ipv6 时代家庭网络的安全性思考

这与 docker 其实并没有什么关系，但是具体实现，我还是得靠 docker 去解决，曾经，我树莓派里的数据库是跑在公网的，大意了，然后可想而知，数据被黑客加密勒索了。两天前，我在写笔记时，页面提示数据保存失败，要知道这很吓人，最后发现似乎是登陆过期了而已，虚惊一场，但是我的数据安全，我得考虑了，我家里有个树莓派，8G 内存，家里带宽 300M，有 ipv6，有时候这很爽啊，假设公司也有 ipv6，能直连，当然，网站就得加端口号了，不然不行，端口还是被运营商限制了。

家里的树莓派上部署了以下应用：

1. [wiki](https://wiki.kpromise.top)，没错就是这个系统
2. [standard note](https://note.kpromise.top)
3. [为知笔记](https://wiz.kpromise.top)
4. [nextcloud](https://cloud.kpromise.top)
5. [wallabag](https://wallabag.kpromise.top)

其中，nextcloud 里又添加了百度脑图、draw.io、日历以及待办。

阿里云服务器上部署了 frp，用于 ssh 穿透到树莓派，腾讯云以及国外某不知名云上也部署了 frp 用于穿透到树莓派，以访问我的各个应用。

众所周知，普通家庭宽带不会有独立的 ipv4 地址，而 ipv6 也是最近才火起来，所以以前，内网其实没必要防火墙，因为天然和外网隔离，运营商帮我们提供了最好的防火墙。

ipv6 时代，我们每个家庭可能会有一堆 ipv6 地址，反正我家去年就已经有了，这本是好事，但是却也是一个潜在的风险，正如我前面所说，ipv4 时，天然的局域网，没必要搞防火墙，这个坏习惯导致 ipv6 到来时，我们措手不及，我就因此被人黑了数据库。

我个人的建议是，首先防火墙一定要开，不能再裸奔了，再裸奔你就不能怪色狼顶上你了，防火墙的故事，后面我们再说，我来说说我是如何保障我现在树莓派的安全的。

1. 首先，树莓派开启防火墙，除了内网不允许别的网络接入，这可以有效防止 mysql、redis 等被人攻击，我本地的数据，也就 mysql 和 redis，暂无别的数据库与服务。
2. 我与外网间主要通过 frp 来衔接，那么给予 frp 的权限就不能太大，且需要关注其开发状态，有漏洞时，尽快升级版本。frp 安全性相关的问题，我想我后面会再考虑与补充。
3. 数据库备份到 git 仓库，可以偷懒式实现这个功能，比如，mysql 数据库文件存储到某个特定目录，然后每隔 5 分钟自动 commit 并 push，其实，对于我个人而言，我的数据库并不大，但是很重要，基于 git 实现的这种备份，其实很好，甚至还可以多个 git 仓库备份，更安全。

今年，我遇到了两次数据库被黑事件，一次是我家树莓派，一次是自己的创业公司，好在公司我做了每天自动全盘备份，否则三年多努力就付诸东流了，两次湿鞋，都是端口开放惹的祸，虽然有密码，但是也会有漏洞，所以最靠谱的方案永远是隔离，是防火墙。