鉴于有一台内网的树莓派有时需要远程登录,此前做了 frp 端口转发,将 SSH 端口转发到公网服务器的端口,非常遗憾,有次使用完后没有关闭,更加致命的是由于这台树莓派上并没有什么重要的东西于是使用了非常简单的密码,几天后尝试登录发现密码不正确,重复输了多次后意识到出问题了,应该是被暴力破解了。
物理重启后,由于默认设置了无需密码登录,进入系统后检查了/var/log/auth.log, 打开速度惊人,因为仅看文件大小已经到了数个G, 打开后无意外有无数次的鉴权失败记录,遂重装系统修改密码。
其中有几个注意的点:
- 经过 frp 转发后暴露在公网的端口实际上不是22,所以改 ssh 为非常用端口的做法,没有任何作用,也许有相关的嗅探工具。
- 实际上我的用户名也不是 root 或者类似常用的用户名(比如人名),但还是被破解了,字典确实很全。
- 设置访问 IP 或者使用 fail2ban 类似的工具过滤 SSH 爆破也无济于事,因为使用 frp 穿透后,源 IP 均识别为 localhost.
后来重装系统后使用了16位的强密码,不过觉得还是不靠谱,索性改成了公钥登录,并关闭了密码登录。
PubkeyAuthentication yes
PasswordAuthentication no所以现在并不能通过任何密码登录,但是依然看到尝试登录的 log,不过无所谓了,who cares
或者需要更强的安全指南,可以参考这篇