为家用网络中的机器开通一条 SSH 隧道，有风险吗？

• 資深大佬 : vibbow

  可以做 port knocking

• 資深大佬 : ferock

  家用机是什么机器？台式机？笔记本？ nas ？

• 資深大佬 : Sekai

  Windows 平台推荐 Bitvise SSH Server，限制 ip 、证书登录、换端口号、换登录名……还不放心可以做文件加密

• 資深大佬 : gkiwi

  一般没啥问题，所有渠道别用密码，只用 ssh key 登录
  之前某个项目，生产环境是个纯内网部署的，所以为了远程部署，只好开了隧道- –

• 資深大佬 : H0u5er

  我的解决办法更加简单，光猫转换桥接模式，申请公网 IP，路由器自带 VPN 和 DDNS 功能。

  国内范围出差的情况下，通过 DDNS 获取家里的 IP，建立 VPN 隧道。

• 資深大佬 : markgor

  亲身经历：
  服务器：
  frp
  监听:9090 、7000
  密码验证

  本地电脑：
  frp
  密码验证

  被投毒

• 主 資深大佬 : sillydaddy

  @ferock 台式机或笔记本

• 資深大佬 : lifanxi

  禁密码登陆，禁 root，非默认用户，非默认端口，fail2ban，我觉得已经够安全了。不行再加一道端口敲门。

• 資深大佬 : yanzhiling2001

  改 非常用端口 和 20 位大小写字母数字的强密码 基本就没啥问题

• 資深大佬 : SingeeKing

  可以参考 https://community.nssurge.com/d/5，目前用起来很完美

  SSH 一方面比较麻烦，另一方面就是会有各种奇奇怪怪的人试图登录，fail2ban 一不小心自己都无法访问了

• 資深大佬 : Chenamy2017

  #8 的措施以及很好了。安全都是相对的，你花的代价做防守，别人要花更大的代价去攻击，所以别人要不要攻击你取决于你电脑的价值有多少，普通的电脑没有什么价值，所以做一定的措施就可以了，没必要臆想被攻击。

• 資深大佬 : hronro

  用 https://github.com/slackhq/nebula 一年多了，没出现什么安全问题

• 資深大佬 : 0x0000000

  改端口、强密码，基本安全了 99.9%

• 資深大佬 : darrh00

  #12 也用了 nebula 很久，不过最近切换到 https://github.com/tailscale/tailscale 了，nebula 遇到连不上的问题太头疼了。目前来看，tailscale 总体的质量还是高了一大截。

• 資深大佬 : delectate

  没用的。frp，非常用端口，很牛逼的密码，一天大概 5 多万次爆破记录。

  还好我的用户名不是 root，然后看他们就天马行空了，linustorvalds 都写。。。。

• 資深大佬 : Decent

  用 v2 做个路由，内网指定网段走 freedom 就行，xshell 再走代理。

• 資深大佬 : Cu635

  @markgor
  frp 密码复杂程度和用户名如何？

• 資深大佬 : laqow

  套层梯子的服务端再 ssh，梯子出口只开在虚拟机，给一个没权限的账号，这样最多打到虚拟机

• 資深大佬 : zhigang1992

  https://blankwonder.medium.com/surge-guide-轻松访问家中的网络服务-6188ef189ca8

• 主 資深大佬 : sillydaddy

  @markgor #6
  @SingeeKing #10
  @hronro #12
  @darrh00 #14 这些工具 还是第一次听说，谢谢！

  @delectate #15 哈哈。然后呢？ 这么直接应该不可能破解吧。

  感谢大家的建议。看样子设置一个强密码应该就够了啊。

• 資深大佬 : wslzy007

  @sillydaddy 这类需求最好还是走“内网”到“内网”穿透吧，反正都是自己用。推荐试试 sg
  github.com/lazy-luo/smarGate

• 資深大佬 : markgor

  @Cu635 frp 密码大小写应为+数字，长度 13 位。
  粗略复盘并非 frp 的锅，当时是服务器 9090->本地电脑的 3389.
  frp 没开启日志，无法确定是否批量扫的端口。但 frp 服务器尚未有被入侵的痕迹。
  至于 3389 对应的是 server08，由于改机器是给某个部门临时使用的，
  他们密码好像纯数字 8 位数，server 里日志有一大堆登录失败信息，估计是被字典爆破的。

  当时好像是业务需求，港澳地区的需要连接过来这台机操作，
  之前是通过提供 VPN 形式的，但是通过 VPN 形式经常被大陆 ban （一会正常一会异常）
  所以最后才采用 frp 形式临时给他们使用。

• 資深大佬 : scukmh

  frp -> ss -> ssh 。还嫌不安全的话可以在套个 stcp.

• 資深大佬 : gitopen

  @markgor 我也遇到过，前一阵我家里的旧电脑做下载机，用 frp 穿透，突然有一天发现它风扇狂转，打开一看，不知道啥时候被投毒了。。而且是比特币勒索病毒，全盘文件被加密。。由于没啥重要东西，就全盘格式化了。。。

• 資深大佬 : markgor

  说起来突然想起，我们之前也有部署过通过 openvpn 组网，
  asterisk<->sip trunk<->openvpn client-> openvpn server <->openvpn client <-> sip trunk <-> asterisk

  其中 openvpnServer 是部署在公网的，openVpnClient 是部署在私网里的。
  港珠澳三地组网。除香港外稳定性还算可以，公网服务器是 5M 的带宽。

• 資深大佬 : iloveayu

  @darrh00 #14 好东西，感谢分享！

• 資深大佬 : treizeor

  之前无意中用了一款号称国产 xshell 的 finalshell，结果第二天 nas 就被人挂了挖矿脚本，很难让我不怀疑是这个软件的问题。所幸的是我的 nas 跑在内存里的，重启之后所有修改都会被恢复。

• 資深大佬 : markgor

  @gitopen 一样情况，不过我们那台机贪图方便挂载了 smb 网盘，中毒后直接把网盘中文件都加密了。
  复盘时发现他通过 nmap 扫内网(不知道是程序自动扫还是人工)，自动挂载网盘….

• 資深大佬 : gwind

  如何搭建一个安全的私有网络环境
  https://gwind.me/post/computer/wireguard-network/

• 資深大佬 : gitopen

  @markgor 如果有重要文件或数据，就惨了。。。

• 資深大佬 : markgor

  @gitopen
  SMB 里有重要文件，不过有备份策略，凌晨脚本 tar 去另外一个目录的，所以我们损失比较低，业务就损失了 2 天的数据。

• 資深大佬 : wowodavid

  ipsec 套 ssh，ipsec 强密码，ssh 强密码，够安全了。

• 資深大佬 : webshe11

  我的方法和 @scukmh #23 的一样，frp 不要直接转发 SSH 端口，而是套一层 Shadowsocks 。
  这样除了可以保护 SSH，还可以帮助你访问家里的其他服务。

• 資深大佬 : Lee2019

  frp 或者 n2n 都可以

• 資深大佬 : markgor

  其实境内的话，直接服务端装 openVpn，
  内网装个客户端，
  使用证书+密码验证
  这样无论从数据传输到接入，都能保障安全。

  剩下就是提升服务器的安全配置即可了，防止服务器被入侵时顺路爬回你家。

• 主 資深大佬 : sillydaddy

  @markgor #35，是的，服务器被入侵然后顺路入侵本地，也是一个很重要的风险点。毕竟这条入侵路径很明确，服务器被入侵的风险相对也更大。

• 資深大佬 : ansonchuang

  用 zerotier

• 資深大佬 : yanqiyu

  我直接把 ssh 映射到公网，并且加上禁止 root 登录，禁止密码登陆。跑了一年多了，一直有看到扫描（每天 2000+次登录尝试），但是没被黑掉过

• 資深大佬 : faqqcn

  我给我的 3389 加了个二次验证，就是防止前面几环都失效的情况

• 資深大佬 : lx0758

  问题不大, 我家里的服务器跑了 2.5 年, 没啥问题, 就是每天承受吨级扫描, 路由器端口映射服务器的 openvpn 开隧道, 开了之后就和局域网一样了, 想干啥都行