आरपीआई को देखने के बाद, यह बॉक्स के बाहर एक काफी सुरक्षित डिवाइस की तरह लगता है, जब तक आप कुछ चीजें करते हैं।
डिफ़ॉल्ट उपयोगकर्ता / पास की जरूरतें बदल गई हैं। बहुत कम से कम, पासवर्ड बदलें। फिर से बेहतर सुरक्षा के लिए, उपयोगकर्ता नाम भी बदलें। (एक नया उपयोगकर्ता जोड़ें, फिर PI अक्षम करें। जांचें कि ROOT SSH लॉगिन से भी अक्षम है, हालांकि मुझे लगता है कि यह वैसे भी सुविधाजनक है।)
RPI को स्कैन करना केवल एक खुला पोर्ट, 22, जो SSH कनेक्शन है, लौटाता है और यहां तक कि चालू होने से पहले इसे चालू करना होता है (हालांकि अधिकांश लोग मॉनिटर, कीबोर्ड और माउस के बजाय इसका उपयोग करेंगे, मुझे उम्मीद है, विशेष रूप से {{वेब} सर्वर)
आप SSH पोर्ट नंबर बदल सकते हैं, लेकिन यह बहुत कुछ नहीं करेगा, क्योंकि यह आसानी से पर्याप्त स्कैन किया जा सकता है। इसके बजाय, SSH- कुंजी प्रमाणीकरण सक्षम करें।
अब आपके पास सही SSH कुंजी, उपयोगकर्ता नाम और पासवर्ड के बिना किसी को भी अपनी मशीन में लाने का कोई रास्ता नहीं है।
इसके बाद, अपना वेबसर्वर सेट करें। अपाचे बहुत ज्यादा है जहां यह है। यह डिफ़ॉल्ट रूप में पोर्ट 80 को बैठेगा और निगरानी करेगा, और अपने वेबपृष्ठों की सेवा करते हुए, ब्राउज़र से कनेक्शन के लिए स्वचालित रूप से प्रतिक्रिया देगा।
यदि आपके पास एक फ़ायरवॉल या राउटर है, तो आप आरपीआई पोर्ट्स को बदल सकते हैं, और राउटर को ट्रैफ़िक को एक पोर्ट से दूसरे पोर्ट तक निर्देशित कर सकते हैं। उदाहरण के लिए, राउटर में पोर्ट 80 ट्रैफ़िक को आरपीआई पर 75 पोर्ट पर भेज दिया जाता है, और 22 पर एसएसएच को 72 पर पोर्ट करने के लिए रीडायरेक्ट किया जाता है। यह सुरक्षा की एक और परत जोड़ देगा, लेकिन थोड़ी अधिक जटिल है।
सब कुछ अद्यतन और पैच रखें, जाहिर है।
यह आपको उन हमलों से रक्षा नहीं करेगा जो जावा, फ्लैश, एसक्यूएल सर्वर आदि का शोषण करते हैं, जिन्हें आप बाद में अच्छी तरह से जोड़ सकते हैं, लेकिन मूल बातें यह है।
आप एक फ़ायरवॉल भी जोड़ सकते हैं, जो आपके सिस्टम में आने वाले किसी भी व्यक्ति को एक नई सेवा स्थापित करने पर एक अलग पोर्ट पर बाहर निकलने से धीमा कर देगा। आपका राउटर उसी के साथ काम कर रहा होना चाहिए, लेकिन अगर यह सीधे जुड़ा हुआ है, तो इसे सेट करें, और इसे कितनी देर तक ले जाएं, आप इसे वैसे भी चला सकते हैं - यह सिस्टम संसाधनों के रास्ते में बहुत कुछ नहीं जोड़ेगा।
एक और चीज जिसे आप जोड़ना चाहते हैं, वह है विफल 2ban ( http://www.fail2ban.org/wiki/index.php/Main_Page ), जो शब्दकोश हमलों को रोकने के लिए कई लॉग-इन प्रयासों को अवरुद्ध करने के लिए एक फ़ायरवॉल नियम जोड़ता है। यद्यपि ये आपके सिस्टम पर काम नहीं कर सकते हैं यदि आपने उपरोक्त का पालन किया है, यदि आपको किसी कारण से केवल SSH को पासवर्ड छोड़ने की आवश्यकता है (आप कई अलग-अलग मशीनों से दूरस्थ लॉगिन, उदाहरण के लिए) तो यह एक शब्दकोश हमले को रोक देगा काम करने से। आपके द्वारा निर्दिष्ट प्रयासों की संख्या के बाद, यह उस आईपी पते से किसी भी अधिक प्रयास के लिए ब्लॉक हो जाएगा। (बस ध्यान रखें कि यह किसी भी रूटर / स्थानीय आईपी पते को नहीं देखता है और बहुत जल्दी या बहुत लंबे समय तक प्रतिबंध लगाता है!)
जोड़ने के लिए संपादित: एक बार जब आप सब कुछ अच्छी तरह से सेट कर लेते हैं, तो अपने एसडी कार्ड का पूर्ण बिट-वार बैकअप लेने के लिए dd या Win32DiskImager जैसे टूल का उपयोग करें। इस तरह, अगर कुछ भी गलत हो जाता है, तो आप इसे उसी कार्ड में पुनर्स्थापित कर सकते हैं या इसे एक नए कार्ड में लिख सकते हैं, और इसकी परवाह किए बिना आगे बढ़ सकते हैं। (लेकिन अगर हैक किया गया है, तो आप यह जानना चाहते हैं कि कौन सा छेद पाया गया था और पहले बंद था, शायद!)