RPiを見ると、いくつかのことを行う限り、箱から出してかなり安全なデバイスのように見えます。
デフォルトのユーザー/パスの変更が必要です。少なくとも、パスワードを変更してください。セキュリティを強化するために、ユーザー名も変更します。(新しいユーザーを追加し、PIを無効にします。ルートがSSHログインからも無効になっていることを確認しますが、とにかくデフォルトであると思います。)
RPiをスキャンすると、1つの開いているポート22(SSH接続)のみが返され、表示する前にオンにする必要があります(ほとんどの人はモニター、キーボード、マウスの代わりに使用しますが、特に{web}サーバー)
SSHポート番号を変更することもできますが、ポートスキャンは簡単にできるため、それほど大きなことはありません。代わりに、SSH-Key認証を有効にします。
正しいSSHキー、ユーザー名、パスワードがなければ、だれもマシンにアクセスする方法はありません。
次に、ウェブサーバーを設定します。Apacheはまさにその場所にあります。これはデフォルトとしてポート80に座って監視し、ブラウザからの接続に自動的に応答して、Webページを提供します。
ファイアウォールまたはルーターがある場合は、RPiポートを変更し、ルーターにトラフィックを1つのポートから別のポートに転送させることができます。たとえば、ルーターへのポート80のトラフィックはRPiのポート75にリダイレクトされ、22のSSHはポート72にリダイレクトされます。これにより、別の保護層が追加されますが、少し複雑です。
明らかに、すべてを更新してパッチを適用してください。
これは、後で追加する可能性のあるJava、フラッシュ、SQLサーバーなどを悪用する攻撃からユーザーを保護しませんが、実際には基本的なものです。
また、ファイアウォールを追加することもできます。これにより、新しいサービスをインストールすると、システムにアクセスする人が別のポートにアクセスするのが遅くなります。ルーターはそれを処理する必要がありますが、直接接続されている場合は、セットアップして、どれだけ時間がかかるかを問わず実行することもできます-システムリソースの妨げにはなりません。
追加したいもう1つのことはfail2ban(http://www.fail2ban.org/wiki/index.php/Main_Page)です。これは、複数のログイン試行をブロックするファイアウォールルールを追加し、辞書攻撃を防ぎます。上記に従っている場合、これらはシステム上では機能しませんが、何らかの理由でパスワードのみのSSH認証を残す必要がある場合(たとえば、多くの異なるマシンからのリモートログイン)、辞書攻撃を防ぎます仕事から。指定した試行回数の後、そのIPアドレスからのそれ以上の試行はしばらくブロックされます。(ルーター/ローカルIPアドレスが表示されないように注意し、それを早すぎるまたは長すぎる時間禁止します!)
追加して編集:すべてがうまくセットアップできたら、ddやWin32DiskImagerなどのツールを使用して、SDカードの完全なビット単位のバックアップを作成します。そうすれば、何か問題が発生した場合、同じカードに復元したり、新しいカードに書き込んだりして、関係なく続行できます。(ただし、ハッキングされた場合は、見つかった穴を特定して、おそらく最初に閉じたいと思うでしょう!)