Home Zdalny dostęp do Raspberry Pi Remote IoT: prosty i bezpieczny sposób na przejęcie kontroli z dowolnego miejsca

Zdalny dostęp do Raspberry Pi Remote IoT: prosty i bezpieczny sposób na przejęcie kontroli z dowolnego miejsca


Dlaczego i jak bezpiecznie uzyskać zdalny dostęp do zdalnego IoT Raspberry Pi

Zanim dotkniemy publicznego adresu IP lub spróbujemy przekierować porty na routerze NAT, dopasujmy podstawowe opcje, które posiadasz. Niektóre metody są idealne dla sieci lokalnej. Inni pracują przez Internet. Niektóre z nich są ryzykowne, jeśli są źle skonfigurowane. Sprawa będzie jasna i możliwa do podjęcia.

Małe przypomnienie o ryzyku: otwarte usługi są stale skanowane. Botnety takie jak Mirai nadal rekrutują podatny na ataki sprzęt IoT i przeprowadzają masowe ataki DDoS. Cloudflare 

Zanim zaczniesz: włącz SSH i podstawową higienę

Czysta konfiguracja sprawia, że ​​wszystko inne staje się łatwiejsze. Oto przygotowanie, które się opłaca:

  • Włącz SSH w oficjalny sposób.W bieżącym systemie operacyjnym Raspberry Pi serwer SSH jest domyślnie wyłączony ze względów bezpieczeństwa. Włącz go w konfiguracji Raspberry Pi lub wprowadź sudo raspi-config, a następnie „Opcje interfejsu” → SSH. Możesz także obrócić go w Raspberry Pi Imager w trybie zaawansowanymustawieniapodczas flashowania.
  • Zaktualizuj i uruchom ponownie.W wierszu poleceń Raspberry Pi lub w powłoce SSH uruchom sudo apt update i sudo restart, aby rozpocząć od stanu z poprawką.
  • Poznaj adres IP Raspberry Pi.Na Pi,nazwa hosta -Ipokazuje Twój wewnętrzny adres IP w tej samej podsieci. Interfejs routera wyświetla go również według adresu MAC.
  • Ustaw statyczny adres IP w sieci LAN.Albo skonfiguruj statycznie na Pi, albo dokonaj rezerwacji DHCP według adresu MAC, aby docelowy cel połączenia zdalnego nie poruszał się. Jeśli później dodasz dynamiczny DNS lub dowolną metodę „dotrzyj do mnie w domu”, pozwoli to uniknąć nieporozumień.
  • Twórz klucze SSH i wyłączaj hasła.Klucze zapewniają silniejsze połączenie SSH niż hasła. Poniżej będziemy jeszcze bardziej utwardzać.

Po zapoznaniu się z takimi podstawami wybierz ścieżkę, która pasuje do Twojej pracy. Czy potrzebujesz tylko zdalnego terminala lub pełnego zdalnego pulpitu? Lub okno przeglądarki do serwera WWW działającego na Pi. Wybierz tutaj swój pas.

Wybierz pas dla zdalnego połączenia

Każde podejście poniżej opisuje, do czego jest najlepsze i na co warto zwrócić uwagę:

Klient SSH do kontroli z wiersza poleceń

  • Co to jest: bezpieczna zdalna powłoka do uruchamiania poleceń, edytowania plików, wdrażania kodu lub dzienników końcowych. Użyj swojego ulubionego klienta SSH na użytkownikach systemu Windows (PuTTY lub wbudowany OpenSSH), użytkownikach systemu Linux lub terminalu macOS.
  • Gdzie się wyróżnia: systemy bezobsługowe, skrypty, haki CI i szybkie poprawki.
  • Uwaga dotycząca bezpieczeństwa: zachowaj klucze SSH, wyłącz logowanie za pomocą hasła i unikaj ujawniania portu 22 w Internecie. Omówimy to w części dotyczącej hartowania.

Serwer VNC dla pełnego zdalnego pulpitu

  • Co to jest: wizualny dostęp do graficznego interfejsu użytkownika Pi. Włącz serwer VNC i połącz się z VNC Viewer z laptopa lub urządzenia mobilnego. System operacyjny Raspberry PiobsługujeWayVNC i RealVNC.
  • Gdzie błyszczy: narzędzia wizualne, IDE, podglądy z kamer i nowicjusze, którzy wolą ekran.
  • Uwaga dotycząca bezpieczeństwa: narzędzia zdalnego pulpitu są celem. W połowie 2024 r. TeamViewer ujawnił incydent cybernetyczny, który jest pomocnym przypomnieniem o konieczności aktualizowania i blokowania stosów pulpitu zdalnego.

Raspberry Pi Connect zapewniający dostęp przez przeglądarkę z dowolnego miejsca

  • Co to jest: oficjalna, bezpieczna usługa zapewniająca Raspberry Pi zdalny dostęp do pulpitu i wiersza poleceń z przeglądarki za pomocą WebRTC. Towystrzelonyw 2024 r. i opuścił wersję beta w 2025 r. z ulepszeniami wydajności.
  • Gdzie błyszczy: szybki globalny dostęp bez własnych tuneli zwrotnych i przekierowania portów.
  • Uwaga dotycząca bezpieczeństwa: nadal stosuj najmniejsze uprawnienia i aktualizuj system operacyjny.

Wbudowany serwer WWW lub API dla Twoich projektów IoT

  • Co to jest: eksponuj tylko to, czego potrzebuje projekt, na przykład pulpit nawigacyjny metryk na porcie 80 lub 443.
  • Gdzie to się wyróżnia: proste interfejsy użytkownika, przyjazne dla urządzeń mobilnych elementy sterujące lub połączenia maszyna-maszyna z innych komputerów z systemem Linux.
  • Uwaga dotycząca bezpieczeństwa: chroń za pomocą protokołu TLS, certyfikatu serwera i autoryzacji. Nie publikuj całego Pi światu dla małej strony.

Po wybraniu trasy najpierw stwórz solidną sieć LAN. Następnie zdecyduj, w jaki sposób dotrzesz do Pi z zewnątrz, bez tworzenia celu publicznego.

Najpierw przetestuj w sieci lokalnej

Testowanie w sieci LAN oszczędza czas i stres. Zrób to przed dotknięciem Internetu.

  • Znajdź Pi w zasobniku systemowym lub na liście routerów. W systemie operacyjnym Raspberry Pi ikona sieci pomaga potwierdzić, że jesteś online.
  • Użyj połączenia Raspberry Pi w tej samej sieci Wi-Fi, aby przetestować dostęp do przeglądarki. Lub otwórz sesję SSH i sprawdź, czy monit powłoki szybko reaguje.
  • W przypadku Raspberry Pi zdalnie za pomocą VNC otwórz menu ikon Raspberry Pi → Preferencje → Konfiguracja → zakładka Interfejsy → VNC, a następnie połącz się z klienta VNC.

Jeśli wszystko jest w porządku w sieci lokalnej, jesteś gotowy na bezpieczny dostęp do Internetu.

Unikaj ryzykownego przekierowania portów i narażenia opinii publicznej

Kuszące jest przekazanie światu protokołu TCP 22 i zakończenie tego. Proszę nie. Przekierowanie portów tworzy szeroką powierzchnię ataku, zaprasza ruch typu brute-force i zależy od tego, czy Twój zewnętrzny adres IP pozostanie niezmieniony. Badania i doradztwo zachowajostrzeżenieo ujawnionych usługach SSH i starszych protokołach.

Dwa przykłady pokazujące stawkę:

  • Botnety nadalrekrutodsłonięte floty urządzeń IoT. Rodzina Mirai pozostaje aktywna i skuteczna, umożliwiając ataki na rekordową skalę, gdy znajdą słabe urządzenia.
  • Projekt Raspberry PiwyłączaDomyślnie SSH, aby zapobiec łatwym przejęciom przy użyciu domyślnych kredytów. Oto jak powszechne są ataki wykorzystujące Internet.

Jeśli naprawdę musisz coś opublikować, nigdy nie ujawniaj całego pudełka. Użyj przynajmniej kluczy SSH, przejdź na niestandardowy port z ograniczeniem szybkości i umieść odwrotne proxy z uwierzytelnianiem przed wąską trasą serwera WWW. Jeszcze lepiej, preferuj te alternatywy:

  • Użyj Raspberry Pi Connect, aby uzyskać dostęp do przeglądarki za pomocą sieci WebRTC typu peer-to-peer. Brak konfiguracji routera, mniejsza ekspozycja.
  • Skorzystaj z renomowanej usługi tunelu zwrotnego lub agenta, który uwierzytelnia się za pomocą tokena uwierzytelniającego i nigdy nie otwiera surowego SSH na 0.0.0.0.
  • Użyj prywatnej nakładki VPN, gdy musisz połączyć się z siecią LAN z drogi. Omówimy, w jaki sposób VeePN pomaga w warstwie prywatności i niezawodności.

Ustaw statyczny adres IP i znajdź adres IP Raspberry Pi

Nie można zdalnie zarządzać urządzeniem, jeśli jest w ruchu.

Statyczny adres IP w sieci LAN.Albo ustaw statyczny adres IP na Pi, albo, co jest lepsze dla większości ludzi, dokonaj rezerwacji DHCP według adresu MAC w routerze, aby wewnętrzny adres IP pozostał stały.

Znalezienie tego później:
zokno terminala, ip a lub nazwa hosta -I na Pi.
NaKomputer z Linuksemlub macOS, polecenie ping raspberrypi.local działa w większości sieci.
NAUżytkownicy Windowsamaszyny, arp -a wyświetla listę urządzeń.

Dzięki stabilnemu adresowi IP zablokuj punkty wejścia.

Wzmocnij swój serwer SSH pod kątem zdalnego dostępu SSH

Możesz zapewnić bezpieczeństwo zdalnego dostępu SSH, jeśli dodasz kilka rygorystycznych reguł.

  • Tylko klucze, bez haseł.Wygeneruj klucze SSH i wyłącz uwierzytelnianie hasłem tak. Klucze zatrzymują brutalną siłę przy drzwiach.
  • Lista dozwolonych użytkowników i podsieci.W sshd_config ustaw opcjęAllowUsers i ogranicz do znanych kont lub podsieci zarządzania, jeśli korzystasz tylko z sieci LAN.
  • Zmień port i limit szybkości.Niestandardowe porty redukują szumy kłód. Narzędzia takie jak Fail2ban Blunt Brute Force.
  • Krótkie sesje, długie zaufanie.Ogranicz limity czasu bezczynności i rozważ wymaganie klucza sprzętowego w celu uzyskania uprzywilejowanego dostępu.
  • Pozostaw wersję 1 wyłączoną.Używaj tylko protokołu SSHv2. CISAprzewodnictwookreśla starsze protokoły, takie jak SSHv1, jako niebezpieczne.
  • Zawęź to, co eksponujesz.Jeżeli kiedykolwiek zechcesz połączyć się z Internetem, zrób to tymczasowo, monitoruj logi w czasie rzeczywistym i zamknij je zaraz po zakończeniu pracy.

Zdalny dostęp do Raspberry Pi z zewnątrz, bezpiecznie

Oto trzy praktyczne plany zdalnego łączenia się z dowolnego miejsca bez przekształcania Pi w cel publiczny.

Skorzystaj z Raspberry Pi Connect

Przełącz to w systemie operacyjnym Raspberry Pikonfiguracjai zaloguj się. Otrzymujesz adres URL, który umożliwia sesję peer-to-peer na komputerze stacjonarnym i CLI bez kłopotów z routerem. Idealne do laptopów i szybkich kontroli w terenie.

Użyj tunelu zwrotnego opartego na agentach

Przykładami są lekkie agenty, które łączą się z Pi z brokerem, a następnie zezwalają na sesje za pomocą tokena uwierzytelniającego. Możesz udostępnić pojedynczy serwer SSH, serwer WWW lub strumień z kamery. Aktualizuj agentów, ustalaj zakres uprawnień i często zmieniaj tokeny.

Podczas podróży korzystaj z prywatnej nakładki VPN

Gdy korzystasz z hotelowej lub lotniskowej sieci Wi-Fi, użyj zaufanej sieci VPN do szyfrowania ruchu, aby szpiegujący w tej samej sieci nie mogli ingerować w Twoją sesję SSH ani podsłuchiwać danych uwierzytelniających. Publiczne sieci Wi-Fi są rutynowo wyróżniane ze względu na słabą izolację i ryzyko podsłuchu.

Niezależnie od tego, którą ścieżkę wybierzesz, kilka małych nawyków może pomóc.

Szybka lista kontrolna umożliwiająca bezpieczne łączenie i zdalne sterowanie

  • Zmień domyślnego użytkownika, ustaw długie hasło, a następnie przejdź tylko do kluczy SSH.
  • Aktualizuj system operacyjny. Wiele kompromisów IoT wynika ze starych pakietów.
  • Nie uruchamiaj swojego Pi w „trybie IoT slave” z pełnym zaufaniem do nieznanych kontrolerów. Paruj tylko z usługami, które kontrolujesz.
  • Jeśli korzystasz z serwera VNC, wymagaj silnego hasła i protokołu TLS i nigdy nie publikuj surowego VNC pod publicznym adresem IP. Problemy z bezpieczeństwem w stosach pulpitu zdalnego pojawiają się regularnie, więc aktualizacje mają znaczenie.
  • Jeśli musisz udostępnić serwer WWW, użyj co najmniej TLS, certyfikatu serwera i podstawowego uwierzytelniania.
  • Udokumentuj następujące polecenie uruchomione w celu konfiguracji, aby móc później powtórzyć je na większej liczbie płyt Pi i maszynach z systemem Linux.

Praktyczne: minimalna konfiguracja, którą możesz ponownie wykorzystać

Możesz wkleić je w sesji ikon terminala lub powłoce SSH:

  1. Włącz usługi i aktualizację

sudo raspi-config # Interfejsy → SSH lub VNC

sudo apt aktualizacja && sudo apt -y aktualizacja

sudo, uruchom ponownie komputer

  1. Utwórz nowego użytkownika i klucze

# na swoim laptopie:

ssh-keygen -t ed25519

ssh-copy-id pi@<wewnętrzny adres IP>

# na Pi: zablokuj

sudo nano /etc/ssh/sshd_config

# zestaw: HasłoNr uwierzytelnienia

sudo systemctl uruchom ponownie ssh

  1. Opcjonalna jakość usług
  • Bezgłowa lampa błyskowa z Raspberry Pi Imager i wstępnie skonfigurowaną siecią Wi-Fi, włącz SSH i nazwę hosta.
  • Zarezerwuj statyczny adres IP według adresu MAC w routerze.
  • Jeśli tytestzdalny pulpit, zainstaluj serwer VNC i połącz się z VNC Viewer.

Dlaczego VeePN pomaga w zdalnym sterowaniu Raspberry Pi

VPN utwardza ​​ścieżkę między Tobą a Twoim Pi, gdy jesteś poza domem lub korzystasz z pulpitów nawigacyjnych innych firm, chroni Twój adres IP i dodaje zabezpieczenia przed awarią, które zapewniają prywatność sesji w przypadku nieprawidłowego działania sieci:

  • Szyfrowanie AES-256. VeePN szyfruje cały ruch z Twojego urządzenia, więc router w hotelu lub kawiarni nie może zajrzeć do Twojej sesji SSH, strony administratora serwera internetowego ani strumienia zdalnego pulpitu.
  • Maskowanie adresu IP. Ukrywa Twój publiczny adres IP, co ogranicza śledzenie i ukierunkowane sondowanie podczas zdalnego administrowania urządzeniami.
  • Zabij Przełącznik. Jeśli połączenie VPN zostanie zerwane, funkcja Kill Switch odetnie połączenie, dzięki czemu Twoje bezpieczne połączenie nie zostanie po cichu przełączone na zwykły Internet.
  • Ochrona przed wyciekiem DNS. VeePN korzysta z prywatnego DNS, aby zapobiec wyciekom zapytań do sieci lokalnej lub dostawcy usług internetowych. Ma to znaczenie, gdy wpisujesz nazwy hostów, takie jak pi.local lub dynamiczna domena DNS.
  • Brak logówpolityka. Twoja praca administracyjna pozostaje Twoją firmą.
  • NetGuardbloker złośliwego oprogramowania. Pomaga zatrzymać znane złośliwe domeny, jeśli w pośpiechu klikniesz zły link podczas naprawiania czegoś.
  • Alarm o naruszeniu. Ostrzega Cię, jeśli na Twoim koncie pojawi się wyciek, dzięki czemu możesz szybko wymieniać klucze i tokeny.
  • Tunelowanie dzielone. Przekieruj swoje narzędzia administracyjne przez VeePN, zachowując przesyłanie strumieniowe lub pobieranie w normalnym Internecie, aby zaoszczędzić przepustowość.
  • Zaciemnione serwery iPonad 2600 serweróww 60 krajach. Zachowaj stabilny dostęp, gdy sieci próbują blokować ruch VPN, i wybierz lokalizację, która najlepiej sprawdza się w przypadku Twojego urządzenia mobilnego, gdy łączysz się zdalnie.

Spróbuj korzystać z VeePN bez ryzyka, ponieważ oferujemy 30-dniową gwarancję zwrotu pieniędzy.

Często zadawane pytania

  • Jak znaleźć moje Pi, jeśli zgubiłem adres IP?

    Przeskanuj swoją sieć lokalną. W systemie Linux lub macOS spróbujarp -aLubpinguj raspberrypi.local.
    W systemie Windows użyj listy urządzeń routera i filtruj według adresu MAC. Następnym razem zarezerwuj statyczny adres IP, aby uniknąć polowania.

  • Czy używanie VNC przez Internet do sterowania Raspberry Pi jest bezpieczne?

    Nie zaleca się bezpośredniego VNC na publicznym adresie IP. Jeśli potrzebujesz zdalnego pulpitu, wybierz Raspberry Pi Connect, tunel zwrotny z tokenem uwierzytelniającym lub najpierw połącz się przez VPN. Zawsze ustawiaj silne hasło VNC i włączaj szyfrowanie na serwerze VNC. Dowiedz się więcej w tym artykule.

    POWIĄZANY:Zdalne czyszczenie: jak zdalnie usunąć dane z dowolnego urządzenia

    • Related Posts

    Najlepsze automatyczne generatory transkrypcji (bezpłatne i płatne)

    Najlepsze automatyczne generatory transkrypcji (bezpłatne i płatne)

    2025-05-07
    Jak naprawić awarie SYSPREP podczas usuwania lub aktualizacji aplikacji Windows Store

    Jak naprawić awarie SYSPREP podczas usuwania lub aktualizacji aplikacji Windows Store

    2025-05-02
    Czy mój mąż może śledzić moje wiadomości tekstowe

    Czy mój mąż może śledzić moje wiadomości tekstowe

    2024-09-11
    Jak naprawić pobierania Microsoft Store utknęło w oczekiwaniu

    Jak naprawić pobierania Microsoft Store utknęło w oczekiwaniu

    2025-03-27
    Jak ominąć hasło do logowania systemu Windows w 3 krokach

    Jak ominąć hasło do logowania systemu Windows w 3 krokach

    2025-05-09
    Oprogramowanie i aplikacje

    Oprogramowanie i aplikacje

    2025-04-18
    Artykuły dotyczące systemu Windows 11

    Artykuły dotyczące systemu Windows 11

    2024-12-20
    Wiadomości technologiczne, łączące w sobie opinie ekspertów, rozwiązania i wiele więcej.

    Wiadomości technologiczne, łączące w sobie opinie ekspertów, rozwiązania i wiele więcej.

    2025-04-22
    Co to jest kompresowanie lub dekompresowanie pliku i jakie programy są używane do realizacji tego procesu i jaki jest główny cel?

    Co to jest kompresowanie lub dekompresowanie pliku i jakie programy są używane do realizacji tego procesu i jaki jest główny cel?

    2025-04-24
    Test częstotliwości odświeżania

    Test częstotliwości odświeżania

    2025-04-24
    Pobierz instalator offline Microsoft Edge (64-bit, 32-bit)

    Pobierz instalator offline Microsoft Edge (64-bit, 32-bit)

    2025-02-07
    Jak pobrać Canvę na Windows 11

    Jak pobrać Canvę na Windows 11

    2023-12-05
    Mapowane dyski nie działają w systemie Windows 11

    Mapowane dyski nie działają w systemie Windows 11

    2025-02-26
    Martwy piksel i test monitora

    Martwy piksel i test monitora

    2024-12-02
    Test prędkości Internetu

    Test prędkości Internetu

    2025-04-10