我在我的路由器上使用了几个 RPi,它们将端口 22 的端口转发到邪恶的互联网。当我使用 openSSH(Powershell:ssh username@ip-adress -p 12345)连接到 RPi 时,它会提示 raspberry 用户的密码。
密码包含大小写字母、数字和符号,包含 15 个以上的字符。
问题:
这种登录方法的安全性如何?如果它很差,我该如何以正确的方式保护它?
RPi 可以完全访问我家中的所有网络设备,包括带有敏感数据的驱动器。这就是为什么安全非常重要的原因。
AskOverflow.Dev
这是适度安全的,但你可以做得更好。您当前解决方案的限制包括需要警惕以防止中间人攻击、单层保护以及在您的盒子后面运行多个 ssh 目标的暴露。您的安全性也仅限于密码的强度——尽管表面上看起来不错,但有很多易受攻击的长密码,如果您的密码通过任何方式被泄露,它的游戏就结束了。
如果您从使用密码迁移到基于密钥的设置并使用密码/密码来保护您的私钥,您将拥有更安全的设置。
如果您想进一步加强安全性,“黄金标准”将是在您的路由器上运行 VPN,并让您在通过 VPN 登录 ssh 之前通过 VPN(再次使用公钥/私钥或共享密钥系统)虚拟专用网。这将消除 ssh 运行到更广阔世界的端口转发和广告,同时提供额外的保护层。
添加防火墙只允许来自 rfc1918 的连接(私有地址 - 因此跨 vpn)将提供另一层安全性并进一步降低中间人攻击的风险。
我会评论说,在端口 22 上使用端口 12345 只能提供最低限度的保护 - 任何端口扫描您的 IP 都可以发现您有多个暴露的 openssh 实例。
在像您这样的设置中,这通常与连接机器一样安全。
这是您的凭据被输入和存储的地方,也是可以被窃取的地方。
除此之外,OpenSSH 可远程利用的漏洞很少见,并且可以快速修补。确保不要在两边都使用过时的版本。
根据赌注,您可能需要改进以下内容:
请注意,无论您做什么,您的 ssh 端口最终都会被大量入侵 Internet 的机器人发现,并且会不断受到登录尝试的攻击。如果你的 Pi 记录了所有这些,你会得到很长的日志,里面满是这些尝试,可能会填满可用空间。