我希望创建一个类似 Dropbox 的服务来远程访问我的文件。
假设我设置了一个 Linux 机箱,连接了一个外部硬盘,通过受密码保护的 ftp 共享它,并使用 dyndns 服务来连接到我的网络。
我是否会危及同一 LAN 上其他设备(连接到我的路由器的其他计算机)的安全性?
我的意思是,假设有人入侵了 Linux 机器,然后能够安装嗅探器,然后从 Linux 机器上破坏我的其他机器。对吗?
这是一个需要考虑的现实风险吗?我是否预见到了其他安全隐患?
答案1
安装任何东西都会产生潜在的漏洞 - 例如,如果 Dropbox 守护程序(或您用于共享文件的任何协议)或 Linux 机器上的任何其他软件中存在漏洞,则有可能利用它(一旦知道)。您需要评估这对您要使用的每个组件的风险有多大(例如,对于您概述的此类家庭服务器使用,安装最新的 vanilla SSH 服务器是比较安全的 - 考虑到其他预防措施)
出于安全考虑:我不会使用 FTP,它是一种纯文本协议(这本身可能是一个漏洞:你的密码和文件以明文形式传输);我会选择 SSH 服务器 - 让你拥有 shell 访问权限和SFTP(安全文件传输),均已加密;但可以将访问限制在无需 shell 的 SFTP 范围内。
此外,还有各种辅助服务可以帮助抵御自动攻击,例如fail2ban
(在多次尝试失败后阻止 IP 地址连接)。
通常还需注意其他事项:不允许超级用户(root)远程访问,不要使用弱密码(如果可能,不要允许身份验证通过密码根本不要使用公钥认证并加密私钥)、定期更新(或设置自动更新)等。
此外,阻止除实际使用之外的任何访问(例如,使用iptables
,拒绝一切,然后仅允许需要的访问) - 这是大多数 Linux 安装中不太需要担心的问题,因为默认情况下打开的服务并不多,但仍然值得一提。