如何保护Raspberry Pi在通过宽带网络连接的IoT设置中免受攻击？

#1 楼

“保护小型家庭自动化设置的安全性”问题为常规安全性提示提供了有用的参考，但是还应遵循一些特定步骤来确保Raspberry Pi的安全性。

Steve Robillard对以下问题的回答Raspberry Pi Stack Exchange概述了使用您可以解决的Pi的一些特定问题，例如更改默认密码，使用iptables等。他还非常有用地链接到Securing Debian手册，该手册虽然很大，但却非常全面，并涵盖了大多数主要问题。

由于您很可能通过SSH连接到Pi，因此请考虑基于密钥的身份验证而不是使用密码-SSH证书几乎是不可能猜到的，即使通过确定的攻击者，而不像潜在的弱密码。如链接文章中所述，还可以查看Fail2ban，它将阻止IP显示任何出现恶意迹象的用户（例如，错误的密码猜测）。

关于您的DDoS问题：如果有人决定启动一个对您的Pi进行DDoS攻击的机会很小。某些攻击可能会达到665 Gbps，这是Pi所无法防御的。但是，我会提出一个问题：为什么攻击者想对您的Pi进行DDoS？拒绝您的服务可能不会给攻击者带来太大的好处，许多IoT设备被黑客攻击以参与DDoS攻击。

但是，如果您非常偏执，则可以将设备列入白名单。您的Pi应该连接到的端口，并使用iptables丢弃所有其他数据包。

关于DDNS，我发现HowToGeek的指南非常清楚-本质上，您需要检查路由器的DDNS设置并进行配置。 NoIP拥有大多数主要路由器型号的屏幕截图。您可能会比较幸运，可以单独询问此问题（并且您可能已经在“超级用户”中找到了答案）。

#2 楼

如果您想免受dDoS的影响，请与Aurora0001的答案一起使用，您应该选择使用Cloudflare等服务。通过将您的DNS记录指向服务器并保护您的域/服务器，它可以保护您免受dDoS攻击。
DDoS预防：保护来源

#3 楼

好的。鉴于目前为止的评论，下面是我的处理方法：


通过任何合格的提供商设置DDNS。
在PI上设置OpenVPN，并路由UDP端口1194 （或您在其上设置的任何端口）从路由器到PI。与PI的所有外部连接都必须具有正确配置的OpenVPN客户端（您甚至可以使用电话！）
作为辅助措施，请使用IPTables对PI进行安全的入站访问。手工完成工作很麻烦，因此请安装Webmin（Debian）进行配置。从这里开始，在Google上搜索针对DDOS强化IPT​​ables配置的方法。

您可能更喜欢其他一些VPN，但是由于其令人难以置信的灵活性，我已经使用OpenVPN大约十年了。 />