Linux

單獨電腦上的保管箱是否會危及同一 LAN 上其他設備的安全性?

  • November 11, 2011

我希望創建一個類似 Dropbox 的服務來遠端訪問我的文件。

假設我設置了一個 linux 機器,連接了一個外部硬碟驅動器,通過受密碼保護的 ftp 共享它,並使用 dyndns 服務來連接到我的網路。

我會危及同一 LAN 上其他設備(連接到我的路由器的其他電腦)的安全性嗎?

我的意思是假設有人會破解 linux 機器然後能夠安裝嗅探器,然後從 linux 機器崩潰我的其他機器。正確的?

這是一個需要考慮的現實風險嗎?我預見到還有其他安全隱患嗎?

安裝任何東西都會產生潛在的漏洞——例如,如果 Dropbox 守護程序(或您用於共享文件的任何協議)或 Linux 機器上的任何其他軟體中存在漏洞,則有可能利用它(一旦已知)。您需要評估您要使用的每個組件的風險有多大(例如,對於您正在概述的此類家庭伺服器使用,最新的 vanilla SSH 伺服器安裝在一定程度上是安全的 - 考慮到其他防範措施)

出於安全考慮:我不會使用 FTP,它是一個純文字協議(它本身可能是一個漏洞:您的密碼和文件以明文形式通過網路傳輸);我會選擇 SSH 伺服器 - 為您提供 shell 訪問SFTP(安全文件傳輸),均已加密;不過,可以在沒有 shell 的情況下僅限制對 SFTP 的訪問。

此外,還有各種幫助服務可以幫助抵禦自動攻擊,例如fail2ban(在多次嘗試失敗後阻止 IP 地址連接)。

通常的其他注意事項適用:不允許超級使用者(root)遠端訪問,不要使用弱密碼(如果可能,根本不允許通過密碼進行身份驗證,而是使用公鑰身份驗證並加密私鑰),定期更新(或設置自動更新)等

此外,除了實際使用的內容之外,阻止對該框的任何訪問(例如,使用iptables、拒絕所有內容,然後只允許需要的內容)——這對大多數 Linux 安裝來說不太重要,因為預設情況下打開的服務並不多,但仍然值得一提。

引用自:https://serverfault.com/questions/330042