步驟1：保留您的Pi已更新！

sudo rpi-update

該命令將自動(dòng)更新Raspberry Pi的固件，然后要求重新啟動(dòng)。如果您的Pi已經(jīng)是最新的，則可以繼續(xù)：

sudo apt-get update

sudo apt-get upgrade

現(xiàn)在，您已經(jīng)擁有最新，最強(qiáng)大的固件和軟件！

步驟2：Pi密碼

理想情況下，我們將禁用默認(rèn)的 pi 帳戶，至少要設(shè)置您的pi帳戶的默認(rèn)密碼。另一個(gè)主要的安全保護(hù)措施是，大多數(shù)用戶都啟用了SSH（安全套接字共享）和VNC（虛擬網(wǎng)絡(luò)計(jì)算機(jī)），以便他們可以遠(yuǎn)程訪問其計(jì)算機(jī)。我不建議在運(yùn)行公開的Web服務(wù)器時(shí)允許網(wǎng)絡(luò)之外的訪問。

步驟3：上網(wǎng)

您有多個(gè)設(shè)備連接到WiFi路由器，那么如何告訴外界Raspberry Pi的服務(wù)位置呢？讓我們?cè)诼酚善髦圃焐痰呐渲霉ぞ咧惺煜ぢ酚善鞯母呒?jí)設(shè)置。大多數(shù)家庭網(wǎng)絡(luò)使用以下公共IP地址之一作為其Internet網(wǎng)關(guān)：

http://192.168.0.1/

http://192.168.1.1/

http://10.0.0.1/

您將需要登錄到路由器的配置工具。用戶名和密碼應(yīng)在設(shè)置時(shí)分配。首先，我們需要為Raspberry Pi保留一個(gè)IP地址，以便定期使用。通常，路由器將具有DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）設(shè)置部分，列表和綁定等。RaspberryPi和LAN上的所有其他設(shè)備應(yīng)在此處列出。希望您的路由器將具有一個(gè)直觀的界面，該界面對(duì)于如何將IP地址分配給設(shè)備或MAC地址很有用。如果其他所有方法均失敗，請(qǐng)查閱制造商的說明。

Web請(qǐng)求的默認(rèn)端口為80。除非Internet服務(wù)提供商不允許端口80，否則您可以保留默認(rèn)端口。路由器配置的下一步為使路由器將端口80上的所有傳入請(qǐng)求轉(zhuǎn)發(fā)到Raspberry Pi。通常稱為端口轉(zhuǎn)發(fā)或端口范圍轉(zhuǎn)發(fā)。您將需要關(guān)聯(lián)Raspberry Pi的IP地址，以便它將在端口80或您認(rèn)為最合適的任何端口上接收所有傳入請(qǐng)求。最安全的Web服務(wù)器是未連接到Internet的服務(wù)器；-）其次，我們應(yīng)該限制apache conf文件中的訪問，以僅允許我們的IP和我們已知的IP。您還可以允許Telnet，F(xiàn)TP，SSH，VNC等，但除非您熟悉與此類服務(wù)相關(guān)的安全隱患，否則我不建議您這樣做。

步驟4：為自己獲取域名

http://www.YOUR_CUSTOM_DOMAIN.ddns.net

在路由器的高級(jí)配置設(shè)置中檢查DDNS（動(dòng)態(tài)域名服務(wù)）設(shè)置。大多數(shù)路由器將支持以下一項(xiàng)或多項(xiàng)：http：//www.dyn.com、http：//www.noip.com，其他許多路由器也會(huì)在Google上搜索“動(dòng)態(tài)DNS”。該服務(wù)將提供注冊(cè)域名以與您的Internet服務(wù)提供商分配給您的動(dòng)態(tài)IP地址關(guān)聯(lián)的功能。通常，當(dāng)您分配的IP地址更改時(shí)，下載或安裝的路由器或軟件插件會(huì)更新動(dòng)態(tài)DNS服務(wù)的數(shù)據(jù)庫。

步驟5：通過隱蔽性進(jìn)行安全性

“在安全工程中，通過隱蔽性進(jìn)行安全性（或通過隱蔽性進(jìn)行安全性）是對(duì)設(shè)計(jì)或?qū)崿F(xiàn)的保密性的依賴，這是為系統(tǒng)或系統(tǒng)組件提供安全性的主要方法。依賴模糊性的系統(tǒng)或組件可能具有理論或?qū)嶋H的安全漏洞，但是其所有者或設(shè)計(jì)者認(rèn)為，如果不知道這些缺陷，則足以阻止成功的攻擊。安全專家早在1851年就拒絕了這種觀點(diǎn)，并建議模糊性永遠(yuǎn)不應(yīng)是唯一的安全機(jī)制。”

https://en.wikipedia.org/wiki/Security_through_obs.。.

我們經(jīng)常依靠某種模糊性來確保我們的安全。 “如果他們不知道，他們將無法使用它進(jìn)入?！逼胀ǖ募矣瞄T鎖只有這么多組合，但是我們可以依靠前門的鎖，因?yàn)槲覀冎佬⊥禃?huì)擁有嘗試各種組合或打破常規(guī)。但是，在Internet上，誰在監(jiān)視您的前門，所以小偷無法嘗試所有組合？幸運(yùn)的是，我們的Web服務(wù)器具有一個(gè)access.log文件，該文件將自動(dòng)為我們更新和存檔。讓我們從那里開始，看看是否有人在您的Web服務(wù)器上留下了自己的“足跡”。

步驟6：日志潛水

在Raspberry Pi上運(yùn)行LAMP設(shè)置，打開一個(gè)終端窗口，然后鍵入以下內(nèi)容：

cd /var/log/apache2/

zcat access.log* | awk ‘{print $1}’ | sort -n | uniq -c | sort -nr | head -20

輸出應(yīng)該是兩列的列表，其中一列包含計(jì)數(shù)的條目數(shù)，第二列是與每個(gè)Web請(qǐng)求關(guān)聯(lián)的IP地址。從反向IP查找中獲取最多信息的最簡單方法是使用以下命令：

curl ipinfo.io/REPLACE.WITH.IP.ADDRESS.TO.LOOKUP

安裝某些工具后，您可以進(jìn)行一些挖掘，而不必依靠外部Web服務(wù)。 Pi默認(rèn)不包含的內(nèi)容：

sudo apt-get install geoip-bin

geoiplookup IP.ADDRESS

此處是有關(guān)使用geoiplookup的很好的文章。 Pi默認(rèn)不包括更高級(jí)的挖掘：

sudo apt-get install dnsutils

dig -x IP.ADDRESS

該位置似乎可疑嗎？嘗試對(duì)活動(dòng)進(jìn)行g(shù)repping， zgrep 命令包含壓縮文件：

zgrep ‘IP.ADDRESS’ access.log* -1

通過查看從IP地址發(fā)出的Web請(qǐng)求，您可以確定活動(dòng)是否可疑。通常，您會(huì)發(fā)現(xiàn)這些IP地址來自尋找安全性漏洞的漫游器。您可以手動(dòng)將IP地址屏蔽到您的黑名單中，也可以全部拒絕并允許選擇IP地址。如果尚未安裝，則需要安裝和設(shè)置防火墻。

步驟7：Apache Web服務(wù)器

請(qǐng)注意：本文中的代碼部分在不同設(shè)備上的顯示方式有所不同。在移動(dòng)設(shè)備上使用Instructables應(yīng)用程序時(shí)，代碼缺少行尾。大多數(shù)Web瀏覽器似乎都可以正常工作。

如果您要在全球范圍內(nèi)提供Web內(nèi)容，那么您最終將希望采用某種黑名單或排除列表，在其中可以阻止訪問特定IP地址您的服務(wù)器。但是，如果您想加強(qiáng)安全性并只允許選擇一些訪問權(quán)限，則需要進(jìn)行一些更改。

cd /etc/apache2

sudo cp apache2.conf apache2.conf.bak sudo vi apache2.conf

OR

sudo nano apache2.conf

向下瀏覽文件，直到到達(dá)允許所有人從外部訪問您的Web服務(wù)器的本節(jié)：

Options Indexes FollowSymLinks

AllowOverride None

Require all granted

AllowOverride 指令設(shè)置為 無 ，這意味著我們不會(huì)使用.htaccess文件覆蓋這些設(shè)置。下一個(gè)指令 Require 設(shè)置為所有已授予，表示允許任何人訪問。

請(qǐng)注意：我在日志文件中發(fā)現(xiàn)了大量的bot請(qǐng)求，使用phpmyadmin監(jiān)聽了我們的請(qǐng)求，請(qǐng)確保限制訪問權(quán)限：

Order Deny， Allow

Deny from All

# localhost

Allow from 127.0.0.1

# Local-Area Network

Allow from 192.168.0

接下來，我們可以添加一個(gè)我們要保護(hù)的目錄：

Options Indexes FollowSymLinks

AllowOverride All

AllowOverride 指令設(shè)置為 全部 表示我們將使用.htaccess文件覆蓋這些設(shè)置。我們將在.htaccess文件中的指定目錄（本例中為“/var/www/html/hydroMazing/”

）中提供 Require 指令。 # AccessFileName： The name of the file to look for in each directory

# for additional configuration directives. See also the AllowOverride

# directive.

AccessFileName .htaccess

您可以在此處將.htaccess文件的名稱更改為更難以猜測的名稱。將點(diǎn)保留在開頭，因?yàn)檫@意味著隱藏文件。發(fā)揮您的想象力！

現(xiàn)在，您可以將.htaccess文件用作白名單或包含列表：

要?jiǎng)?chuàng)建.htaccess（或任何您命名的文件）文件：

cd /var/www/html/mydirectory/ sudo vi .htaccess

OR

sudo nano .htaccess # Allow access to localhost

Require ip 127.0.0.1

# Allow access to my cell phone

Require ip 98.97.34.23

第二個(gè)示例是一個(gè)示例，請(qǐng)將其更改為您的IP地址，或者Web服務(wù)器記錄的IP地址。

保存并關(guān)閉文件。您可以根據(jù)需要添加其他訪問權(quán)限。

步驟8：讓每個(gè)人都使用前門

首先，讓我們強(qiáng)迫任何來訪的人我們的Web服務(wù)器使用前門

cd /etc/apache2

sudo cp apache2.conf apache2.conf.bak sudo vi apache2.conf

OR

sudo nano apache2.conf

向下瀏覽文件，直到到達(dá)此部分為止添加針對(duì)404和405錯(cuò)誤的重定向：

。..

# AccessFileName： The name of the file to look for in each directory

# for additional configuration directives. See also the AllowOverride

# directive.

AccessFileName .htaccess

ErrorDocument 404 /

ErrorDocument 405 /

。..

保存并關(guān)閉文件。

設(shè)置訪問權(quán)限列表

cd /var/www/html/ sudo vi .htaccess

# localhost

Require ip 127.0.0.1

保存并關(guān)閉文件。

重復(fù)您的管理目錄

cd /var/www/html/admin/ sudo vi .htaccess

# localhost

Require ip 127.0.0.1

保存并關(guān)閉文件。

第9步：允許訪問的Web界面

我要與大家分享我為HydroMazing Smart Garden System制作的簡單Web界面。

我使用PHP編寫了基本界面，用于讀取和寫入文件，從而使用戶可以添加或刪除IP地址。從他們的.htaccess文件中下載。

下載文件并解壓縮到您的下載目錄，然后將其復(fù)制到Web服務(wù)器的基本目錄中部門：

sudo cp -R /home/pi/downloads/*.php /var/www/html/

更改權(quán)限：

sudo chmod -R www-data:www-data /var/www/html/* sudo chown -R 755 /var/www/html/*.php

等等！沒那么快！

我們應(yīng)該通過SSL連接保護(hù)用戶名和密碼。

https://hallard.me/enable-ssl-for-apache-server-in- 5分鐘/

第10步：筑墻

安裝開源防火墻構(gòu)建器

Pop從Raspberry Pi的桌面打開一個(gè)終端，然后鍵入以下內(nèi)容：

sudo apt-get install fwbuilder

安裝完成后，您將擁有一個(gè)新的防火墻構(gòu)建器GUI的桌面上“菜單/Internet”選項(xiàng)下的“選項(xiàng)”。

添加新防火墻，并將其命名為與服務(wù)器相同的名稱。

選擇“ Web服務(wù)器”模板加載默認(rèn)規(guī)則。請(qǐng)注意，默認(rèn)規(guī)則限制您的服務(wù)器訪問外部Internet。為了允許訪問，您需要添加一條規(guī)則。添加規(guī)則的最簡單方法是復(fù)制與您的需求相似的現(xiàn)有規(guī)則。

步驟11：編譯并安裝

我們可以通過此接口構(gòu)建防火墻，但由于沒有足夠的權(quán)限寫入文件系統(tǒng)，因此無法安裝防火墻。假設(shè)您為服務(wù)器命名的名稱與DDNS名稱相同，請(qǐng)?jiān)诮K端窗口的命令行中輸入以下內(nèi)容：

sudo mkdir /etc/fw sudo touch /etc/fw/servername.ddns.net.fw sudo chmod 777 /etc/fw/servername.ddns.net.fw

現(xiàn)在，您應(yīng)該能夠使用防火墻生成器程序來編譯和安裝防火墻。您可以重新啟動(dòng)apache Web服務(wù)器，也可以直接重新啟動(dòng)。

責(zé)任編輯：wv