这是一个创建于 1364 天前的主题,其中的信息可能已经有所发展或是发生改变。
就是说通过 SSH 隧道连接家用机器与一台公网服务器,可以通过服务器来操作家用机器。术语应该叫内网穿透。
这样做相当于是把家用机器在一定程度上暴露在公网上了。
开这个隧道,是因为自己对数据隐私有种洁癖,不想把任何私人数据放在云服务器上。
我想把所有的明文个人数据(比如日记、账务、笔记等等),都放在本地,只有在经过加密后,才会上传到服务器。
但这样做的话,明文数据只能在本地操作,而不能联网操作。而建立 SSH 隧道后,就能通过网络,联网操作明文的个人数据,同时又不会暴露这些数据,从而兼顾隐私和便利。
根据前帖 ( /t/757503 ) 的反馈,内网机器原本应该是比较安全的。那在打通一条隧道到家里之后,会增加多少额外的风险呢? 我能控制这种风险吗?
或者大家有推荐的系统吗?
这样做相当于是把家用机器在一定程度上暴露在公网上了。
开这个隧道,是因为自己对数据隐私有种洁癖,不想把任何私人数据放在云服务器上。
我想把所有的明文个人数据(比如日记、账务、笔记等等),都放在本地,只有在经过加密后,才会上传到服务器。
但这样做的话,明文数据只能在本地操作,而不能联网操作。而建立 SSH 隧道后,就能通过网络,联网操作明文的个人数据,同时又不会暴露这些数据,从而兼顾隐私和便利。
根据前帖 ( /t/757503 ) 的反馈,内网机器原本应该是比较安全的。那在打通一条隧道到家里之后,会增加多少额外的风险呢? 我能控制这种风险吗?
或者大家有推荐的系统吗?
 |
1
vibbow 2021-03-02 12:26:58 +08:00
可以做 port knocking
|
 |
2
ferock 2021-03-02 12:30:41 +08:00 via iPhone
家用机是什么机器?台式机?笔记本? nas ?
|
 |
3
Sekai 2021-03-02 12:35:15 +08:00
Windows 平台推荐 Bitvise SSH Server,限制 ip 、证书登录、换端口号、换登录名……还不放心可以做文件加密
|
 |
4
gkiwi 2021-03-02 12:35:20 +08:00
一般没啥问题,所有渠道别用密码,只用 ssh key 登录
之前某个项目,生产环境是个纯内网部署的,所以为了远程部署,只好开了隧道- - |
 |
5
H0u5er 2021-03-02 12:38:03 +08:00
我的解决办法更加简单,光猫转换桥接模式,申请公网 IP,路由器自带 VPN 和 DDNS 功能。
国内范围出差的情况下,通过 DDNS 获取家里的 IP,建立 VPN 隧道。 |
 |
6
markgor 2021-03-02 12:38:26 +08:00
亲身经历:
服务器: frp 监听:9090 、7000 密码验证 本地电脑: frp 密码验证 被投毒 |
 |
7
sillydaddy OP @ferock 台式机或笔记本
|
 |
8
lifanxi 2021-03-02 12:42:19 +08:00
禁密码登陆,禁 root,非默认用户,非默认端口,fail2ban,我觉得已经够安全了。不行再加一道端口敲门。
|
 |
9
40EaE5uJO3Xt1VVa 2021-03-02 12:49:31 +08:00
改 非常用端口 和 20 位大小写字母数字的强密码 基本就没啥问题
|
 |
10
SingeeKing 2021-03-02 12:51:23 +08:00  1
可以参考 https://community.nssurge.com/d/5,目前用起来很完美
SSH 一方面比较麻烦,另一方面就是会有各种奇奇怪怪的人试图登录,fail2ban 一不小心自己都无法访问了 |
 |
11
Chenamy2017 2021-03-02 12:53:32 +08:00
#8 楼的措施以及很好了。安全都是相对的,你花的代价做防守,别人要花更大的代价去攻击,所以别人要不要攻击你取决于你电脑的价值有多少,普通的电脑没有什么价值,所以做一定的措施就可以了,没必要臆想被攻击。
|
 |
12
hronro 2021-03-02 13:07:43 +08:00
用 https://github.com/slackhq/nebula 一年多了,没出现什么安全问题
|
 |
13
0x0000000 2021-03-02 13:13:18 +08:00
改端口、强密码,基本安全了 99.9%
|
 |
14
darrh00 2021-03-02 13:22:11 +08:00 1
#12 也用了 nebula 很久,不过最近切换到 https://github.com/tailscale/tailscale 了,nebula 遇到连不上的问题太头疼了。目前来看,tailscale 总体的质量还是高了一大截。
|
 |
15
delectate 2021-03-02 13:36:28 +08:00
没用的。frp,非常用端口,很牛逼的密码,一天大概 5 多万次爆破记录。
还好我的用户名不是 root,然后看他们就天马行空了,linustorvalds 都写。。。。 |
 |
16
Decent 2021-03-02 13:59:57 +08:00 via iPhone
用 v2 做个路由,内网指定网段走 freedom 就行,xshell 再走代理。
|
 |
18
laqow 2021-03-02 14:06:47 +08:00 via Android
套层梯子的服务端再 ssh,梯子出口只开在虚拟机,给一个没权限的账号,这样最多打到虚拟机
|
 |
19
zhigang1992 2021-03-02 14:11:09 +08:00
|
|
20
sillydaddy OP @markgor #6
@SingeeKing #10 @hronro #12 @darrh00 #14 这些工具 还是第一次听说,谢谢! @delectate #15 哈哈。然后呢? 这么直接应该不可能破解吧。 感谢大家的建议。看样子设置一个强密码应该就够了啊。 |
 |
21
wslzy007 2021-03-02 14:33:56 +08:00
|
|
22
markgor 2021-03-02 14:39:23 +08:00
@Cu635 frp 密码大小写应为+数字,长度 13 位。
粗略复盘并非 frp 的锅,当时是服务器 9090->本地电脑的 3389. frp 没开启日志,无法确定是否批量扫的端口。但 frp 服务器尚未有被入侵的痕迹。 至于 3389 对应的是 server08,由于改机器是给某个部门临时使用的, 他们密码好像纯数字 8 位数,server 里日志有一大堆登录失败信息,估计是被字典爆破的。 当时好像是业务需求,港澳地区的需要连接过来这台机操作, 之前是通过提供 VPN 形式的,但是通过 VPN 形式经常被大陆 ban (一会正常一会异常) 所以最后才采用 frp 形式临时给他们使用。 |
 |
23
scukmh 2021-03-02 14:41:29 +08:00
frp -> ss -> ssh 。还嫌不安全的话可以在套个 stcp.
|
 |
24
gitopen 2021-03-02 14:46:23 +08:00
@markgor 我也遇到过,前一阵我家里的旧电脑做下载机,用 frp 穿透,突然有一天发现它风扇狂转,打开一看,不知道啥时候被投毒了。。而且是比特币勒索病毒,全盘文件被加密。。由于没啥重要东西,就全盘格式化了。。。
|
|
25
markgor 2021-03-02 14:47:03 +08:00
说起来突然想起,我们之前也有部署过通过 openvpn 组网,
asterisk<->sip trunk<->openvpn client-> openvpn server <->openvpn client <-> sip trunk <-> asterisk 其中 openvpnServer 是部署在公网的,openVpnClient 是部署在私网里的。 港珠澳三地组网。除香港外稳定性还算可以,公网服务器是 5M 的带宽。 |
 |
27
treizeor 2021-03-02 14:48:09 +08:00 1
之前无意中用了一款号称国产 xshell 的 finalshell,结果第二天 nas 就被人挂了挖矿脚本,很难让我不怀疑是这个软件的问题。所幸的是我的 nas 跑在内存里的,重启之后所有修改都会被恢复。
|
|
28
markgor 2021-03-02 14:49:21 +08:00
@gitopen 一样情况,不过我们那台机贪图方便挂载了 smb 网盘,中毒后直接把网盘中文件都加密了。
复盘时发现他通过 nmap 扫内网(不知道是程序自动扫还是人工),自动挂载网盘.... |
 |
29
gwind 2021-03-02 14:52:14 +08:00
如何搭建一个安全的私有网络环境
https://gwind.me/post/computer/wireguard-network/ |
|
31
markgor 2021-03-02 14:56:21 +08:00
@gitopen
SMB 里有重要文件,不过有备份策略,凌晨脚本 tar 去另外一个目录的,所以我们损失比较低,业务就损失了 2 天的数据。 |
 |
32
wowodavid 2021-03-02 15:04:27 +08:00
ipsec 套 ssh,ipsec 强密码,ssh 强密码,够安全了。
|
 |
33
webshe11 2021-03-02 15:41:08 +08:00
我的方法和 @scukmh #23 的一样,frp 不要直接转发 SSH 端口,而是套一层 Shadowsocks 。
这样除了可以保护 SSH,还可以帮助你访问家里的其他服务。 |
 |
34
Lee2019 2021-03-02 15:56:42 +08:00
frp 或者 n2n 都可以
|
|
35
markgor 2021-03-02 16:51:46 +08:00
其实境内的话,直接服务端装 openVpn,
内网装个客户端, 使用证书+密码验证 这样无论从数据传输到接入,都能保障安全。 剩下就是提升服务器的安全配置即可了,防止服务器被入侵时顺路爬回你家。 |
|
36
sillydaddy OP @markgor #35,是的,服务器被入侵然后顺路入侵本地,也是一个很重要的风险点。毕竟这条入侵路径很明确,服务器被入侵的风险相对也更大。
|
 |
37
ansonchuang 2021-03-02 22:44:22 +08:00 via Android
用 zerotier
|
 |
38
yanqiyu 2021-03-03 00:30:10 +08:00 via Android
我直接把 ssh 映射到公网,并且加上禁止 root 登录,禁止密码登陆。跑了一年多了,一直有看到扫描(每天 2000+次登录尝试),但是没被黑掉过
|
 |
39
Rache1 2021-03-03 09:50:36 +08:00
我给我的 3389 加了个二次验证,就是防止前面几环都失效的情况
|
 |
40
lx0758 2021-03-03 10:29:17 +08:00
问题不大, 我家里的服务器跑了 2.5 年, 没啥问题, 就是每天承受吨级扫描, 路由器端口映射服务器的 openvpn 开隧道, 开了之后就和局域网一样了, 想干啥都行
|
 |
41
redial39 2021-03-19 11:25:22 +08:00
加个入站 src.ip 限制比什么都好用
|
Select Language