如何保护Raspberry Pi在通过宽带网络连接的IoT设置中免受攻击？

设置：

我有一个Raspberry Pi作为主节点，它通过宽带连接连接到Internet，Raspberry Pi连接了多个传感器和其他微控制器。Pi一直连接到Cloud Hosting Provider上的服务器。

问题是：

• 如何阻止未经授权的用户访问我的树莓派？
• 如何防止Pi受到DDoS攻击？
• 如何使用DDNS（动态DNS）访问Pi？

“ 保护小型家庭自动化设置的安全性 ”问题为常规安全性提示提供了有用的参考，但是还应遵循一些特定的步骤来保护Raspberry Pi的安全。

史蒂夫·罗比拉德（Steve Robillard）对Raspberry Pi Stack Exchange上的一个问题的回答概述了使用可以解决的Pi的一些具体问题，例如更改默认密码，使用iptables等。他还非常有用地链接到Securing Debian手册，尽管庞大，令人难以置信的全面，涵盖了大多数主要问题。

由于您很可能会通过SSH连接到Pi，因此请考虑基于密钥的身份验证而不是使用密码-与潜在的弱密码不同，即使是坚定的攻击者，也几乎无法猜测SSH证书。如链接文章中所述，还可以查看Fail2ban，它会IP阻止任何显示恶意迹象（例如，错误的密码猜测）的用户。

关于您的DDoS问题：如果有人决定对您的Pi发起DDoS攻击，则您的机会很小。某些攻击可能会达到665 Gbps，这是Pi无法防御的。但是，我会提出一个问题：为什么攻击者想对您的Pi进行DDoS？拒绝您的服务可能不会给攻击者带来太大的好处，许多IoT设备正被黑客攻击以参与DDoS攻击。

不过，如果你是很偏执，你也许可以白名单的设备，你的皮被预计将连接到，并简单地丢弃任何其它数据包iptables。由您决定是否值得解决该问题。

关于DDNS，我发现HowToGeek的指南非常清楚-本质上，您需要检查路由器的DDNS设置并进行配置。NoIP拥有大多数主要路由器型号的屏幕截图。您可能会希望有更好的机会单独询问（并且您可能已经在Super User上找到了答案）。

如果您想免受dDoS的影响，请与Aurora0001的答案一起使用，您应该选择使用Cloudflare等服务。通过将您的DNS记录指向服务器并保护您的域/服务器，它可以保护您免受dDoS攻击。 DDoS预防：保护起源

好的。鉴于到目前为止的评论，这是我的处理方式：

1. 通过任何合格的提供商设置DDNS。
2. 在PI上设置OpenVPN，并将UDP端口1194（或您在其上设置的任何端口）从路由器路由到PI。与PI的所有外部连接都必须具有正确配置的OpenVPN客户端（您甚至可以使用电话！）
3. 作为辅助措施，使用IPTables在PI上保护入站访问。手工完成工作很麻烦，因此请安装Webmin（Debian）进行配置。在这里，用Google搜索以针对DDOS强化IPT​​ables配置的方法。

您可能更喜欢其他一些VPN，但由于它具有难以置信的灵活性，我已经使用OpenVPN大约十年了。