Nhìn vào RPi, có vẻ như một thiết bị khá an toàn trong hộp, miễn là bạn làm một vài điều.
Nhu cầu người dùng / pass mặc định đã thay đổi. Ít nhất, thay đổi mật khẩu. Để bảo mật tốt hơn một lần nữa, hãy thay đổi tên người dùng. (Thêm người dùng mới, sau đó vô hiệu hóa PI. Kiểm tra xem ROOT cũng bị vô hiệu hóa khi đăng nhập SSH, mặc dù tôi nghĩ đó là mặc định.)
Quét RPi chỉ trả về một cổng mở, 22, đó là kết nối SSH và thậm chí nó phải được bật trước khi nó hiển thị (mặc dù hầu hết mọi người sẽ sử dụng nó thay vì màn hình, bàn phím và chuột, đặc biệt là trên máy chủ {web})
Bạn có thể thay đổi số cổng SSH, nhưng điều đó sẽ không làm được gì nhiều, vì nó có thể được quét đủ dễ dàng. Thay vào đó, hãy kích hoạt xác thực SSH-Key.
Bây giờ bạn không có cách nào để bất cứ ai vào máy của bạn mà không có khóa SSH, tên người dùng và mật khẩu chính xác.
Tiếp theo, thiết lập máy chủ web của bạn. Apache là khá nhiều nơi nó đang ở. Điều đó sẽ ngồi và theo dõi cổng 80 như mặc định và tự động trả lời các kết nối từ trình duyệt, phục vụ các trang web của bạn.
Nếu bạn có tường lửa hoặc bộ định tuyến, bạn có thể thay đổi các cổng RPi và bộ định tuyến sẽ điều hướng lưu lượng truy cập từ cổng này sang cổng khác. Ví dụ: lưu lượng truy cập cổng 80 vào bộ định tuyến được chuyển hướng đến cổng 75 trên RPi và SSH trên 22 được chuyển hướng đến cổng 72. Điều này sẽ thêm một lớp bảo vệ khác, nhưng phức tạp hơn một chút.
Giữ tất cả mọi thứ cập nhật và vá, rõ ràng.
Điều này sẽ không bảo vệ bạn khỏi các cuộc tấn công khai thác java, flash, máy chủ SQL, v.v. mà bạn có thể thêm vào sau này, nhưng đó thực sự là những điều cơ bản.
Bạn cũng có thể thêm một tường lửa, điều này sẽ làm chậm bất kỳ ai xâm nhập vào hệ thống của bạn khỏi một cổng khác nếu họ cài đặt một dịch vụ mới. Bộ định tuyến của bạn sẽ xử lý vấn đề đó, nhưng nếu nó được kết nối trực tiếp, sau đó thiết lập nó và trong bao lâu, bạn cũng có thể chạy nó - dù sao nó cũng sẽ không bổ sung nhiều vào tài nguyên hệ thống.
Một điều khác bạn có thể muốn thêm là fail2ban ( http://www.fail2ban.org/wiki/index.php/Main_Page ) có thêm quy tắc tường lửa để chặn nhiều lần đăng nhập, ngăn chặn các cuộc tấn công từ điển. Mặc dù những thứ này không thể hoạt động trên hệ thống của bạn nếu bạn đã làm theo những điều trên, nhưng vì lý do nào đó bạn chỉ cần để lại mật khẩu SSH auth (ví dụ như bạn đăng nhập từ nhiều máy khác nhau) thì nó sẽ ngăn chặn một cuộc tấn công từ điển từ làm việc. Sau số lần thử mà bạn chỉ định, nó sẽ chặn một lần nữa bất kỳ lần thử nào từ địa chỉ IP đó. (Chỉ cần lưu ý rằng nó không nhìn thấy bất kỳ bộ định tuyến / địa chỉ IP cục bộ nào và cấm quá sớm hoặc quá lâu!)
Đã chỉnh sửa để thêm: Khi bạn đã thiết lập mọi thứ độc đáo, hãy sử dụng một công cụ như dd hoặc Win32DiskImager để sao lưu toàn bộ thẻ SD của bạn. Bằng cách đó, nếu có bất cứ điều gì sai, bạn có thể khôi phục nó vào cùng một thẻ hoặc ghi nó vào một thẻ mới, và tiếp tục bất kể. (Nhưng nếu bị hack, có lẽ bạn muốn tìm ra lỗ hổng nào được tìm thấy và đóng lỗ đó trước tiên, có lẽ!)