众所周知的原因,最近安全感弱爆了
所以没活硬整
Lucky有个内网穿透功能,配置域名可以做隐藏端口穿透。但是飞牛自带的Lucky默认居然是root的权限,Lucky如果沦陷飞牛也就沦陷了。
如果有IPv6请参考教程:Lucky stun穿透 + Cloudflare 实现无公网 IPv4 访问、端口隐藏与 v4或v6 分流 - 攻略分享 飞牛私有云论坛 fnOS
如果有只有IPv4请参考教程:使用Cloudflare+CDN优选+workers重定向到lucky的ipv4-stun穿透http请求来直连飞牛OS - 攻略分享 飞牛私有云论坛 fnOS
正好家里有闲置的斐讯N1,何不用它安装个Lucky呢?这东西非常省电,之前我用它做软路由全速运行也不过2W
1、刷入Armbian
系统下载链接:Releases · ophub/amlogic-s9xxx-armbian
我选的是Armbian_jammy_arm64_server
刷机、配置软件源网上很多教程,我就不再赘述了。
3、安装Lucky,请参考官方教程。为了极致安全也可以用docker安装,这样Lucky和Armbian也多了一层隔离。
2、安全相关配置
禁止 root 通过 SSH 直接登录
# 创建普通用户(比如用户名叫“n1admin”,可自定义)
adduser n1admin
# 把这个用户加入sudo组(授予管理员权限)
usermod -aG sudo n1admin
# 编辑SSH配置文件
sudo nano /etc/ssh/sshd_config
# yes改为no
PermitRootLogin no
# 修改SSH端口
Port 2222
安装UFW防火墙,禁止一切入站,只放行SSH、Lucky管理两个端口局域网网段、Lucky web代理监听端口公网网段。
# 更新软件源 + 安装
UFW sudo apt update && sudo apt install ufw -y
# 放行SSH、Lucky管理两个端口局域网网段,按自己实行网段、端口配置
sudo ufw allow from 192.168.0.0/24 to any port 2222 proto tcp
sudo ufw allow from 192.168.0.0/24 to any port 16601 proto tcp
# 默认拒绝所有未明确允许的入站流量(核心安全策略)
sudo ufw default deny incoming
# 默认允许所有出站流量(服务器主动访问外部)
sudo ufw default allow outgoing
# 放行Lucky web代理监听端口16667(所有IP)
sudo ufw allow 16667/tcp
# 启用 UFW(使所有规则生效)
sudo ufw enable
# 验证已配置的规则
sudo ufw status numbered
其它的自动封锁IP、邮件通知,还没有研究,等研究会了再分享。
我也是Linux小白,第一次使用,如有不妥,敬请指正。
