一个没有密码保护的 frp 服务器有多不安全

当使用 frp 时，务必开启权限验证。

起因

群内有人的家里云受到了尝试登录的攻击，在群友劝其关闭公网时表示不怕打，并公布了自己 frps 的端口。在征求同意后，我开始尝试连接和应用。

本地服务部署

正好手里有个 web 项目，于是立刻启动了起来。

frpc 配置

接下来到 https://github.com/fatedier/frp 下载客户端，编写配置文件然后启动。

检验成果

访问他的域名和 frpc 配置的端口，检验是否成功。

总结

1. 当使用 frp 时，一定要配置鉴权方式，无论是 token 还是 oidc；
2. 不要随意公开服务器应用的端口，尤其是非公开服务；
3. 使用路由器和防火墙将服务器应用的端口映射到公网，而不是直接暴露所有端口；
4. 谨防社会工程学攻击。

References

1. https://pixabay.com/photos/security-protection-antivirus-265130/ ↩