作者:陸向陽
隨著樹莓派(Raspberry Pi, RPi)銷量的增長,以及愈來愈多人將樹莓派當個人電腦、個人伺服器在使用,樹莓派的資訊安全也開始要重視,以下提供幾個建議作法,有助於提升樹莓派的安全防護力。
(圖片來源:維基百科樹莓派)
把預設密碼改掉
一般而言樹莓派使用Raspberry Pi OS(昔稱Raspbian),其預設的使用者名稱為pi,其密碼為raspberry,所以首要任務就是改掉密碼,對此需使用passwd指令。
至於要不要建立新的使用者名稱來代替預設的使用者pi(屬root/super user權限)則要謹慎考慮,原因是Raspberry Pi OS內有些地方還是需要用到pi帳號,刪除可能會影響運作,即便後續的新改版已趨向盡量減少對pi帳號的倚賴。
時時更新升級軟體
無論是作業系統、應用程式還是驅動程式,若沒有更新則可能存在著漏洞,進而被人利用漏洞進行侵駭,所以需要勤更新,對此需使用apt指令,如apt update或apt full-upgrade等,愈是即時更新愈減少被零日攻擊(zero-day attack)的可能,不過有時有些更新也可能產生不穩或錯誤等問題,此也必須謹慎。
強化SSH登入認證
SSH(Secure SHell)用來遠端登入、遠端連線樹莓派,但只使用帳密就能登入不夠安全,建議使用產生與驗證金鑰的方式來登入,甚至禁止使用單純的密碼就能登入,若期望保持用帳密就能登入,帳密也必須字元長一點,增加被猜中試中的難度;或也可採行雙因子認證(Two-Factor Authentication, 2FA),如使用Authy應用程式。
在Windows個人電腦上透過SSH登入樹莓派的畫面。(圖片來源:樹莓派官網)
裝設防火牆
Raspberry Pi預設是有安裝Linux上最常見的防火牆iptables,不過卻沒有進行防護設定,而iptables設定卻很繁複。因此建議可以改用Ubuntu預設的防火牆工具ufw(Uncomplicated Firewall,簡單防火牆)。
ufw程式畫面(圖中偏右視窗)。(圖片來源:Linux.com)
偵測與絕禁侵駭
最後建議可以安裝一個軟體工具Fail2Ban,它可以持續掃描日誌檔(log file),例如有人嘗試登入卻失敗在日誌檔中就會有記錄,當它發現有頻繁登入失敗的情形就會自動更新防火牆(如iptables)的防護政策,讓防火牆阻擋可疑的IP持續嘗試登入,從而實現即時且自動的資安防護。
(責任編輯:王姵文)
- Hailo在樹莓派上實證LLM技術的語音識別 - 2025/04/18
- GTC 2025技術觀察:GR00T N1、Newton、BDX Blue - 2025/04/09
- DeepSeek真開放?假開放?MOF提供測度參考 - 2025/03/28
訂閱MakerPRO知識充電報
與40000位開發者一同掌握科技創新的技術資訊!
