大家好,阿拉乌萨奇。
今天我们来聊聊我写的 Zero-Trust-Lite。
先说下这个项目的本意和一些说明。
项目本意
说白了,Zero-Trust-Lite 这个项目的初衷很简单:
就是给自己搭的服务加一层靠谱、好控制的访问保护。
我一开始就没想做企业级零信任那些复杂的东西。
不用 SSO、不用设备注册,也不用搞一大堆策略规则。
这个项目的范围很明确:只管入口访问,其他不碰。
它其实就是一个 HTTP 反向代理中间件,放在后端服务前面用就行。
后端完全不用改,也不用配合做任何事。
Zero-Trust-Lite 做的事情只有一件:
判断这次访问能不能进去。
信任模型说明
这里面唯一“认”的东西就是 TOTP。
没有什么“内网就安全”,
也没有“IP熟悉就放行”。
第一次访问一定要 TOTP,绕不过去。
目前支持两种 TOTP 模式:
- 私有 8 位 TOTP(ZTL 内部用)
- 标准 Basic TOTP(可以导入你自己的 2FA 客户端)
早期做远程 TOTP 绑定,是为了把生成逻辑集中在可控环境里,
降低算法被直接扒、复制,或者遇到未知 0day 被滥用的风险。
所以私有 8 位 TOTP 是默认、直接可用的模式。
后来考虑到很多人习惯用自己的 2FA 客户端,
就加了 标准 Basic TOTP,
网页端可以生成 Base32 Secret,自己导入客户端用就行。
两者并存,但启用方式不一样:
- 私有 8 位 TOTP:默认直接用
- 标准 Basic TOTP:需要自己改配置才能开
这不是功能藏着不让用,而是有意的取舍:
默认模式偏保守、可控;标准 TOTP 方便,但得自己选。
关于 IP 和会话
Zero-Trust-Lite 里的 whitelist IP 不是白名单,
也不是“信任捷径”。
它只在 通过 TOTP 后 才起作用,
作用只有一个:让会话时间长一点,少重复输验证码。
简单来说:
- 没验证:必须 TOTP
- 验证过 + Trusted IP:会话时间更长
- IP 从不决定能不能进
IP 只是帮你省点麻烦,不是安全边界。
纵深防御能力
除了基础 TOTP,Zero-Trust-Lite 还有一些额外小手段:
-
路径级 TOKEN 访问控制
不同路径可以绑不同的 TOTP,某个地方出问题也不会影响其他路径。 -
路径敲门
TOTP 对了,也得按顺序访问几个隐藏路径,才能真正放行。
这些手段不是炫技,只是让攻击成本高一点。
适用场景
之所以叫 Lite,是因为目标收得很小,不是什么功能不够。
适合:
- 个人项目
- 私有面板
- DevOps / CI 控制台
- VPS 上跑的一些内部工具
不适合:
- 企业级 SSO
- 公网多用户登录系统
- 想用它替代完整 Zero Trust 平台的情况
总的来说,它只解决一件事:
把不该进来的人,挡在入口外面。
注意事项
本论坛的用户记得把 README 里的 https://ipsafev2.537233.xyz 改成本论坛专用的 https://nodebbs.537233.xyz,
因为 ipsafev2 已关闭注册。
如果你喜欢本项目,欢迎在 GitHub 给个星,
所有更新及内容均在仓库的 main 分支更新。
同时也欢迎在 https://ipm.537233.xyz 购买key成为专业站用户为爱发电。
