保护您的树莓派
树莓派的安全性很重要。安全漏洞使您的树莓派对黑客开放,然后黑客无需您的许可即可使用它。
您需要什么级别的安全性取决于您希望如何使用树莓派。例如,如果您只是在家庭网络中使用树莓派,在带有防火墙的路由器后面,那么默认情况下它已经相当安全。
但是,如果您希望通过直接连接(不太可能)或通过路由器防火墙(例如 SSH )允许某些协议将树莓派直接暴露给互联网,则需要进行一些基本的安全更改。
即使您隐藏在防火墙后面,也应认真考虑安全性。本文档将描述提高树莓派安全性的一些方法。但是请注意,它并不详尽。
更改您的默认密码
默认的用户名和密码用于运行树莓派 OS的每个树莓派。因此,如果您可以访问树莓派,并且这些设置没有更改,则您可以对该 root 用户拥有" root"访问权限。
因此,第一件事就是更改密码。可以通过 raspi -config应用程序或从命令行完成。
`` sudo raspi-config
选择选项 2 ,然后按照说明更改密码。
实际上,所有 raspi -config所做的只是启动命令行" passwd"应用程序,您可以从命令行执行该操作。只需输入您的新密码并进行确认。
``
密码
更改用户名
当然,您也可以通过更改用户名来使树莓派更加安全。所有树莓派都带有默认用户名" pi",因此更改此名称将立即使您的树莓派更安全。
要添加新用户,请输入:
`` sudo adduser爱丽丝
系统将提示您为新用户创建密码。
新用户将在/home/alice /中拥有一个主目录。
要将它们添加到 sudo 组中,以赋予他们 sudo 权限以及所有其他必要的权限:
``
sudo usermod -a -G adm,拨号,cdrom,sudo,音频,视频,plugdev,游戏,用户,输入,netdev,gpio,i2c,spi alice
您可以尝试以下操作,以检查权限是否到位(即可以使用sudo
):
`` 苏多苏-爱丽丝
如果成功运行,则可以确保新帐户位于" sudo"组中。
确认新帐户正常运行后,您可以删除" pi"用户。为此,您首先需要使用以下命令关闭其过程:
``
sudo Pkill -u pi
请注意,在当前的树莓派 OS发行版中,有某些方面要求pi
用户存在。如果不确定是否会受到此影响,则将" pi"用户留在原处。正在努力减少对" pi"用户的依赖。
要删除" pi"用户,请输入以下内容:
`` sudo deluser pi
此命令将删除`pi`用户,但将保留`/home/pi`文件夹。如有必要,您可以使用以下命令同时删除`pi`用户的主文件夹。请注意,此文件夹中的数据将被永久删除,因此请确保所有必需的数据都存储在其他位置。
``
sudo deluser-删除家庭 pi
此命令将导致警告,说明" pi"组没有成员。 deluser命令可同时删除 pi 用户和 pi 组,因此可以安全地忽略该警告。
使sudo
需要密码
将 sudo 放置在命令前会以超级用户身份运行,默认情况下,不需要密码。通常,这不是问题。但是,如果您的 Pi 暴露于 Internet 并以某种方式被利用(例如通过网页利用),那么除非您将 sudo 设置为需要密码,否则攻击者将能够更改需要超级用户凭据的内容。
要强制sudo
要求输入密码,请输入:
`` sudo visudo /etc/sudoers.d/010_pi-nopasswd
并将" pi"条目(或具有超级用户权限的任何用户名)更改为:
``
pi ALL =(全部)密码:全部
然后保存文件:将检查是否存在语法错误。如果未检测到错误,则文件将被保存,并且您将返回到 Shell 提示符。如果检测到错误,将询问您"现在如何?"。按下键盘上的" enter"键:这将显示一个选项列表。您可能会想再次对"(e)dit sudoers文件"使用" e",以便您可以编辑文件并解决问题。 请注意,选择选项" Q"将保存文件,而语法错误仍然存在,这使_any_用户无法使用 sudo 命令。
确保您具有最新的安全修复程序这就像确保您的树莓派 OS版本是最新的一样简单,因为最新的发行版包含所有最新的安全修复程序。完整说明可以在here中找到。
如果您使用 SSH 连接到树莓派,则值得添加专门用于更新 ssh -server的 cron 作业。以下命令(可能作为日常 cron 作业)将确保您迅速获得最新的 SSH 安全修复程序,而与正常的更新过程无关。有关设置 cron 的更多信息,请参见here
`` apt安装 openssh -server
## 改善 SSH 安全性
SSH是一种远程访问树莓派的常用方法。默认情况下,使用 SSH 登录需要使用用户名/密码对,并且有多种方法可以使其更安全。一种更安全的方法是使用基于密钥的身份验证。
### 改善用户名/密码安全
最重要的是确保您拥有一个非常可靠的密码。如果您的树莓派暴露在互联网上,则密码必须非常安全。这将有助于避免字典攻击等。
您也可以通过更改 sshd 配置来"允许"或"拒绝"特定用户。
``
sudo 纳米/etc/ssh/sshd_config
将以下行添加,编辑或追加到文件末尾,其中包含您希望允许登录的用户名:
AllowUsers爱丽丝鲍勃
您还可以使用DenyUsers
专门阻止某些用户名登录:
DenyUsers简·约翰
更改后,您将需要使用 sudo systemctl restart ssh重新启动 sshd 服务或重新启动,以使更改生效。
使用基于密钥的身份验证。
密钥对是两个加密安全密钥。一种是私人的,一种是公共的。它们可用于对 SSH 服务器(在本例中为树莓派)进行客户端身份验证。
客户端生成两个密钥,这两个密钥相互加密链接。永远不要释放私钥,但可以自由共享公钥。 SSH服务器获取公共密钥的副本,并在请求链接时使用此密钥向客户端发送质询消息,客户端将使用私钥对该消息进行加密。如果服务器可以使用公共密钥将该消息解密为原始质询消息,则可以确认客户端的身份。
在 Linux 上使用 client 上的 ssh -keygen命令生成密钥对;密钥默认情况下存储在用户主目录的.ssh文件夹中。私钥将被称为" id_rsa",而相关联的公钥将被称为" id_rsa.pub"。密钥将为 2048 位长:破坏该长度的密钥上的加密将花费非常长的时间,因此非常安全。如果情况需要,您可以加长键。请注意,您只应执行一次生成过程:如果重复执行,它将覆盖以前生成的所有键。依赖那些旧密钥的所有内容都需要更新为新密钥。
在密钥生成过程中,系统会提示您输入密码短语:这是额外的安全级别。目前,将此空白留空。
现在需要将公钥移到服务器上:请参阅将公钥复制到树莓派中。
最后,我们需要禁用密码登录,以便所有身份验证均由密钥对完成。
`` sudo 纳米/etc/ssh/sshd_config
如果尚未设置三行,则需要将其更改为" no":
``
ChallengeResponseAuthentication否
密码验证否
UsePAM否
保存文件,然后使用 sudo service ssh reload重新启动 ssh 系统或重新启动。
安装防火墙
有许多可用于 Linux 的防火墙解决方案。大多数使用基础iptables项目提供数据包筛选。该项目位于 Linux netfiltering系统上。 iptables是默认安装在树莓派 OS上的,但未设置。设置它可能是一项复杂的任务,ufw是一个提供比`iptables'更简单的界面的项目。 "简单的防火墙"。这是 Ubuntu 中的默认防火墙工具,可以轻松地安装在树莓派上:
`` sudo apt安装 UFW
ufw是一个相当简单的命令行工具,尽管有一些 GUI 可用。本文档将介绍一些基本的命令行选项。注意,`ufw`需要以超级用户特权运行,因此所有命令前面都带有`sudo`。也可以在所有 ufw 命令中使用选项--dry-run来指示命令的结果,而无需实际进行任何更改。
要启用防火墙(这也将确保它在启动时启动),请使用:
``
sudo ufw启用
```要禁用防火墙并禁用启动时启动,请使用:
``
sudo ufw禁用
允许特定端口访问(在示例中,我们使用了端口 22 ):
`` sudo ufw允许 22
拒绝端口访问也非常简单(同样,我们以端口 22 为例):
``
sudo ufw拒绝 22
您还可以指定端口允许或拒绝的服务。在此示例中,我们拒绝端口 22 上的 tcp :
`` sudo ufw拒绝 22 /tcp
即使您不知道服务使用哪个端口,也可以指定服务。此示例允许 ssh 服务通过防火墙访问:
``
sudo UFW允许 SSH
status命令列出了防火墙的所有当前设置:
`` sudo ufw状态
这些规则可能非常复杂,允许阻止特定的 IP 地址,指定允许通信的方向,或者限制尝试连接的次数,例如以帮助克服拒绝服务(DoS)攻击。您还可以指定要应用的设备规则(例如 eth0 ,wlan0)。请参考`ufw`手册页(`man ufw`),以获取全部详细信息,但是这里有一些更复杂的命令的示例。
使用 tcp 限制 ssh 端口上的登录尝试:如果 IP 地址在过去 30 秒钟内尝试连接六次或更多次,则拒绝连接:
``
sudo ufw限制 ssh /tcp
拒绝从 IP 地址 192 .168.2.1访问端口 30
`` sudo ufw从 192 .168.2.1端口 30 拒绝
## 安装 fail2ban
如果您将树莓派用作某种服务器,例如" ssh"或网络服务器,则防火墙中会故意存在"漏洞",以使服务器通过。在这种情况下,[Fail2ban](http://www.fail2ban.org)可能会有用。 Fail2ban用 Python 编写,是一种扫描器,用于检查树莓派生成的日志文件,并检查它们是否可疑。它捕获了诸如多次尝试强行登录的事件,并且可以通知任何已安装的防火墙停止从可疑 IP 地址进行进一步的登录尝试。它使您不必手动检查日志文件是否存在入侵企图,然后通过(通过" iptables")更新防火墙以防止入侵企图。
使用以下命令安装 fail2ban :
``
sudo apt安装 fail2ban
安装时,Fail2ban将创建一个文件夹"/etc/fail2ban",其中有一个名为" jail.conf"的配置文件。需要将其复制到jail.local
以启用它。在此配置文件中包含一组默认选项,以及用于检查特定服务是否异常的选项。执行以下操作来检查/更改用于 ssh 的规则:
`` sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo 纳米/etc/fail2ban/jail.local
将以下部分添加到`jail.conf`文件中。在 fail2ban 的某些版本上,此部分可能已存在,因此,如果存在此部分,请对其进行更新。
[ssh] 启用=真 端口= ssh 过滤器= sshd 日志路径= /var/log/auth.log maxretry = 6
如您所见,此部分名为 ssh ,已启用,检查 ssh 端口,使用`sshd`参数进行过滤,分析`/var/log/auth.log`是否存在恶意活动,并允许在检测到之前重试六次达到阈值。查看默认部分,我们可以看到默认的禁止操作是:
``
# 默认禁止操作(例如 iptables ,iptables-new,
# iptables-multiport,shorewall等)用于定义
# action_ *变量。可以在全局或每个
jail.local文件中的#部分
banaction = iptables-multiport
iptables-multiport表示 Fail2ban 系统将在达到检测阈值时运行/etc/fail2ban/action.d/iptables-multiport.conf
文件。可以使用许多不同的操作配置文件。多端口禁止所有端口上的所有访问。
如果您想在三次尝试失败后永久禁止 IP 地址,则可以在[[ssh]]部分中更改 maxretry 值,并将禁止时间设置为负数:
[ssh]
启用=真
端口= ssh
过滤器= sshd
日志路径= /var/log/auth.log
maxretry = 3
bantime = -1
关于 Fail2ban 的一些内部原理,这里有一个很好的教程(https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server) 。