除了使用vpn访问公司内网外，很多公司员工为了操作上的便利，也在使用了各种各样的远程工具，常见的windows远程桌面就不说了，都觉着太Low，其他如：VNC，Teamviwer之类的也都是不太好穿透内网而且还过时了，所以Todesk，向日葵等着类远程控制工具被“充分”利用起来了。

但是你们也是否知晓这些大家感觉非常好用的工具在提供便利的同时，也隐藏着巨大的安全隐患呢？

先看看国家信息安全漏洞平台的公告：

来自向日葵官网的漏洞安全警示：

阿里云爆出来Todesk的安全漏洞：

这种随意可以穿透到内网，而且服务端都在三方公司的远程控制工具，作为国家重点事业单位，重点类别的企业，比如金融，证券，央国企等难到真的不怕？

好吧，无知者无畏！

---

这篇文章不是批评谁，前面提到的几个工具我也都用过，确实还挺好用，不过既然存在安全隐患，那么是否有更好的解决方案呢？

调研了一下Todesk，向日葵类似的工具，还真让我发现了一款叫做RustDesk的远程工具，完全开源，而且可以使用自己的中转服务器，意思就是数据不过三方平台，数据流转可以实现内部闭环。

嚯！Github上有110k的star，这可以啊！

上了官网看了下，国内的唯一代理是国内某公司，哎！不予评价，反正我是不喜欢这家公司和它们产品！

---

其他就不多说了，代理商和产品的好坏没啥直接关系，东西是好的就OK，我们从github直接获取不就行了？而且我又不用什么“售后”支持！

接下来重点来了，看看如何快速私有化部署一套远程控制平台：RustDesk。

准备环境：

1. 服务端（中转）： Linux，Docker（跨公网络使用，需要有公网Ip）

2.客户端（2台）：mac，windows，linux（有桌面）都可以

---

服务端搭建：

我这是Ubuntu系统下使用Docker一键部署

因为使用了Host模式，docker会使用本机的ip端口，rustdesk会启动如下，注意企业防火墙规则：

端口开放：如果是云服务商的安全组/防火墙中放行以下端口：

端口开放：如果是云服务商的安全组/防火墙中放行以下端口：

• 21115 (TCP) – NAT 类型测试
• 21116 (TCP/UDP) – ID 注册/心跳服务 (HBBS)
• 21118 (TCP) – 网页支持
• 21119 (TCP) – 用于通过 Web 客户端连接
• 21116 (UDP) – 非常重要，用于打洞和直接连接
• 21117 (TCP) – 可选，用于中继

使用docker compose up -d启动即可

假设你的公网IP为：110.110.110.110，如果rustdesk只在内网使用，那只需要内网Ip即可，如：10.10.10.10，这就是后面提到的ID服务器地址。

接下来安装客户端：

根据客户端的操作系统，选择对应的安装包即可：

我是mac和win10，所以我分别下载各自的安装包

安装之后看到页面如下：

跟向日葵啥的一样，都是有个唯一的ID和密码

这里注意的是，tab中的“设置”点开后需要对网络进行配置，填入前面服务端的ip和key

注意这里的key可用从docker的挂载目录/data中看到，有个.pub的文件，复制内容出来放到key里面，然后等待一会就能看到客户端底部绿色的“就绪”状态，这样说明已经连上了中继服务

window机器也是一样，都就绪后就可以正常使用了。

这是我使用mac连接到windows的截图：

连上之后才看到输入密码的输入框。

现在连上远端的windows机器了。

简单吧，不到半个小时搞定！

---

如果说RustDesk比ToDesk和向日葵安全多少，我也不敢说，至少数据中转都在可控范围内，而且客户端必须要配置id和key才能注册上服务，也就是客户端才能相互控制。

意味着非法客户端在不知道id和key的情况下是无法参与到这个游戏..

在安全审计合规上是加分项，至少看着就安全点！

看看多款远程工具的横向对比：

不知道你喜欢哪一款，上面的大老板又中意哪一款呢？

反正我都不喜欢，我只用：SSH Tunneling