树莓派

查看型号:

cat /proc/device-tree/model

Raspberry Pi 4 Model B Rev 1.5

Manjaro

1. 使用 Raspberry PI Imager 将 Manjaro 镜像 (Manjaro-ARM-minimal-rpi4-23.02.img) 烧录到 SD 卡中.
2. 启动树莓派.
3. 通过 ssh 以 root 用户身份登录树莓派 (无需密码).
4. 根据引导完成 OEM 设置, 设置完毕后将自动重启.

安全加固

防火墙

paru -S ufw

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh

sudo ufw enable
sudo ufw status verbose

SSH

1. 禁止 root 用户登录.

   编辑 /etc/ssh/sshd_config, 将 PermitRootLogin 设置为 no.

2. 仅允许通过密钥登录: 禁用密码登录.

   1. 添加 SSH 公钥到树莓派的 ~/.ssh/authorized_keys 文件中.

      Warning

      建议检查能否通过 SSH 公钥登录树莓派, 确认无误后再禁用密码登录.

   2. 编辑 /etc/ssh/sshd_config, 将 PasswordAuthentication 设置为 no.

   Warning

   请保管好 SSH 私钥, 否则将无法登录树莓派. 可以为 SSH 私钥设置密码保护, 并进行备份.

3. 安装 fail2ban: 自动封禁多次尝试登录失败的 IP, 防止暴力破解.

   sudo pacman -S fail2ban
   sudo systemctl enable --now fail2ban
   

   Warning

   如需 IPv6 支持, 请确保版本大于或等于 0.10. 可以通过下面命令查看版本号:

   sudo fail2ban-client version
   

自动审查

[lynis] 是一个自动审查系统安全的脚本, 可以帮助发现潜在的安全问题:

paru -S lynis
sudo lynis audit system

评论