全其实是最不安全的。
这句话的意思说得细点就是:
某些安全措施如果做得不到位、或者说使用的人对于安全措施过于依赖、或过于信任、或把它的安全能力想像得过于强大……的时候,这种安全其实是一种假像,而在这样一种安全的假像下,人会更容易做一些不安全的事情,结果反而更容易导致安全事故。
比如著名的360就是这样。丫号称它的安全浏览器非常安全,但实际上它经常会在背地里从360的网站上下载一个DLL,并且运行其中的代码。当然,如果仅仅只是如此,那么只能说它是在耍流氓而已。但问题是它对下载的这个DLL并不作任何的校验……
那就意味着——如果有骇客黑掉一台DNS,并且将这个DNS中的360域名指向骇客的服务器,而这个服务器上放一个木马DLL,那么恭喜你,所有使用这个DNS的360浏览器都将成为肉鸡……
前几天在某论坛看到有人发帖为360说好话:理由是个人没啥隐私可盗的,别的软件包括windows也暗地里干些用户不知道的事情,360给我提供很多忙,我就要为它推广。我批了几句,结果被说是技术小白。好吧,我小白了,不该跟它理论的。其实这种人无非两种可能:一是纯SB,二是拿了360的好处。
这 种自认为个人没有隐私可盗的想法是非常危险的。即使你不觉得自己有什么隐私可盗,但是你的亲人朋友呢?有没有想过你的联系人通讯录可能被卖给骗子,回头去 骗你家人?有没有想过你的朋友可能因为你的不安全而被骗?更危险的就是上面说的成为肉鸡。如果骇客通过你的电脑去犯罪,你要如何洗脱嫌疑?
好吧,也许360最终会把这个问题改掉,只是谁知道呢?
当然别的安全软件也别幸灾乐祸,你们丫也未必干净到哪里去。
所以说0bug老师虽然有金山毒霸,但仍然不能掉以轻心啊。
安全的根本还在于人,而不在于技术措施。
VPN也一样
虽然用了VPN,可以基本保证外网的攻击很难奏效,但是别忘记了,那些可以接入VPN的客户端却未必都是安全的,很可能比如说已经成了肉鸡,如果这样的设备成功接入了VPN,那么整个内网的安全都会受到威胁。
当然这是对于企业来说。比较安全的做法应该是VPN仅限于异地office之间,只要保证各office安全即可。外部接入最好还是基于特定应用开放为好,比如为应用提供WEB接入,然后在WEB层作特定的应用层安全网关。即使特定应用被攻破,损失也比较有限。
或者更安全的做法是VPN只能到达特定的DMZ,进入内网还需要通过特定的应用层安全网关,但这样就麻烦多了。
当然,家庭的情况不需要这么BT的安全性,但是用向日葵这种VPN真的没问题吗?
我还是持谨慎态度。毕竟传统的VPN是基于开放的标准和数学上已经证明的安全算法实现,这是可以信任的。但是向日葵的实现方式并不公开,是否有安全问题并不能保证。当然现在用它的人还不多,暂时应该还不会受到多少安全攻击,一般用用应该还可以,但以后谁知道呢?
对我来说还有一个问题就是:我不用Windows……
所以相比之下,我更信任SSH。
家庭云的未来
展望未来,我觉得家庭云是一个潜在的市场,还是有不少需求可以挖掘的,尤其如前面所说,在这个移动的时代里。
以Dropbox为代表的云存储固然是一个方向,但是公有云并不适合所有人。
家庭私有云会更适合像我这种用户——家里数码设备较多,数据量较大,外网存在隐私问题及速度问题等。
但要解决这些问题,需要一整套的软硬件解决方案,自己DIY当然是可以解决,但是成本还是太高了——包括硬件成本和时间成本。
只是大公司都会喜欢公有云(因为更有钱途)……
推送到[go4pro.org]