我读过很多关于如何使用我的网络托管服务提供商设置动态 DNS 以指向我的家庭网络的文章。这样我就可以访问家庭网络上运行预定进程的 Ubuntu 服务器。我读到的说明涉及在我的路由器上启用动态 DNS 功能。
我的第一个问题是,在路由器上启用动态 DNS 功能是否允许某人除了运行动态 DNS 脚本的服务器之外远程连接到我的其他机器?
理想情况下,我希望只允许一台机器访问,即运行动态 DNS 脚本的家庭服务器。此外,我希望只允许某些帐户进行远程(我将远程定义为来自家庭网络之外)登录。这些帐户的权限较少。我只需要这些帐户登录、检查日志、执行低级故障排除、重新安排 crontab 作业。了解这些帐户不应该做什么可能更有启发性。从这些帐户,远程用户不应该能够以具有完全权限的非远程用户身份登录。特别是,这些帐户不应该能够运行“sudo”。这可以实现吗?如果不能,有没有更好的方法来限制远程用户的权限?
更一般地说,如果我打算设置动态 DNS,我可以采取哪些额外步骤来保护我的家庭网络和机器?
答案1
首先,DNS 几乎不会对计算机安全产生任何影响。它只是一种机制,使人们能够更轻松地找到计算机地址(IP 地址),而不必键入 196.23.15.251。因此,添加 DDNS 本身并不危险。DDNS 更新脚本在您的计算机或路由器上运行,并仅通知 DNS 服务器,您在 DDNS 服务提供商处注册的域名地址已更改。您不必允许从互联网访问运行 DDNS 脚本的计算机,它会从内向外进行工作,无需“从外向内”。
另外需要注意的是:考虑到对您的计算机的大多数攻击都是由脚本或机器人发起的。他们只是尝试他们所知道的所有可能性,例如 root 或 admin 的简单密码、Web 服务器上的已知漏洞等。因此,如果您想在某个端口上“打开”您的网络,那么请研究如何保护该端口(例如仅允许 ssh 密钥访问而不允许密码),但这与 DDNS 无关。