Labno3提高Raspberry Pi的安全性是一项关键任务,尤其是当它暴露在互联网上时,这篇文章详细介绍了如何提高Raspberry Pi的安全性。
开箱即用,Raspberry Pi的主操作系统并不十分安全,尤其是当你允许外部网络访问你的设备时。在本指南中,我们有一些最好的建议来提高Raspberry Pi的安全性。这些建议包括从更改默认用户密码到设置防火墙来保护你的连接。
设备清单
以下是我们将在本指南中使用的设备,以提高Raspberry Pi的安全性,点击链接可直达特别优惠购买。
建议:
可选:
在本指南中,我们将假设您正在运行最新版本的Raspberry Pi操作系统。这些步骤是在Raspberry Pi 4上测试的,但应该可以在旧版本的设备上使用。
更改默认密码
运行Raspberry Pi操作系统的第一个也是最重要的安全风险是默认密码。在互联网上快速搜索,任何人都可以在几秒钟内找到默认密码,所以更改密码至关重要。
1. 更改pi用户的密码超级简单。
需要做的就是利用passwd命令。
passwd2. 您将看到您要更改的用户名称,以及要求您输入密码的提示。
输入pi用户的密码开始,树莓派默认密码是 “raspberry”。
Changing password for pi.
Current password:3. 接下来,系统会提示你输入新的密码,然后再重新输入。
无论你设置什么密码,都要保证它有一定的复杂度。
New password:
Retype new password:3. 您的密码现在应该已经成功更新了。
更改密码后,Raspberry Pi的安全性将得到加强。用户将无法再使用默认密码获得访问权。我们还可以做一些其他的事情来增加我们Raspberry Pi的安全性,特别是在SSH连接方面。
保持操作系统的更新
你应该尽量保持操作系统的更新,以维护Raspberry Pi的安全。保持你的操作系统的更新,确保你应该总是有最新的修复,阻止人们利用你的设备上运行的软件中的旧错误。建议您定期使用以下两个命令来更新您的操作系统。
sudo apt update
sudo apt full-upgrade当使用Raspberry Pi操作系统或其他基于Debian的操作系统(如Ubuntu)时,也可以让Raspberry Pi进行自我更新。
自动升级软件包
如果你正在运行Raspbian或Ubuntu,你可以设置一个名为 “unattended-upgrades “的包。这个软件包可以让你的系统定期更新软件包列表,然后升级你的软件包。我们将在Debian和Ubuntu的无人值守升级指南中,深入探讨如何安装和升级软件包。
本指南在树莓派上也能正常工作,因为它的大多数操作系统都是基于Debian或Ubuntu的。
确保你的树莓派的SSH连接安全
在本节中,我们将向您介绍几种可以用来保护Raspberry Pi的SSH连接的方法。SSH是你可以用来远程访问Raspberry Pi的终端。虽然SSH很有帮助,但当它暴露在互联网上时,可能会成为一个重大的安全漏洞。在密码薄弱或安全性受限的情况下,有人有可能访问你的设备并将其接管。SSH认证和双因素认证都是保护你的SSH免受外部攻击的两种好方法。
使用SSH密钥认证
帮助保护Raspberry Pi的SSH连接的最大方法之一是使用密钥验证。
这些密钥作为一种向服务器识别自己的方式。它们被认为是连接到SSH的一种更安全的方式,特别是当与口令配对时。SSH密钥通常更难被攻击者解释并进行中间人攻击。你需要与你发送的私钥相匹配的公钥。此外,SSH 密钥比典型的 32 字符密码要长得多。一个标准大小的SSH密钥将至少有2048个字符长。这个密钥是使用加密安全的方法生成的,使其难以置信地难以随机复制。如果你把它和口令结合起来,攻击者需要同时窃取你的私人SSH密钥和计算出你的密钥密码。您可以通过我们的指南了解如何使用SSH密钥来保护您的Raspberry Pi。
为SSH添加双认证
另一种保护Raspberry Pi的SSH连接的方法是添加双因素认证。
使用双因素认证意味着用户必须从众多2-Auth应用中输入一个基于时间的代码,如Authy。如果不从你的应用程序中输入代码,用户将无法访问你的SSH连接。作为奖励,双因素认证将与SSH密钥一起工作,因此您可以获得两者的安全优势。
请务必查看我们关于向SSH添加双因素验证的指南。
在Raspberry Pi上设置防火墙
维护Raspberry Pi的网络安全的一个关键部分是利用防火墙。防火墙用于阻止和允许进入设备的连接。这将使您能够阻止外部用户访问您的设备。设置和配置防火墙最简单的方法之一就是使用UFW。
默认情况下,大多数防火墙会阻止任何未明确开放的端口的所有入站流量。
1. 在你开始之前,请确保你已经将UFW安装到你的Raspberry Pi上。
你会发现,在处理防火墙时,UFW更好用。
2. 接下来,需要打开SSH端口。否则,将无法通过SSH访问Raspberry Pi。
对于SSH端口,可以使用UFW中的限制功能。
限制连接将减少某人试图粗暴地强迫你的SSH连接的能力,同时仍然允许访问。
sudo ufw limit 22/tcp3. 如果你用你的Raspberry Pi来托管像NGINX或Apache网络服务器这样的东西,那么你还需要打开几个端口。
我们可以通过运行以下命令打开HTTP(80)和HTTPS(443)端口。
sudo ufw allow 80
sudo ufw allow 4434. 配置好防火墙后,就可以用下面的命令将其打开。
sudo ufw enable如果你想进一步配置UFW,一定要查看我们的相关指南。
使用Fail2Ban来阻止攻击者
Fail2Ban是一款持续扫描应用程序日志文件以寻找潜在攻击者迹象的工具。
使用像fail2ban这样的程序可以帮助提高你的Raspberry Pi的安全性,因为它可以让别人更难通过强行连接获得访问权。Bruteforcing是指用户攻击一些东西,如你的SSH登录,并不断尝试不同的密码,试图获得访问权。
长密码和SSH密钥让人更难强行连接,Fail2Ban只是增加了另一层保护。要设置这一切,请务必查看我们的Raspberry Pi Fail2Ban指南。本指南将向您展示如何在您的Raspberry Pi上安装和配置软件。
希望到这里,你现在会对如何提高树莓皮的安全性有一些想法。如果你有什么建议,欢迎在下面留言。
欢迎转载,请留下出处链接:Labno3 » 防止黑客攻击,如何提高树莓派的安全性
