自建远程桌面服务端

因为公司的一些需求，担心远程桌面的安全问题，如：

1、先前某单位发出的《关于TeamViewer客户端被远程控制的紧急通报》声称TeamViewer服务器已被拿下，可以控制TeamViewer客户端（有可能是虚报，未得到TeamViewer官方证实）；

2、《ToDesk个人版安全预警公告》中声称个人版具备安全隐患，网传其总服务器在攻防演练中，总服务器被拿下，导致客户端可被直接操控（真实性未知），公告链接，其原文已删除：

https://www.todesk.com/news/437.html

但是历史不会遗忘它，历史快照：

http://web.archive.org/web/20220902072929/https://www.todesk.com/news/437.html

据我朋友的亲身描述，他挂在后台的ToDesk突然冒出来，鼠标开始乱飘，吓得他直接把他的电脑关机。

前面说了这么多，主要是想表达远程桌面的服务端在商业公司自己部署的服务器上，安全性不可控。如果只是使用个人免费版，基本不会有什么安全保障，出了事也不会分担走责任。所以，对企业而言，最佳方案是购买远程桌面的企业版，保障其安全性，出现安全事件也可以第一时间得到安全应急与响应。但是某些公司需要成本考虑，前期需要降低成本，由此，可以考虑自建远程桌面服务器，这里推荐RustDesk，官网链接：

https://rustdesk.com/

这里我使用Docker（amd64）搭建了一个服务端，简单记录一下过程：

1、Docker拉取镜像

sudo docker image pull rustdesk/rustdesk-server

2、启动容器用做RustDesk ID注册服务器（<relay-server-ip[:port]>换成服务器ip就行，不需要加端口）

sudo docker run --name hbbs -p 21115:21115 -p 21116:21116 -p 21116:21116/udp -p 21118:21118 -v `pwd`:/root -td --net=host rustdesk/rustdesk-server hbbs -r <relay-server-ip[:port]>

3、启动容器用做RustDesk 中继服务器

sudo docker run --name hbbr -p 21117:21117 -p 21119:21119 -v `pwd`:/root -td --net=host rustdesk/rustdesk-server hbbr

4、云控制台开放对应端口

TCP(21115, 21116, 21117, 21118, 21119)UDP(21116)

5、测试端口连通性，畅通

6、配置win客户端，设置ID/中继器，ID/中继服务器地址均填刚刚设置的服务器ip：

7.配置安卓客户端，也是类似

8、测试安卓端控制win端，控制无问题

总结：整体来说，RustDesk通过Docker部署方式还是挺简单的，极大降低了部署人员的操作难度。由此，远程桌面服务端的安全性和安全责任可以由部署的企业自负。但还是存在一个客户端安全性问题，远程桌面客户端如果出现了安全问题（如类似向日葵客户端未授权访问漏洞），企业也只能及时通知用户及封杀内网端口。所以，最优解还是购买企业版远程桌面，服务到位。

原文始发于微信公众号（SK安全实验室）：自建远程桌面服务端