为家用网络中的机器开通一条 SSH 隧道,有风险吗?

2021-03-02 12:19:01 +08:00
 sillydaddy
就是说通过 SSH 隧道连接家用机器与一台公网服务器,可以通过服务器来操作家用机器。术语应该叫内网穿透。
这样做相当于是把家用机器在一定程度上暴露在公网上了。

开这个隧道,是因为自己对数据隐私有种洁癖,不想把任何私人数据放在云服务器上。

我想把所有的明文个人数据(比如日记、账务、笔记等等),都放在本地,只有在经过加密后,才会上传到服务器。
但这样做的话,明文数据只能在本地操作,而不能联网操作。而建立 SSH 隧道后,就能通过网络,联网操作明文的个人数据,同时又不会暴露这些数据,从而兼顾隐私和便利。

根据前帖 ( /t/757503 ) 的反馈,内网机器原本应该是比较安全的。那在打通一条隧道到家里之后,会增加多少额外的风险呢? 我能控制这种风险吗?

或者大家有推荐的系统吗?
8234 次点击
所在节点    信息安全
41 条回复
wslzy007
2021-03-02 14:33:56 +08:00
@sillydaddy 这类需求最好还是走“内网”到“内网”穿透吧,反正都是自己用。推荐试试 sg
github.com/lazy-luo/smarGate
markgor
2021-03-02 14:39:23 +08:00
@Cu635 frp 密码大小写应为+数字,长度 13 位。
粗略复盘并非 frp 的锅,当时是服务器 9090->本地电脑的 3389.
frp 没开启日志,无法确定是否批量扫的端口。但 frp 服务器尚未有被入侵的痕迹。
至于 3389 对应的是 server08,由于改机器是给某个部门临时使用的,
他们密码好像纯数字 8 位数,server 里日志有一大堆登录失败信息,估计是被字典爆破的。

当时好像是业务需求,港澳地区的需要连接过来这台机操作,
之前是通过提供 VPN 形式的,但是通过 VPN 形式经常被大陆 ban (一会正常一会异常)
所以最后才采用 frp 形式临时给他们使用。
scukmh
2021-03-02 14:41:29 +08:00
frp -> ss -> ssh 。还嫌不安全的话可以在套个 stcp.
gitopen
2021-03-02 14:46:23 +08:00
@markgor 我也遇到过,前一阵我家里的旧电脑做下载机,用 frp 穿透,突然有一天发现它风扇狂转,打开一看,不知道啥时候被投毒了。。而且是比特币勒索病毒,全盘文件被加密。。由于没啥重要东西,就全盘格式化了。。。
markgor
2021-03-02 14:47:03 +08:00
说起来突然想起,我们之前也有部署过通过 openvpn 组网,
asterisk<->sip trunk<->openvpn client-> openvpn server <->openvpn client <-> sip trunk <-> asterisk

其中 openvpnServer 是部署在公网的,openVpnClient 是部署在私网里的。
港珠澳三地组网。除香港外稳定性还算可以,公网服务器是 5M 的带宽。
iloveayu
2021-03-02 14:47:52 +08:00
@darrh00 #14 好东西,感谢分享!
treizeor
2021-03-02 14:48:09 +08:00
之前无意中用了一款号称国产 xshell 的 finalshell,结果第二天 nas 就被人挂了挖矿脚本,很难让我不怀疑是这个软件的问题。所幸的是我的 nas 跑在内存里的,重启之后所有修改都会被恢复。
markgor
2021-03-02 14:49:21 +08:00
@gitopen 一样情况,不过我们那台机贪图方便挂载了 smb 网盘,中毒后直接把网盘中文件都加密了。
复盘时发现他通过 nmap 扫内网(不知道是程序自动扫还是人工),自动挂载网盘....
gwind
2021-03-02 14:52:14 +08:00
如何搭建一个安全的私有网络环境
https://gwind.me/post/computer/wireguard-network/
gitopen
2021-03-02 14:54:08 +08:00
@markgor 如果有重要文件或数据,就惨了。。。
markgor
2021-03-02 14:56:21 +08:00
@gitopen
SMB 里有重要文件,不过有备份策略,凌晨脚本 tar 去另外一个目录的,所以我们损失比较低,业务就损失了 2 天的数据。
wowodavid
2021-03-02 15:04:27 +08:00
ipsec 套 ssh,ipsec 强密码,ssh 强密码,够安全了。
webshe11
2021-03-02 15:41:08 +08:00
我的方法和 @scukmh #23 的一样,frp 不要直接转发 SSH 端口,而是套一层 Shadowsocks 。
这样除了可以保护 SSH,还可以帮助你访问家里的其他服务。
Lee2019
2021-03-02 15:56:42 +08:00
frp 或者 n2n 都可以
markgor
2021-03-02 16:51:46 +08:00
其实境内的话,直接服务端装 openVpn,
内网装个客户端,
使用证书+密码验证
这样无论从数据传输到接入,都能保障安全。

剩下就是提升服务器的安全配置即可了,防止服务器被入侵时顺路爬回你家。
sillydaddy
2021-03-02 17:39:34 +08:00
@markgor #35,是的,服务器被入侵然后顺路入侵本地,也是一个很重要的风险点。毕竟这条入侵路径很明确,服务器被入侵的风险相对也更大。
ansonchuang
2021-03-02 22:44:22 +08:00
用 zerotier
yanqiyu
2021-03-03 00:30:10 +08:00
我直接把 ssh 映射到公网,并且加上禁止 root 登录,禁止密码登陆。跑了一年多了,一直有看到扫描(每天 2000+次登录尝试),但是没被黑掉过
Rache1
2021-03-03 09:50:36 +08:00
我给我的 3389 加了个二次验证,就是防止前面几环都失效的情况
lx0758
2021-03-03 10:29:17 +08:00
问题不大, 我家里的服务器跑了 2.5 年, 没啥问题, 就是每天承受吨级扫描, 路由器端口映射服务器的 openvpn 开隧道, 开了之后就和局域网一样了, 想干啥都行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/757579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX