RustDesk Server安全加固实战：HTTPS配置与证书管理全指南

一、问题定位：RustDesk Server的安全风险评估

在部署RustDesk Server时，我们面临的安全挑战可以通过以下风险矩阵进行系统评估：

风险类型	影响程度	发生概率	风险等级	典型场景
数据传输窃听	高	中	高	远程控制指令被中间人拦截
身份伪造攻击	高	中	高	恶意服务器伪装成合法RustDesk节点
端口封锁	中	高	高	企业防火墙阻止非标准端口通信
动态IP访问障碍	中	高	中	家用宽带IP变化导致连接中断
证书失效	高	低	中	SSL证书过期导致客户端不信任

风险分析结论：RustDesk Server的核心安全需求集中在传输加密、身份验证和标准端口适配三个方面，这正是HTTPS配置能够同时解决的关键问题。

二、方案设计：构建RustDesk安全通信架构

2.1 整体架构设计

我们将通过三层防护架构实现RustDesk Server的安全加固：

客户端 <--HTTPS加密通道--> Nginx反向代理 <--内部通信--> RustDesk服务
                               ↑
                               ↓
                        Let's Encrypt证书

2.2 技术选型决策

组件	选型	选择理由
Web服务器	Nginx	高性能、稳定的反向代理能力，广泛的SSL/TLS支持
证书管理	Certbot	自动化Let's Encrypt证书申请与续期，支持Nginx集成
容器编排	Docker Compose	简化多服务部署，确保环境一致性
进程管理	Systemd	提供服务自动恢复和状态监控能力

三、分步实施：安全配置四阶段实践

阶段一：环境预检（确保部署基础）

3.1.1 系统依赖检查与安装

目标：验证并安装所有必要的系统组件

操作：

# 检查系统版本（确保符合要求）
lsb_release -a

# 更新系统并安装依赖
sudo apt update && sudo apt install -y \
    docker.io \
    docker-compose \
    nginx \
    certbot \
    python3-certbot-nginx \
    dnsutils

验证：

# 检查关键组件版本
docker --version
nginx -v
certbot --version

最佳实践：始终在安装前更新系统，确保获取最新安全补丁。对于生产环境，建议使用Ubuntu 22.04 LTS或Debian 11以上版本。

3.1.2 网络环境验证

目标：确认服务器网络环境满足部署要求

操作：

# 检查公网IP
curl ifconfig.me

# 验证端口可用性（替换为你的服务器IP）
telnet <你的服务器公网IP> 80
telnet <你的服务器公网IP> 443

验证：确保80/443端口可以从外部访问，且服务器具有稳定的公网IP地址。

为什么这么做：Let's Encrypt证书申请需要通过80端口验证域名所有权，而HTTPS通信则依赖443端口。

阶段二：核心配置（实现基础安全通信）

3.2.1 域名解析设置

目标：将域名正确解析到服务器IP

操作：

1. 登录域名管理平台
2. 添加A记录：rustdesk.yourdomain.com指向服务器公网IP
3. 设置TTL值为300秒（5分钟）以加快解析生效速度

验证：

nslookup rustdesk.yourdomain.com

类比说明：域名解析就像互联网上的"通讯录"，将易记的域名转换为计算机可识别的IP地址，确保客户端能找到你的服务器。

3.2.2 RustDesk Server基础部署

目标：部署基础的RustDesk Server服务

操作：

# 克隆项目仓库
git clone https://gitcode.com/gh_mirrors/ru/rustdesk-server
cd rustdesk-server

# 创建数据目录并设置权限
mkdir -p ./data
chmod 777 ./data

修改docker-compose.yml文件：

version: '3'

networks:
  rustdesk-net:
    external: false

services:
  hbbs:
    container_name: hbbs
    ports:
      - 21115:21115
      - 21116:21116
      - 21116:21116/udp
      - 21118:21118
    image: rustdesk/rustdesk-server:latest
    command: hbbs -r rustdesk.yourdomain.com:21117
    volumes:
      - ./data:/root
    networks:
      - rustdesk-net
    depends_on:
      - hbbr
    restart: unless-stopped

  hbbr:
    container_name: hbbr
    ports:
      - 21117:21117
      - 21119:21119
    image: rustdesk/rustdesk-server:latest
    command: hbbr
    volumes:
      - ./data:/root
    networks:
      - rustdesk-net
    restart: unless-stopped

启动服务：

docker-compose up -d

验证：

docker-compose ps

推荐参数范围：

• 内存：最低2GB，推荐4GB以上
• 磁盘空间：系统+数据最低10GB，生产环境建议50GB以上
• CPU：最低2核心，推荐4核心以上

3.2.3 SSL/TLS证书申请

目标：获取受信任的SSL/TLS证书

操作：

sudo certbot certonly --nginx \
  -d rustdesk.yourdomain.com \
  --email admin@yourdomain.com \
  --agree-tos \
  --non-interactive \
  --redirect

验证：

ls -l /etc/letsencrypt/live/rustdesk.yourdomain.com/

为什么这么做：Let's Encrypt提供免费可信的SSL证书，避免了自签名证书导致的客户端信任问题。证书文件默认存储在/etc/letsencrypt/live/目录下。

3.2.4 Nginx反向代理配置

目标：配置Nginx实现HTTPS终结和请求转发

操作： 创建Nginx配置文件：

sudo nano /etc/nginx/sites-available/rustdesk

添加以下配置：

server {
    listen 80;
    server_name rustdesk.yourdomain.com;
    
    # HTTP重定向到HTTPS
    location / {
        return 301 https://$host$request_uri;
    }
    
    # Let's Encrypt验证
    location /.well-known/acme-challenge/ {
        root /var/www/html;
        allow all;
    }
}

server {
    listen 443 ssl http2;
    server_name rustdesk.yourdomain.com;
    
    # SSL证书配置 🔐
    ssl_certificate /etc/letsencrypt/live/rustdesk.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/rustdesk.yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    
    # HSTS配置 🛡️
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    
    # WebSocket支持
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
    
    # RustDesk Web UI反向代理
    location / {
        proxy_pass http://127.0.0.1:21118;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

启用配置：

sudo ln -s /etc/nginx/sites-available/rustdesk /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

验证：

curl -I https://rustdesk.yourdomain.com

最佳实践：定期检查SSL配置安全性，可使用SSL Labs服务器测试工具评估配置强度。保持仅启用TLS 1.2+，禁用不安全的密码套件。

阶段三：安全增强（提升防护等级）

3.3.1 证书自动续期配置

目标：确保SSL证书自动更新，避免过期风险

操作：

# 测试自动续期功能
sudo certbot renew --dry-run

# 设置定时任务
echo "0 3 * * * /usr/bin/certbot renew --quiet --renew-hook 'systemctl reload nginx'" | sudo tee -a /etc/crontab

验证：

sudo crontab -l | grep certbot

为什么这么做：Let's Encrypt证书有效期仅90天，自动续期确保服务不会因证书过期而中断。选择凌晨3点执行可减少对业务的影响。

3.3.2 Docker卷挂载证书

目标：使RustDesk服务能够访问SSL证书

操作： 修改docker-compose.yml，添加证书挂载：

services:
  hbbs:
    # ... 其他配置 ...
    volumes:
      - ./data:/root
      - /etc/letsencrypt:/etc/letsencrypt:ro
      
  hbbr:
    # ... 其他配置 ...
    volumes:
      - ./data:/root
      - /etc/letsencrypt:/etc/letsencrypt:ro

重启服务：

docker-compose down
docker-compose up -d

验证：

docker exec -it hbbs ls /etc/letsencrypt/live

3.3.3 RustDesk SSL配置

目标：配置RustDesk服务使用SSL证书

操作：

# 创建并编辑配置文件
nano ./data/hbbs.ini

添加以下内容：

[server]
ssl_enabled = true
ssl_cert_file = /etc/letsencrypt/live/rustdesk.yourdomain.com/fullchain.pem
ssl_key_file = /etc/letsencrypt/live/rustdesk.yourdomain.com/privkey.pem
bind_address = 0.0.0.0:21118

重启服务：

docker-compose restart

验证：

docker-compose logs hbbs | grep SSL
# 应看到"SSL enabled"相关日志

阶段四：持续运维（确保长期稳定运行）

3.4.1 客户端配置

目标：配置RustDesk客户端连接到安全服务器

操作：

1. 从服务器获取公钥：

cat ./data/id_ed25519.pub

2. 在RustDesk客户端中：
   • 点击"ID/中继服务器"设置
   • 输入ID服务器：rustdesk.yourdomain.com
   • 输入中继服务器：rustdesk.yourdomain.com:443
   • 粘贴从服务器获取的公钥

验证： 成功连接后，客户端状态栏应显示🔒图标，表示已建立加密连接。

3.4.2 监控与日志配置

目标：建立基本的服务监控机制

操作：

# 创建日志轮转配置
sudo nano /etc/logrotate.d/rustdesk

添加以下内容：

/var/log/rustdesk/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 root adm
}

验证：

# 手动触发日志轮转测试
sudo logrotate -f /etc/logrotate.d/rustdesk

四、验证优化：故障排除与性能调优

4.1 连接问题诊断决策树

客户端无法连接
    ├── 检查网络连接
    │   ├── 正常 → 检查DNS解析
    │   │   ├── 正常 → 检查服务器状态
    │   │   │   ├── 正常 → 检查SSL证书
    │   │   │   │   ├── 正常 → 检查Nginx配置
    │   │   │   │   │   ├── 正常 → 检查客户端配置
    │   │   │   │   │   └── 异常 → 重新配置Nginx
    │   │   │   │   └── 异常 → 重新申请/安装证书
    │   │   │   └── 异常 → 重启RustDesk服务
    │   │   └── 异常 → 检查DNS设置
    │   └── 异常 → 检查网络连接/防火墙
    └── 其他问题 → 查看详细日志

4.2 常见问题解决方案

证书相关错误：

# 错误：证书文件权限问题
sudo chmod 644 /etc/letsencrypt/live/rustdesk.yourdomain.com/*
sudo chown root:root /etc/letsencrypt/live/rustdesk.yourdomain.com/*

# 错误：证书路径不正确
grep -r "ssl_cert_file" ./data/hbbs.ini

Nginx相关错误：

# 错误：502 Bad Gateway
docker-compose ps hbbs
nginx -t

4.3 性能优化建议

编辑./data/hbbs.ini文件，添加性能优化参数：

[performance]
max_connections = 1000  # 推荐值：500-2000，根据服务器配置调整
thread_pool_size = 4     # 推荐值：CPU核心数
udp_buffer_size = 1048576  # 1MB，最小值：262144(256KB)
tcp_keepalive = 300      # 推荐值：300-600秒

附录：安全加固清单

基础安全配置

• [ ] 已安装所有系统安全更新
• [ ] 已配置防火墙，仅开放必要端口
• [ ] 已设置强密码策略
• [ ] 已禁用root直接登录
• [ ] 已配置SSH密钥登录

HTTPS安全配置

• [ ] 已启用TLS 1.2+
• [ ] 已禁用不安全密码套件
• [ ] 已配置HSTS头部
• [ ] 已设置证书自动续期
• [ ] 证书链完整且有效

RustDesk特定配置

• [ ] 已启用SSL/TLS加密
• [ ] 已配置正确的公钥认证
• [ ] 已设置适当的连接限制
• [ ] 已配置日志轮转
• [ ] 服务以非root用户运行

通过完成以上安全加固清单，你的RustDesk Server将达到企业级安全标准，有效防范常见的网络攻击和安全威胁。定期审查和更新这些配置，确保长期保持良好的安全状态。