VSCode远程开发安全最佳实践

VSCode远程开发安全需遵循最小权限、网络隔离、凭证保护和及时更新原则：创建受限用户、禁用密码登录、使用带密钥短语的ED25519密钥并限制SSH命令、关闭非必要端口、定期清理~/.vscode-server旧版本。

VSCode远程开发本身不自带安全防护，安全取决于你如何配置和使用它。核心原则是：最小权限、网络隔离、凭证保护、及时更新。

严格限制远程主机的访问权限

不要用 root 或管理员账户运行 Remote-SSH。为 VSCode 远程连接单独创建一个受限系统用户，仅授予其编辑项目所需目录的读写权限。

• 用 adduser --disabled-password vscode-dev 创建无密码登录用户
• 用 chown -R vscode-dev:vscode-dev /path/to/project 设定归属
• 通过 sudoers 仅允许该用户执行必要命令（如 systemctl --user），禁用 shell 交互式提权

关闭不必要的远程服务与端口

Remote-SSH 默认只走 SSH 端口（22），但很多人会顺手启用 Remote-WSL 或 Remote-Containers，甚至手动开转发端口——这些都可能扩大攻击面。

• 在远程服务器上检查 ss -tlnp | grep -E ':(22|3000|8080|5000)'，关掉非必需监听端口
• VSCode 的 remote.SSH.showLoginTerminal 设为 false，避免登录后自动弹出终端暴露环境信息
• 禁用 remote.SSH.enableDynamicForwarding，防止 SSH 动态端口转发被滥用为代理

用密钥而非密码登录，并启用额外验证

密码登录易被暴力破解；单纯密钥也不够——私钥一旦泄露就等于门户大开。

极限网络办公Office Automation

专为中小型企业定制的网络办公软件,富有竞争力的十大特性： 1、独创 web服务器、数据库和应用程序全部自动傻瓜安装，建立企业信息中枢 只需3分钟。 2、客户机无需安装专用软件，使用浏览器即可实现全球办公。 3、集成Internet邮件管理组件，提供web方式的远程邮件服务。 4、集成语音会议组件，节省长途话费开支。 5、集成手机短信组件，重要信息可直接发送到员工手机。 6、集成网络硬

下载

• 生成带密码短语（passphrase）的 ED25519 密钥：ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519_vscode
• 在远程服务器 ~/.ssh/authorized_keys 中为该密钥添加 command=... ,no-port-forwarding,no-X11-forwarding 限制
• 启用 SSH 的 AuthenticationMethods publickey,keyboard-interactive（需配合 PAM 或 Google Authenticator 实现双因素）

定期清理远程端的 VSCode Server 和依赖

VSCode 每次远程连接都会在服务器上下载并运行一个专用 server（vscode-server），不同版本散落在 ~/.vscode-server 下，旧版本可能含已知漏洞。

• 每月手动运行 rm -rf ~/.vscode-server/bin/* 清理旧版（下次连接会自动重下最新稳定版）
• 在 settings.json 中设置 "remote.server.downloadLocation": "https://update.code.visualstudio.com/commit:" 指向可信源，避免镜像站篡改
• 禁用自动扩展同步（remote.autoForwardPorts 设为 false），防止本地扩展在远端静默打开端口

基本上就这些。不复杂但容易忽略——尤其是密钥限制和 server 清理这两项，很多团队上线半年后才发现远端堆了七八个未打补丁的 vscode-server 版本。