Jeff 的评论指出了正确的方向,但还有更多更好、更易于设置的保护措施。 终极方案是使用 fwknopd 的“敲门服务器”,这使 Jeff 的总体概念具有了密码学上的坚实基础。 这采用了单包身份验证 (SPA),因此不会被扫描等意外触发。
这个想法是,守护进程 (fwknopd) (完全被动地) 监听指定端口上的传入数据包。 这在概念上类似于发送加密和签名的电子邮件,并且实际上使用了相同的底层 gnupg 技术 - 对于电子邮件,您使用收件人的密钥加密您的电子邮件以发送给预期的收件人,并使用您的密钥对其进行签名。 SPA 的工作方式相同,您使用守护进程的密钥(您当然要设置)来加密单个数据包,并使用您的密钥对其进行签名,以便守护进程可以验证请求是否真的来自您。 然后守护进程执行请求的操作,通常是为您打开 ssh 端口的短时通道以供您登录(但您可以设置系统以执行您喜欢的任何其他命令)。
只需在 Google 上搜索一下,就能找到许多优秀的教程。 我认为这是您家庭设置的终极保护。 没有您的多层凭据(SPA 端口打开,然后需要 ssh 密钥才能登录 - 您应该禁用密码),任何人都无法登录,但更重要的是,您不会将您的 IP 地址宣传为“活动”且值得仔细查看。
如果您正确设置防火墙(没有对外开放的端口),则扫描器甚至无法判断系统是否正在监听。 它看起来像一个“死” IP 地址。 这很重要,因为我看到,平均而言,我的家庭系统每分钟大约有两次扫描尝试。 扫描器通常会攻击大约 50 个标准端口,并且在没有收到任何回复的情况下,会继续扫描。 但是,如果您通过仅一个开放端口泄露了活动系统的存在,即使它无法被利用,您通常也会引发更具侵略性的扫描以及随后对您系统的攻击。
fwknopd 在几乎所有 Linux 系统(包括 Pi)上都可用。 此外,标准客户端可在 Windows、MacOS 和 Android 上使用。
让我们进入黑暗模式...- Martin
Jeff 的评论指出了正确的方向,但还有更多更好、更易于设置的保护措施。 终极方案是使用 fwknopd 的“敲门服务器”,这使 Jeff 的总体概念具有了密码学上的坚实基础。 这采用了单包身份验证 (SPA),因此不会被扫描等意外触发。
这个想法是,守护进程 (fwknopd) (完全被动地) 监听指定端口上的传入数据包。 这在概念上类似于发送加密和签名的电子邮件,并且实际上使用了相同的底层 gnupg 技术 - 对于电子邮件,您使用收件人的密钥加密您的电子邮件以发送给预期的收件人,并使用您的密钥对其进行签名。 SPA 的工作方式相同,您使用守护进程的密钥(您当然要设置)来加密单个数据包,并使用您的密钥对其进行签名,以便守护进程可以验证请求是否真的来自您。 然后守护进程执行请求的操作,通常是为您打开 ssh 端口的短时通道以供您登录(但您可以设置系统以执行您喜欢的任何其他命令)。
只需在 Google 上搜索一下,就能找到许多优秀的教程。 我认为这是您家庭设置的终极保护。 没有您的多层凭据(SPA 端口打开,然后需要 ssh 密钥才能登录 - 您应该禁用密码),任何人都无法登录,但更重要的是,您不会将您的 IP 地址宣传为“活动”且值得仔细查看。
如果您正确设置防火墙(没有对外开放的端口),则扫描器甚至无法判断系统是否正在监听。 它看起来像一个“死” IP 地址。 这很重要,因为我看到,平均而言,我的家庭系统每分钟大约有两次扫描尝试。 扫描器通常会攻击大约 50 个标准端口,并且在没有收到任何回复的情况下,会继续扫描。 但是,如果您通过仅一个开放端口泄露了活动系统的存在,即使它无法被利用,您通常也会引发更具侵略性的扫描以及随后对您系统的攻击。
fwknopd 在几乎所有 Linux 系统(包括 Pi)上都可用。 此外,标准客户端可在 Windows、MacOS 和 Android 上使用。
让我们进入黑暗模式...
- Martin