背景:吃灰树莓派 3b+,移动公网 ipv6 ,cloudflare ddns ,docker 跑的navidrome(web 音乐流媒体服务)。
非 root 用户,密码管理器生成强密码,开启了 ufw 防火墙,v6 仅开放两个高位端口:xxxxx (偶尔需要 VNC )和 xxxxx ( navidrome ),拒绝其他所有端口公网入站。
疑问:
1.没有绝对安全,上述措施是否能够应对绝大部分潜在攻击者,还能做些什么加强防护?
2.在 example.com 已配置 ssl 证书( cloudflare 托管)的情况下,能否为子域 sub.example.com:xxxxx 单独配置 HTTPS ,或是让主域的 ssl 在子域也生效?
非专业人士,网络基础匮乏,还请前辈们不吝赐教,感谢阅读和回复,祝好!
1
dcty 2022-04-21 14:04:46 +08:00 via iPhone
1 ,不需要做啥了
2 ,证书可以申请泛域名 |
2
Buges 2022-04-21 14:07:34 +08:00 via Android
最简单的用 caddy 的 on-demand tls ,想写什么子域写什么子域,启动之后自动申请对应的证书。
|
3
huaes 2022-04-21 14:17:41 +08:00
其实安全问题我们真的想多了,又不是什么高价值目标,攻击是要花钱的
|
4
photon006 2022-04-21 14:22:45 +08:00
再跑一个 fail2ban
sudo apt install fail2ban -y |
5
deplivesb 2022-04-21 16:38:17 +08:00
一个 fail2ban bantime =1w 能解决 90%的话里花哨的安全问题
|