为家用网络中的机器开通一条 SSH 隧道,有风险吗?

2021-03-02 12:19:01 +08:00
 sillydaddy
就是说通过 SSH 隧道连接家用机器与一台公网服务器,可以通过服务器来操作家用机器。术语应该叫内网穿透。
这样做相当于是把家用机器在一定程度上暴露在公网上了。

开这个隧道,是因为自己对数据隐私有种洁癖,不想把任何私人数据放在云服务器上。

我想把所有的明文个人数据(比如日记、账务、笔记等等),都放在本地,只有在经过加密后,才会上传到服务器。
但这样做的话,明文数据只能在本地操作,而不能联网操作。而建立 SSH 隧道后,就能通过网络,联网操作明文的个人数据,同时又不会暴露这些数据,从而兼顾隐私和便利。

根据前帖 ( /t/757503 ) 的反馈,内网机器原本应该是比较安全的。那在打通一条隧道到家里之后,会增加多少额外的风险呢? 我能控制这种风险吗?

或者大家有推荐的系统吗?
8234 次点击
所在节点    信息安全
41 条回复
vibbow
2021-03-02 12:26:58 +08:00
可以做 port knocking
ferock
2021-03-02 12:30:41 +08:00
家用机是什么机器?台式机?笔记本? nas ?
Sekai
2021-03-02 12:35:15 +08:00
Windows 平台推荐 Bitvise SSH Server,限制 ip 、证书登录、换端口号、换登录名……还不放心可以做文件加密
gkiwi
2021-03-02 12:35:20 +08:00
一般没啥问题,所有渠道别用密码,只用 ssh key 登录
之前某个项目,生产环境是个纯内网部署的,所以为了远程部署,只好开了隧道- -
H0u5er
2021-03-02 12:38:03 +08:00
我的解决办法更加简单,光猫转换桥接模式,申请公网 IP,路由器自带 VPN 和 DDNS 功能。

国内范围出差的情况下,通过 DDNS 获取家里的 IP,建立 VPN 隧道。
markgor
2021-03-02 12:38:26 +08:00
亲身经历:
服务器:
frp
监听:9090 、7000
密码验证

本地电脑:
frp
密码验证


被投毒
sillydaddy
2021-03-02 12:41:58 +08:00
@ferock 台式机或笔记本
lifanxi
2021-03-02 12:42:19 +08:00
禁密码登陆,禁 root,非默认用户,非默认端口,fail2ban,我觉得已经够安全了。不行再加一道端口敲门。
40EaE5uJO3Xt1VVa
2021-03-02 12:49:31 +08:00
改 非常用端口 和 20 位大小写字母数字的强密码 基本就没啥问题
SingeeKing
2021-03-02 12:51:23 +08:00
可以参考 https://community.nssurge.com/d/5,目前用起来很完美

SSH 一方面比较麻烦,另一方面就是会有各种奇奇怪怪的人试图登录,fail2ban 一不小心自己都无法访问了
Chenamy2017
2021-03-02 12:53:32 +08:00
#8 楼的措施以及很好了。安全都是相对的,你花的代价做防守,别人要花更大的代价去攻击,所以别人要不要攻击你取决于你电脑的价值有多少,普通的电脑没有什么价值,所以做一定的措施就可以了,没必要臆想被攻击。
hronro
2021-03-02 13:07:43 +08:00
https://github.com/slackhq/nebula 一年多了,没出现什么安全问题
0x0000000
2021-03-02 13:13:18 +08:00
改端口、强密码,基本安全了 99.9%
darrh00
2021-03-02 13:22:11 +08:00
#12 也用了 nebula 很久,不过最近切换到 https://github.com/tailscale/tailscale 了,nebula 遇到连不上的问题太头疼了。目前来看,tailscale 总体的质量还是高了一大截。
delectate
2021-03-02 13:36:28 +08:00
没用的。frp,非常用端口,很牛逼的密码,一天大概 5 多万次爆破记录。

还好我的用户名不是 root,然后看他们就天马行空了,linustorvalds 都写。。。。
Decent
2021-03-02 13:59:57 +08:00
用 v2 做个路由,内网指定网段走 freedom 就行,xshell 再走代理。
Cu635
2021-03-02 14:02:50 +08:00
@markgor
frp 密码复杂程度和用户名如何?
laqow
2021-03-02 14:06:47 +08:00
套层梯子的服务端再 ssh,梯子出口只开在虚拟机,给一个没权限的账号,这样最多打到虚拟机
zhigang1992
2021-03-02 14:11:09 +08:00
sillydaddy
2021-03-02 14:32:04 +08:00
@markgor #6
@SingeeKing #10
@hronro #12
@darrh00 #14 这些工具 还是第一次听说,谢谢!

@delectate #15 哈哈。然后呢? 这么直接应该不可能破解吧。

感谢大家的建议。看样子设置一个强密码应该就够了啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/757579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX