Dopo aver guardato l'RPi, sembra un dispositivo abbastanza sicuro fuori dalla scatola, purché faccia un paio di cose.
L'utente / pass predefinito deve essere modificato. Per lo meno, cambia la password. Per una migliore sicurezza, cambia anche il nome utente. (Aggiungi un nuovo utente, quindi disabilita PI. Verifica che ROOT sia disabilitato anche dall'accesso SSH, anche se penso che lo sia comunque per impostazione predefinita.)
La scansione dell'RPi restituisce solo una porta aperta, 22, che è la connessione SSH, e anche quella deve essere attivata prima di mostrare (anche se la maggior parte delle persone lo utilizzerà al posto di monitor, tastiera e mouse, mi aspetto, soprattutto su un {web} server)
È possibile modificare il numero di porta SSH, ma ciò non farà molto, poiché può essere scansionato abbastanza facilmente. Abilitare invece l'autenticazione SSH-Key.
Ora non hai modo di accedere alla tua macchina senza la chiave SSH, il nome utente e la password corretti.
Quindi, imposta il tuo server web. Apache è praticamente dove si trova. Ciò siederà e monitorerà la porta 80 come impostazione predefinita e risponderà automaticamente alle connessioni dai browser, servendo le tue pagine web.
Se si dispone di un firewall o di un router, è possibile modificare le porte RPi e fare in modo che il router diriga il traffico da una porta all'altra. Ad esempio, il traffico della porta 80 nel router viene reindirizzato alla porta 75 su RPi e SSH su 22 viene reindirizzato alla porta 72. Ciò aggiungerebbe un altro livello di protezione, ma è un po 'più complesso.
Mantieni tutto aggiornato e patchato, ovviamente.
Questo non ti proteggerà dagli attacchi che sfruttano java, flash, server SQL, ecc. Che potresti aggiungere in seguito, ma è tutto per le basi.
È inoltre possibile aggiungere un firewall, che rallenterà chiunque entri nel sistema dall'uscita su una porta diversa se installa un nuovo servizio. Il tuo router dovrebbe occuparsene, ma se è collegato direttamente, quindi impostalo e, per quanto tempo, potresti anche eseguirlo comunque - non aggiungerà molto in termini di risorse di sistema.
Un'altra cosa che potresti voler aggiungere è fail2ban ( http://www.fail2ban.org/wiki/index.php/Main_Page ) che aggiunge una regola firewall per bloccare più tentativi di accesso, prevenendo gli attacchi del dizionario. Sebbene questi non possano funzionare sul tuo sistema se hai seguito quanto sopra, se per qualche motivo devi lasciare la password solo SSH auth in atto (accedi in remoto da molte macchine diverse, ad esempio), impedirà un attacco del dizionario dal lavoro. Dopo il numero di tentativi che specifichi, si bloccherà per qualche tempo ulteriori tentativi da quell'indirizzo IP. (Basta fare attenzione a non vedere alcun router / indirizzo IP locale e vietarlo troppo presto o troppo a lungo!)
Modificato per aggiungere: una volta che tutto è ben impostato, utilizzare uno strumento come dd o Win32DiskImager per eseguire un backup bit-saggio completo della scheda SD. In questo modo, se qualcosa va storto, puoi ripristinarlo sulla stessa carta o scriverlo su una nuova carta e continuare a prescindere. (Ma se violato, vorresti capire quale buco è stato trovato e chiuderlo prima, forse!)