提升你的樹莓派資安防護力!

作者:陸向陽

隨著樹莓派(Raspberry Pi, RPi)銷量的增長,以及愈來愈多人將樹莓派當個人電腦、個人伺服器在使用,樹莓派的資訊安全也開始要重視,以下提供幾個建議作法,有助於提升樹莓派的安全防護力。

(圖片來源:維基百科樹莓派

把預設密碼改掉

一般而言樹莓派使用Raspberry Pi OS(昔稱Raspbian),其預設的使用者名稱為pi,其密碼為raspberry,所以首要任務就是改掉密碼,對此需使用passwd指令。

至於要不要建立新的使用者名稱來代替預設的使用者pi(屬root/super user權限)則要謹慎考慮,原因是Raspberry Pi OS內有些地方還是需要用到pi帳號,刪除可能會影響運作,即便後續的新改版已趨向盡量減少對pi帳號的倚賴。

時時更新升級軟體

無論是作業系統、應用程式還是驅動程式,若沒有更新則可能存在著漏洞,進而被人利用漏洞進行侵駭,所以需要勤更新,對此需使用apt指令,如apt update或apt full-upgrade等,愈是即時更新愈減少被零日攻擊(zero-day attack)的可能,不過有時有些更新也可能產生不穩或錯誤等問題,此也必須謹慎。

強化SSH登入認證

SSH(Secure SHell)用來遠端登入、遠端連線樹莓派,但只使用帳密就能登入不夠安全,建議使用產生與驗證金鑰的方式來登入,甚至禁止使用單純的密碼就能登入,若期望保持用帳密就能登入,帳密也必須字元長一點,增加被猜中試中的難度;或也可採行雙因子認證(Two-Factor Authentication, 2FA),如使用Authy應用程式。

在Windows個人電腦上透過SSH登入樹莓派的畫面。(圖片來源:樹莓派官網

裝設防火牆

Raspberry Pi預設是有安裝Linux上最常見的防火牆iptables,不過卻沒有進行防護設定,而iptables設定卻很繁複。因此建議可以改用Ubuntu預設的防火牆工具ufw(Uncomplicated Firewall,簡單防火牆)。

ufw程式畫面(圖中偏右視窗)。(圖片來源:Linux.com

偵測與絕禁侵駭

最後建議可以安裝一個軟體工具Fail2Ban,它可以持續掃描日誌檔(log file),例如有人嘗試登入卻失敗在日誌檔中就會有記錄,當它發現有頻繁登入失敗的情形就會自動更新防火牆(如iptables)的防護政策,讓防火牆阻擋可疑的IP持續嘗試登入,從而實現即時且自動的資安防護。

(責任編輯:王姵文)

Author: 陸向陽

從電子科系畢業後,即以媒體人的角色繼續這段與「電子科技」的不解之緣。歷任電子技術專書作者、電子媒體記者、分析師等角色,並持續寫作不殆。近來投入Arduino、Raspberry Pi等開放硬體的研究與教程介紹。

Share This Post On

發表

跳至工具列