我有一个Raspberry Pi作为主节点,它通过宽带连接连接到Internet,该raspberry pi连接了多个传感器和其他微控制器。 Pi一直连接到Cloud Hosting Provider上的服务器。
问题是:
如何阻止未经授权的用户访问我的树莓派?
如何防止对Pi的DDoS攻击?
如何以及应该如何使用DDNS(动态DNS)访问我的Pi?
#1 楼
“保护小型家庭自动化设置的安全性”问题为常规安全性提示提供了有用的参考,但是还应遵循一些特定步骤来确保Raspberry Pi的安全性。Steve Robillard对以下问题的回答Raspberry Pi Stack Exchange概述了使用您可以解决的Pi的一些特定问题,例如更改默认密码,使用
iptables
等。他还非常有用地链接到Securing Debian手册,该手册虽然很大,但却非常全面,并涵盖了大多数主要问题。由于您很可能通过SSH连接到Pi,因此请考虑基于密钥的身份验证而不是使用密码-SSH证书几乎是不可能猜到的,即使通过确定的攻击者,而不像潜在的弱密码。如链接文章中所述,还可以查看Fail2ban,它将阻止IP显示任何出现恶意迹象的用户(例如,错误的密码猜测)。
关于您的DDoS问题:如果有人决定启动一个对您的Pi进行DDoS攻击的机会很小。某些攻击可能会达到665 Gbps,这是Pi所无法防御的。但是,我会提出一个问题:为什么攻击者想对您的Pi进行DDoS?拒绝您的服务可能不会给攻击者带来太大的好处,许多IoT设备被黑客攻击以参与DDoS攻击。
但是,如果您非常偏执,则可以将设备列入白名单。您的Pi应该连接到的端口,并使用
iptables
丢弃所有其他数据包。 关于DDNS,我发现HowToGeek的指南非常清楚-本质上,您需要检查路由器的DDNS设置并进行配置。 NoIP拥有大多数主要路由器型号的屏幕截图。您可能会比较幸运,可以单独询问此问题(并且您可能已经在“超级用户”中找到了答案)。
评论
如果@ShaktiPhartiyal想使用Pi更新DDNS与路由器,我在让Pi安全地执行更新时遇到问题。我的帖子有一个用于设置DDNS的链接链接,还包含一个安全更新它的答案。
– Shaulinator
17年5月16日在18:25
@Shaulinator我的路由器不支持域名提供商(如namecheap)的ddns
– Shakti Phartiyal
17年5月16日在20:22
@ShaktiPhartiyal,我使用免费的dnsdynamic。我链接到的帖子是让您的树莓派做一些工作来支持DDNS和路由器,这也应该适用于namecheap之类的提供商。
– Shaulinator
17年5月16日在20:24
@Shaulinator谢谢您的更新将对其进行检查并告知您。
– Shakti Phartiyal
17年5月16日在20:26
#2 楼
如果您想免受dDoS的影响,请与Aurora0001的答案一起使用,您应该选择使用Cloudflare等服务。通过将您的DNS记录指向服务器并保护您的域/服务器,它可以保护您免受dDoS攻击。DDoS预防:保护来源
评论
同意如果您询问dDoS,您只需要付钱给某人为您实施保护。
– Sean Houlihane
17年5月16日在15:10
@SeanHoulihane基本计划是免费的。
–IoT Lover
17年5月16日在15:10
值得将其添加到答案中。
– Sean Houlihane
17年5月16日在15:12
@IoTLover谢谢您的回答。这与Aurora0001的答案一起提供了足够好的洞察力。
– Shakti Phartiyal
17年5月16日在15:34
#3 楼
好的。鉴于目前为止的评论,下面是我的处理方法:通过任何合格的提供商设置DDNS。
在PI上设置OpenVPN,并路由UDP端口1194 (或您在其上设置的任何端口)从路由器到PI。与PI的所有外部连接都必须具有正确配置的OpenVPN客户端(您甚至可以使用电话!)
作为辅助措施,请使用IPTables对PI进行安全的入站访问。手工完成工作很麻烦,因此请安装Webmin(Debian)进行配置。从这里开始,在Google上搜索针对DDOS强化IPTables配置的方法。
您可能更喜欢其他一些VPN,但是由于其令人难以置信的灵活性,我已经使用OpenVPN大约十年了。 />
评论
谢谢您一定会尝试一下,openVPN概念看起来很安全。顺便问一下,aws.amazon.com / vpc在我的设置中有什么用吗?
– Shakti Phartiyal
17年5月17日在6:39
评论
相关:保护小型家庭自动化设置。那里有一些一般性提示,可能会引起您的兴趣。DDNS与其他问题不属于同一问题。您应该每个问题问一个问题。
没有路由器吗?
@codenoir有一个netgear路由器
还有一个问题。您是否需要从家庭或办公室网络外部访问Pi?