FRP 穿透 SSH - 安全注意事項
重要提醒: 透過 FRP 將本機 SSH 埠對外暴露後,全球任何人(擁有對應連接資訊者)都可能嘗試連線到你的電腦。請務必採取下列安全措施,降低被未授權存取或攻擊的風險。
主要風險
- 公開暴露的 SSH 埠會吸引掃描與攻擊(暴力破解、漏洞利用等)。
- 若使用弱密碼,攻擊者可能在短時間內成功登入,取得系統控制權。
- 配置錯誤或未更新的軟體可能導致遠端執行任意程式或資料外洩。
建議的安全措施(強烈建議採用)
- 使用 SSH 金鑰驗證(取代密碼登入):使用 ed25519 或 rsa(2048+)金鑰,並為私鑰設定強密碼(passphrase)。不要在伺服器上放置私鑰、只放公鑰。
- 禁用密碼登入:在 SSH 伺服器設定中關閉 PasswordAuthentication,強制採用金鑰驗證。
- 禁止 root 直接登入:將 root 登入關閉,使用非特權帳號並搭配 sudo 提權。
- 使用強而唯一的密碼/長密碼短語:若仍需啟用密碼,請使用困難且唯一的密碼。避免短字典詞或重複使用密碼。
- 限制可連入的使用者與來源 IP(允許清單):在 SSH 或防火牆上限制只允許特定帳號與 IP 範圍連線。
- 啟用入侵防護(fail2ban 等):自動封鎖短時間內多次失敗的來源 IP,減少暴力破解風險。
- 定期更新系統與 SSH 軟體:修補漏洞是降低被利用風險的重要步驟。
- 監控與日誌管理:開啟 SSH 登入日誌並定期檢查異常登入與掃描行為。
- 考慮額外的訪問控制層:如 VPN、雙因素驗證(2FA)、jump host(跳板機)或暫時性的動態金鑰方案。
最後的提醒
一旦把 SSH 透過 FRP 暴露到公網,你的主機就處於網際網路的視野中,請以「已公佈」的心態來保護它:使用金鑰、關閉密碼登入、限制存取並啟用監控與自動封鎖機制。這些步驟可以大幅降低被未授權存取的機會。
參考文件:FRP 與 SSH 常見實務。若需加入範例指令或自動化設定,請提出具體需求以便提供範例。