V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dangyuluo
V2EX  ›  路由器

如何确保自己的家庭服务器没有被黑

  •  
  •   dangyuluo · 326 天前 · 1712 次点击
    这是一个创建于 326 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在家里搭建了不少服务,有的是 Docker 有的是虚拟机,还有不少 Wifi 智能家居小玩意,所有流量均通过 pfSense 路由器。设备越来越多,但是我的精力是有限的,不可能随时关注每个设备。请问有没有可以部署什么网络行为检测的服务?谢谢

    8 条回复    2024-01-09 09:07:46 +08:00
    dangyuluo
        1
    dangyuluo  
    OP
       325 天前
    官方提供了 ntopng ,先试一下
    totoro625
        2
    totoro625  
       325 天前
    精力有限,技术也有限,我是这么做的:
    底层 PVE ,仅安装 Tailscale ,尽可能不做修改
    大型的 docker 分别使用独立的 VM ,零星简单的 docker 按自己心里的安全评估分别使用不同的 VM

    目前 7 个独立的 VM:相册、网盘、青龙、plex 、openwrt 、cloudflared 、adguardhome ,这 7 个程序正常都是通过另一个 VM 内的 nginx 提供外部访问
    一个混合了一堆 docker 的 VM ,里面跑了 nginx 、ddns 、frp 等杂七杂八的程序,主要负责提供对外访问
    外部是一个上海服务器、一个新加坡服务器转发 443 端口到 nginx

    最后就是定期换 SSH 密钥,关闭密码登录/超长复杂密码
    1423
        3
    1423  
       325 天前
    华硕路由器可以 netstat-nat 看一下连接信息
    但 ipv6 无能为力, 家里物联网设备可能最好用单独的 ipv4 only 网络
    gamexg
        4
    gamexg  
       325 天前
    弄个蜜罐?
    或者持续监视关键文件是否有修改?
    neroxps
        5
    neroxps  
       325 天前 via iPhone
    从被黑之后你担心什么东西被怎么了出发,担心数据泄露就从数据角度做。担心挖矿就做挖坑监控和蜜罐。担心被当跳板肉鸡就上软件防火墙筛选流量。
    benjaminliangcom
        6
    benjaminliangcom  
       325 天前
    我没有公网 v4 ,只有一个 v6 做 ddns ,ddns 的那台机器不装服务,ssh 也没有,其他所有东西都通过特定端口转发完成,并且内网应用的 nginx 不做转发,要外部访问的另一个 traefik 才做转发。另外还搭建了 wireguard ,尽量通过隧道访问。
    linuxgo
        7
    linuxgo  
       323 天前
    装个 fail2ban ,专门检测暴力密码破解,默认密码输入 3 次(可以自己设置)错误就拉入黑名单。我主要用来防止 ssh 登录用,以前在 vps 上使用很管用,国内 vps 一周下来要拦截几百个 ip
    samondlee
        8
    samondlee  
       320 天前
    买 PANABIT FORTINET 流控 防火墙分析流量。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2670 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:15 · PVG 13:15 · LAX 21:15 · JFK 00:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.