单独计算机上的 Dropbox 是否会危及同一 LAN 上其他设备的安全?

单独计算机上的 Dropbox 是否会危及同一 LAN 上其他设备的安全?

我希望创建一个类似 Dropbox 的服务来远程访问我的文件。

假设我设置了一个 Linux 机箱,连接了一个外部硬盘,通过受密码保护的 ftp 共享它,并使用 dyndns 服务来连接到我的网络。

我是否会危及同一 LAN 上其他设备(连接到我的路由器的其他计算机)的安全性?

我的意思是,假设有人入侵了 Linux 机器,然后能够安装嗅探器,然后从 Linux 机器上破坏我的其他机器。对吗?

这是一个需要考虑的现实风险吗?我是否预见到了其他安全隐患?

答案1

安装任何东西都会产生潜在的漏洞 - 例如,如果 Dropbox 守护程序(或您用于共享文件的任何协议)或 Linux 机器上的任何其他软件中存在漏洞,则有可能利用它(一旦知道)。您需要评估这对您要使用的每个组件的风险有多大(例如,对于您概述的此类家庭服务器使用,安装最新的 vanilla SSH 服务器是比较安全的 - 考虑到其他预防措施)

出于安全考虑:我不会使用 FTP,它是一种纯文本协议(这本身可能是一个漏洞:你的密码和文件以明文形式传输);我会选择 SSH 服务器 - 让你拥有 shell 访问权限SFTP(安全文件传输),均已加密;但可以将访问限制在无需 shell 的 SFTP 范围内。

此外,还有各种辅助服务可以帮助抵御自动攻击,例如fail2ban(在多次尝试失败后阻止 IP 地址连接)。

通常还需注意其他事项:不允许超级用户(root)远程访问,不要使用弱密码(如果可能,不要允许身份验证通过密码根本不要使用公钥认证并加密私钥)、定期更新(或设置自动更新)等。

此外,阻止除实际使用之外的任何访问(例如,使用iptables,拒绝一切,然后仅允许需要的访问) - 这是大多数 Linux 安装中不太需要担心的问题,因为默认情况下打开的服务并不多,但仍然值得一提。

相关内容