家庭公网 ip 下的安全措施

debian ssh 强制密钥登录就好了，把密码登录关掉。

@tulongtou 谢谢我改下

弱弱问一下 frp 具体干嘛，经常看到，但是没有尝试过，我和楼主挺像的，不过我是 openwrt 做了 esxi 里的主路由，装了 openvpn 再把端口做出去的

@melsp 我是之前没公网 ip 想内网穿透才用的 （主要就 smb 备用线路、ssh 和 nextcloud ）现在虽然有公网 ip 了但是感觉用安全点 毕竟多一层转发也能限 ip

我采用的方式是自建 ss ，只开放 ss 端口，并且家里局域网采用冷门 ip 段。在手机和工作电脑端配置好代理软件就很方便了。

Debian 新建个用户，可以给予 sudo 权限。然后 SSH 禁止 root 登录，平时用这个用户登录，需要 root 再用 su 。该用户再加上证书，禁止密码登陆，只允许证书登录。Linux 就相对安全了。

话说 445 安全吗？感觉还是套个 vpn 或者 ss 最好吧。

有公网 IP 可以不用 frp 了，我的实践经验： 内网有台 Ubuntu 和一台 windows ，以及 nas 上的一堆服务。

windows rdp 端口转发，Ubuntu ssh 端口转发， 访问其他服务 通过 Ubuntu 走 ssh 端口代理，

ssh 密钥登录，rdp 强密码，smb 建议不要开放到公网

有公网 IP 适合打洞的话还是不要用 frp 了，frp 适合没办法打洞才做内网穿透的

我的做法是 ssh 强制密钥登陆，rdp 不暴露到公网，通过 rdp 隧道转发访问

@vitoria ssh 隧道，打错了

不安全。
任何暴露公网的服务都需要长期维护，别管什么协议爆出个漏洞你就得及时更新系统。
所有对外端口全部关闭，只留个 VPN ，相对是最安全的。

建议 DDNS+Open VPN

搭个 vpn

只要协议没漏洞 20 位以上强密码就可以了，你看着攻击记录不糟心就行

@neroxps 445 也是端口转发的 考虑平时会给女朋友看剧用 vpn 会有点麻烦

坚持一个一个原则，减少暴漏面，开放的端口越少越好，端口越高位越好，能为端口设置来源 acl 最好。如果前面做不到，就开 VPN 。或者使用 cf 的一些技术处理。我家有台机器需要长期在外使用 RDP ，如果是从单位连接，我直接做了高位端口映射和 ACL 白名单，因为单位是固定 IP 。其他位置都是通过 WG 再连接。

smb 协议用来文件共享么？强烈推荐换成 WebDAV 。有几个好处：
1. 实际上底层是 https ，还可以加 https 证书，所有流量都经过证书加密，别人抓包都看不到你的内容，密码也不会泄漏。
2. 可以用 File Zilla Pro 或者 FTP Rush 等支持 WebDAV 的下载工具。速度比 FTP 还快，宽带可以跑满全速。
3. 可以用 nPlayer 之类支持 WebDAV 的在线播放工具，在外网或者公网可以直接播放视频，带字幕。
4. 可以用本站推荐的 Ever Play 直接播放内网的 MP3 ，支持歌词显示。

@yqlian smb 目前就是用来外网用 nplayer 看剧 因为 windows 原生带这个就直接用了当时
谢谢我也准备改 webdav 了 好像 win10 有自带的我试试 这样端口转发暴露公网应该会更安全点 也不用走 vpn 了

话说 445 安全吗？感觉还是套个 vpn 或者 ss 最好吧。
@Leslie5205912 看剧套个 webdav 安全很多。至少只能下载不能上传啊。445 有命令通道。隔三差五会爆 0day

@neroxps 明白了 已改 webdav 谢谢!!

直接 VPN ，VPN 的成熟度和漏洞挖掘比较充分，那些野生的 docker 服务鬼知道有啥漏洞

有公网 IP 就不要暴露服务了，我目前使用的是 Wireguard ，暴露的微服务只允许腾讯云 Cdn 回源 IP 访问，这样也能防止运营商探测。