macOS 上优雅使用 EasyConnect

Author： Star
发布时间：January 5, 2024
3286 views
2 comments
4840 words
Categories：奇技淫巧

深信服的 EasyConnect 这玩意，不能说不好，毕竟方便了连接公司内网（没它还真干不了活），但是软件本身的一些行为，确实让人看不懂，比如：两个以 root 权限后台常驻的进程以及自动安装的 Sangfor 根证书。

两个 root 权限后台常驻的 EasyMonitor 和 ECAgentProxy，且手动停止后仍会拉起
自动安装系统根证书，删除后，由于上述两个常驻进程的存在，仍然会重新安装

上述行为的危害懂得都懂，root 权限常驻，意味着拥有读取和写入任何文件的权限；安装了根证书，意味着可以解密流量，中间人攻击，篡改数据等。

本机环境：
操作系统：macOS Ventura 13.1 (22C65)
CPU：Intel
EasyConnect 版本：7.6.3
终端：zsh (oh-my-zsh)
终端工具：iTerm2
其他环境请自行测试。

方案一（使用 Docker 启动，强烈推荐）

不满其行为的大有人在，已由大佬封装 Linux 和命令行版本的包为 Docker 镜像来规避其“流氓”行为对宿主机的影响。
docker-easyconnect：https://github.com/docker-easyconnect/docker-easyconnect

项目的目的也很明确：
使深信服（Sangfor）开发的非自由的 VPN 软件 EasyConnect 和 aTrust 运行在 docker 或 podman 中，并作为网关和/或提供 socks5、http 代理服务

该项目提供纯命令行版和图形桌面版两个版本，如无必要，推荐纯命令行版本（以下仅介绍该版本使用方式），简单快速高效。推荐本地安装，本地暴露 socks5 代理，避免使用公有云 VPS 受网络影响及安全性问题。
详细使用文档可参考：https://github.com/docker-easyconnect/docker-easyconnect/blob/master/doc/usage.md

启动容器

安装 Docker 运行环境并启动

执行以下命令

docker run --rm --device /dev/net/tun --cap-add NET_ADMIN -ti -p 127.0.0.1:1080:1080 -p 127.0.0.1:8888:8888 -e EC_VER=7.6.3 -e CLI_OPTS="-d vpnaddress -u username -p password" hagb/docker-easyconnect:cli

将命令行中的vpnaddress、 username和password替换为实际的 VPN 连接地址、用户名和密码。

-e EC_VER=7.6.3表示使用7.6.3版本的 EasyConnect，可根据实际情况修改

执行完毕后，容器会在前台运行，关闭后容器自动销毁数据。

封装脚本

上述命令行过于复杂，可将其封装为脚本执行

新建一个 ～/.tools/connvpn.sh 并输入以下内容：

#!/bin/bash

echo "Start Docker EasyConnect..."
username="你的用户名"
vpnaddr="你的 VPN 连接地址"
echo "Please enter $username password:"
read -s password
docker run --rm --device /dev/net/tun --cap-add NET_ADMIN -ti -p 127.0.0.1:1080:1080 -p 127.0.0.1:8888:8888 -e EC_VER=7.6.3 -e CLI_OPTS="-d $vpnaddr -u $username -p $password" hagb/docker-easyconnect:cli

编辑~/.zshrc文件，末尾加入：

alias connvpn="/bin/sh ~/.tools/connvpn.sh"

之后使配置生效source ~/.zshrc，此时，尝试执行connvpn，会自动启动一个 Docker 容器，并自动登录相关账号

配置代理

经过上述一系列操作，本地已经暴露了一个socks5代理在1080端口，接下来需要做的是配置并使用暴露出来的代理。

浏览器代理

使用 SwitchyOmega 插件实现，可自行安装该插件，安装完毕后，「新建情景模式」：

新建情景模式

配置如下：

配置详情

保存后设置使用该配置：

此时新开浏览器窗口，已经可以正常访问内网地址。

SSH 代理

第一种方式，直接使用 SSH 命令连接：

ssh -o ProxyCommand="nc -X 5 -x 127.0.0.1:1080 %h %p" root@xxx.xxx.xxx.xxx

第二种方式，建议使用 SSH config 的方式来管理连接，编辑~/.ssh/config：

# 以下为示例配置
Host machine1
    HostName 192.168.111.222
    User root
    Port 60022
    IdentityFile ~/.ssh/id_ed25519
    ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p

此时直接执行ssh machine1即可透过 socks5 代理连接服务器

Jetbrains 代理

适用于需要通过 VPN 从内网自建 GitLab 等工具拉取/推送代码，按照下图配置即可：
jetbrains-config

方案二（已安装 EasyConnect）

如开头所述，如已安装了 EasyConnect（建议卸载，并按照方案一来使用），以下方案在我的环境无法正常使用，Good luck to you!

删除开机启动项及后台运行项目

sudo rm /Library/LaunchDaemons/com.sangfor.EasyMonitor.plist && sudo rm /Library/LaunchAgents/com.sangfor.ECAgentProxy.plist

回车后输入密码即可

删除根证书

执行完第一步后，需要先重启电脑，之后打开「钥匙串访问」-「系统」-「证书」，找到Sangfor关键字对证书，右键删除即可。

如果证书删除后不久又自动添加回来，检查是否删除开机启动项并重启

编辑~/.zshrc文件，添加以下脚本（也可单独新建脚本文件，.zshrc中配置）：

startEasyConnect() {
/Applications/EasyConnect.app/Contents/Resources/bin/EasyMonitor > /dev/null 2>&1 &
/Applications/EasyConnect.app/Contents/MacOS/EasyConnect > /dev/null 2>&1 &
}

fuckEasyConnect() {
function killprocess()
{
 processname=$1
 killall $processname >/dev/null 2>&1
 proxypids=$(ps aux | grep -v grep | grep $processname | awk '{print $2}')
 for proxypid in $proxypids
 do
     kill -9 $proxypid
 done
}

killprocess svpnservice
killprocess CSClient
killprocess ECAgentProxy
killprocess /Applications/EasyConnect.app/Contents/MacOS/EasyConnect

pkill ECAgent
pkill EasyMonitor
}

重新加载配置source ~/.zshrc，此时如果需要启动 EasyConnect，直接终端执行startEasyConnect即可，使用时不可关闭窗口，使用完需要执行fuckEasyConnect来关闭进程

参考文章：
EasyConnect 你想干甚？—— 干掉 macOS 版 EasyConnect 的流氓行为

Last modification：January 11, 2024

If you think my article is useful to you, please feel free to appreciate

2 comments

大名鼎鼎的大黄
2 Weeks Ago

666成功了！！！

Reply
看透一切的人士
4 Mouths Ago

厉害厉害还有这种操作

Reply

macOS 上优雅使用 EasyConnect

Star • 2024 年 01 月 05 日

<div class="tip share">请注意，本文编写于 477 天前，最后修改于 471 天前，其中某些信息可能已经过时。</div>

<br>深信服的 <span class="external-link"><a class="no-external-link" href="https://www.sangfor.com/cybersecurity/products/easyconnect" target="_blank"><i data-feather="external-link"></i>EasyConnect</a></span> 这玩意，不能说不好，毕竟方便了连接公司内网（没它还真干不了活），但是软件本身的一些行为，确实让人看不懂，比如：两个以 root 权限后台常驻的进程以及自动安装的 Sangfor 根证书。</p><ul><li>两个 root 权限后台常驻的 <strong>EasyMonitor</strong> 和 <strong>ECAgentProxy</strong>，且手动停止后仍会拉起</li><li>自动安装系统根证书，删除后，由于上述两个常驻进程的存在，仍然会重新安装</li></ul><p>上述行为的危害懂得都懂，root 权限常驻，意味着拥有读取和写入任何文件的权限；安装了根证书，意味着可以解密流量，中间人攻击，篡改数据等。<br>
</div></p><p><div class="tip inlineBlock warning">

<br>本机环境：<br>操作系统：macOS Ventura 13.1 (22C65)<br>CPU：Intel<br>EasyConnect 版本：7.6.3<br>终端：zsh (oh-my-zsh)<br>终端工具：iTerm2<br>其他环境请自行测试。<br>
</div></p><h1>方案一（使用 Docker 启动，强烈推荐）</h1><p><div class="tip inlineBlock info">

<br>不满其行为的大有人在，已由大佬封装 Linux 和命令行版本的包为 Docker 镜像来规避其“流氓”行为对宿主机的影响。<br>docker-easyconnect：<span class="external-link"><a class="no-external-link" href="https://github.com/docker-easyconnect/docker-easyconnect" target="_blank"><i data-feather="external-link"></i>https://github.com/docker-easyconnect/docker-easyconnect</a></span></p><p>项目的目的也很明确：<br><strong>使深信服（Sangfor）开发的非自由的 VPN 软件 EasyConnect 和 aTrust 运行在 docker 或 podman 中，并作为网关和/或提供 socks5、http 代理服务</strong></p><p>该项目提供纯命令行版和图形桌面版两个版本，如无必要，推荐纯命令行版本（以下仅介绍该版本使用方式），简单快速高效。推荐本地安装，本地暴露 socks5 代理，避免使用公有云 VPS 受网络影响及安全性问题。<br>详细使用文档可参考：<span class="external-link"><a class="no-external-link" href="https://github.com/docker-easyconnect/docker-easyconnect/blob/master/doc/usage.md" target="_blank"><i data-feather="external-link"></i>https://github.com/docker-easyconnect/docker-easyconnect/blob/master/doc/usage.md</a></span><br>
</div></p><h2>启动容器</h2><ol><li>安装 Docker 运行环境并启动</li><li><p>执行以下命令</p><pre><code class="lang-bash">docker run --rm --device /dev/net/tun --cap-add NET_ADMIN -ti -p 127.0.0.1:1080:1080 -p 127.0.0.1:8888:8888 -e EC_VER=7.6.3 -e CLI_OPTS=&quot;-d vpnaddress -u username -p password&quot; hagb/docker-easyconnect:cli</code></pre></li></ol><p>将命令行中的<code>vpnaddress</code>、 <code>username</code>和<code>password</code>替换为实际的 VPN 连接地址、用户名和密码。</p><p><code>-e EC_VER=7.6.3</code>表示使用<code>7.6.3</code>版本的 EasyConnect，可根据实际情况修改</p><p>执行完毕后，容器会在前台运行，关闭后容器自动销毁数据。</p><h2>封装脚本</h2><p>上述命令行过于复杂，可将其封装为脚本执行</p><ol><li><p>新建一个 <code>～/.tools/connvpn.sh</code> 并输入以下内容：</p><pre><code class="lang-bash">#!/bin/bash

echo &quot;Start Docker EasyConnect...&quot;
username=&quot;你的用户名&quot;
vpnaddr=&quot;你的 VPN 连接地址&quot;
echo &quot;Please enter $username password:&quot;
read -s password
docker run --rm --device /dev/net/tun --cap-add NET_ADMIN -ti -p 127.0.0.1:1080:1080 -p 127.0.0.1:8888:8888 -e EC_VER=7.6.3 -e CLI_OPTS=&quot;-d $vpnaddr -u $username -p $password&quot; hagb/docker-easyconnect:cli</code></pre></li><li><p>编辑<code>~/.zshrc</code>文件，末尾加入：</p><pre><code class="lang-bash">alias connvpn=&quot;/bin/sh ~/.tools/connvpn.sh&quot;</code></pre></li><li>之后使配置生效<code>source ~/.zshrc</code>，此时，尝试执行<code>connvpn</code>，会自动启动一个 Docker 容器，并自动登录相关账号</li></ol><h2>配置代理</h2><p>经过上述一系列操作，本地已经暴露了一个<code>socks5</code>代理在<code>1080</code>端口，接下来需要做的是配置并使用暴露出来的代理。</p><h3>浏览器代理</h3><p>使用 <span class="external-link"><a class="no-external-link" href="https://github.com/FelisCatus/SwitchyOmega" target="_blank"><i data-feather="external-link"></i>SwitchyOmega</a></span> 插件实现，可自行安装该插件，安装完毕后，「新建情景模式」：</p><p><img src="https://resource.tryme.wang/image/2024/01/switchyomega-new-config.png" alt="新建情景模式" title="新建情景模式"style=""></p><p>配置如下：</p><p><img src="https://resource.tryme.wang/image/2024/01/switchyomega-config-detail.png" alt="配置详情" title="配置详情"style=""></p><p>保存后设置使用该配置：</p><p><img src="https://resource.tryme.wang/image/2024/01/switchyomega-use-config.png" alt="" title=""style=""></p><p>此时新开浏览器窗口，已经可以正常访问内网地址。</p><h3>SSH 代理</h3><p><div class="tip inlineBlock share">

<br>实际使用中，有时不仅仅需要浏览网页，还需要连接内网服务器，SSH 本身就提供 socks5 代理的方式连接<br>
</div></p><p>第一种方式，直接使用 SSH 命令连接：</p><pre><code class="lang-bash">ssh -o ProxyCommand=&quot;nc -X 5 -x 127.0.0.1:1080 %h %p&quot; root@xxx.xxx.xxx.xxx</code></pre><p>第二种方式，建议使用 SSH config 的方式来管理连接，编辑<code>~/.ssh/config</code>：</p><pre><code># 以下为示例配置
Host machine1
    HostName 192.168.111.222
    User root
    Port 60022
    IdentityFile ~/.ssh/id_ed25519
    ProxyCommand nc -X 5 -x 127.0.0.1:1080 %h %p</code></pre><p>此时直接执行<code>ssh machine1</code>即可透过 socks5 代理连接服务器</p><h3>Jetbrains 代理</h3><p>适用于需要通过 VPN 从内网自建 GitLab 等工具拉取/推送代码，按照下图配置即可：<br><img src="https://resource.tryme.wang/image/2024/01/jetbrains-proxy-config.png" alt="jetbrains-config" title="jetbrains-config"style=""></p><h1>方案二（已安装 EasyConnect）</h1><p><div class="tip inlineBlock error">

<br>如开头所述，如已安装了 EasyConnect（建议卸载，并按照方案一来使用），以下方案在我的环境<strong>无法正常使用</strong>，Good luck to you!<br>
</div></p><ol><li><p>删除开机启动项及后台运行项目</p><pre><code class="lang-bash">sudo rm /Library/LaunchDaemons/com.sangfor.EasyMonitor.plist &amp;&amp; sudo rm /Library/LaunchAgents/com.sangfor.ECAgentProxy.plist</code></pre></li></ol><p>回车后输入密码即可</p><ol><li>删除根证书</li></ol><p>执行完第一步后，需要先<strong><code>重启电脑</code></strong>，之后打开「钥匙串访问」-「系统」-「证书」，找到<code>Sangfor</code>关键字对证书，右键删除即可。</p><p>如果证书删除后不久又自动添加回来，检查是否删除开机启动项并重启</p><ol><li><p>编辑<code>~/.zshrc</code>文件，添加以下脚本（也可单独新建脚本文件，<code>.zshrc</code>中配置）：</p><pre><code class="lang-bash">startEasyConnect() {
/Applications/EasyConnect.app/Contents/Resources/bin/EasyMonitor &gt; /dev/null 2&gt;&amp;1 &amp;
/Applications/EasyConnect.app/Contents/MacOS/EasyConnect &gt; /dev/null 2&gt;&amp;1 &amp;
}

fuckEasyConnect() {
function killprocess()
{
 processname=$1
 killall $processname &gt;/dev/null 2&gt;&amp;1
 proxypids=$(ps aux | grep -v grep | grep $processname | awk '{print $2}')
 for proxypid in $proxypids
 do
     kill -9 $proxypid
 done
}

killprocess svpnservice
killprocess CSClient
killprocess ECAgentProxy
killprocess /Applications/EasyConnect.app/Contents/MacOS/EasyConnect

pkill ECAgent
pkill EasyMonitor
}</code></pre></li><li>重新加载配置<code>source ~/.zshrc</code>，此时如果需要启动 EasyConnect，直接终端执行<code>startEasyConnect</code>即可，使用时不可关闭窗口，使用完需要执行<code>fuckEasyConnect</code>来关闭进程</li></ol><p>参考文章：<br><span class="external-link"><a class="no-external-link" href="https://blog.isteed.cc/post/fuck-easyconnect-on-macos/" target="_blank"><i data-feather="external-link"></i>EasyConnect 你想干甚？—— 干掉 macOS 版 EasyConnect 的流氓行为</a></span></p>

macOS 上优雅使用 EasyConnect

方案一（使用 Docker 启动，强烈推荐）

启动容器

封装脚本

配置代理

浏览器代理

SSH 代理

Jetbrains 代理

方案二（已安装 EasyConnect）

2 comments

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

IDE Crack

大版本更新上线问题汇总

Dubbo 发布的服务和 AOP 无法共存的问题

项目中的一致性哈希使用

理解 Java 线程池

Aria2&AriaNG、OneIndex 配置

Typecho 相关改动

ArchLinux 的安装

macOS 自用软件

Docker 安装 SVN server

macOS 上优雅使用 EasyConnect

方案一（使用 Docker 启动，强烈推荐）

启动容器

封装脚本

配置代理

浏览器代理

SSH 代理

Jetbrains 代理

方案二（已安装 EasyConnect）

2 comments

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

macOS 上优雅使用 EasyConnect

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款