打开网易新闻 查看精彩图片

去年某安全团队扫描了公网暴露的SSH端口,发现超过10万台树莓派仍在用默认密码登录。这不是用户蠢——是出厂设置根本没把安全当回事。

本文基于树莓派官方Raspbian OS,演示一套完整的Linux加固流程。所有操作在树莓派5上验证通过,其他Linux发行版同样适用。

SSH:从"裸奔"到"上锁"

SSH:从"裸奔"到"上锁"

树莓派出厂时SSH服务是关闭的,这算是个冷幽默:想远程管理?先插键鼠显示器手动开启。但多数人开启后就再也没管过配置。

SSH(Secure Shell,安全外壳协议)的本质是给远程登录加一层加密隧道。没有它,你的密码在局域网里明文飘;配置不当,公网上任何人都能来敲门。

开启路径很隐蔽:终端输入sudo raspi-config,进入Interface Options,找到SSH选项。系统会警告你"确认要启用吗?"——这行字应该改成"确认要裸奔吗?"

真正的问题在认证方式。默认的密码登录就像用家门钥匙当小区门禁卡:丢了就全完了。密钥对机制才是正解。

生成密钥对时,公钥是锁,私钥是钥匙。把锁装到树莓派上,钥匙揣在自己电脑里。即使有人截获了通信流量,没有私钥也打不开锁。

具体命令:ssh-keygen -t ed25519 -C "your_email"。Ed25519比老旧的RSA-2048更安全,密钥长度只有32字节,生成速度快了几十倍。

把公钥复制到树莓派:ssh-copy-id pi@raspberrypi.local。这一步会要求输入一次密码——也是最后一次。

配置文件:关掉3个"后门"

配置文件:关掉3个"后门"

SSH的配置文件藏在/etc/ssh/sshd_config里。默认配置对开发友好,对安全敌对。

第一刀:禁用密码认证。找到PasswordAuthentication yes,改成no。改完这行,没有密钥的人连试错的机会都没有。

第二刀:限制尝试次数。默认允许无限次密码尝试,暴力破解的温床。添加MaxAuthTries 3,三次错误直接断开。

第三刀:改端口(可选但推荐)。把默认的22改成高位端口如2222,能过滤掉90%的自动化扫描脚本。这不是安全机制,是"别烦我"机制。

修改后执行sudo systemctl restart sshd生效。建议保留一个本地终端窗口测试新配置,确认能登录再关闭旧会话——否则你可能把自己锁在门外。

攻击面:比你想的大

攻击面:比你想的大

系统加固(System Hardening)这个词听起来像企业IT的活儿,但树莓派的场景更危险:它常被丢在角落长期运行,跑Home Assistant、Pi-hole、NAS,甚至直接暴露到公网。

攻击面(Attack Surface)是个精准比喻:每多一个开放端口、一项服务、一个默认账户,都是给攻击者开的窗。加固就是关窗、上锁、装监控。

除了SSH,还有几个默认隐患:

默认用户pi和密码raspberry——官方文档建议你改,但系统不强制。2022年之前的镜像甚至不能安装时强制修改。

sudo免密配置——Raspbian允许pi用户免密码执行sudo,方便但危险。入侵者拿到一个shell就是root权限。

IPv6默认开启——如果你的网络没做IPv6防护,这等于多了一条没人看管的通道。

这些都不是漏洞,是设计选择。树莓派基金会优先考虑"开箱即用",安全是用户自己的事。

远程访问:别碰端口转发

远程访问:别碰端口转发

很多人想在外网访问家里的树莓派,第一反应是做端口转发。这在2024年属于"复古"操作:暴露端口、固定IP、配置防火墙规则,每一步都是坑。

更现代的选择是Tailscale这类组网工具。它基于WireGuard协议,在设备间建立点对点加密隧道,不需要公网IP,不需要开放端口。

配置流程:在树莓派和手机上各装一个客户端,登录同一账号,自动组网。你的手机会获得一个100.x.x.x的虚拟IP,直接SSH访问,流量全程加密。

相比传统VPN,Tailscale的"网状网络"(Mesh VPN)设计更轻量:设备间直接通信,不经过中心服务器转发。延迟通常比端口转发还低。

关键区别:端口转发是把家门钥匙复制一份挂在门口信箱;Tailscale是给每个访客发一张临时门禁卡,还能随时吊销。

加固之后

加固之后

完成上述配置后,你的树莓派5在Shodan等扫描引擎眼里会从"潜在目标"变成"无响应主机"。这不是隐身,是拒绝参与。

但加固没有终点。建议每月检查一次lastb命令输出的失败登录记录,用fail2ban自动封禁暴力破解IP,关注Raspbian的安全更新通告。

有个细节很多人忽略:SD卡的物理安全。树莓派没有安全启动,拿到SD卡就能读取全部数据。敏感场景考虑启用全盘加密,或至少把密钥单独存储。

树莓派基金会2023年的用户调查显示,67%的设备用于"学习和原型开发",只有12%明确用于生产环境。但那个"学习用"的Pi-hole可能承载着全家人的DNS查询,那个"做着玩"的Home Assistant控制着门锁和摄像头。

你在树莓派上跑过最不可替代的服务是什么?如果今天它被重置出厂设置,恢复需要多久?