请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
日志经常有人乱撞密码。
层级 日志 时间 用户 事件
警告 连接 2025/11/10 08:51:49 atempo04 User [atempo04] from [202.150.90.44] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:49:43 atempo03 User [atempo03] from [220.133.88.81] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:48:21 atempo02 User [atempo02] from [71.164.83.186] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:46:18 atempo01 User [atempo01] from [210.175.249.189] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:44:25 service User [service] from [2.227.240.41] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:43:05 atempo08 User [atempo08] from [217.174.61.147] failed to sign in to [DSM] via [password] due to authorization failure.
请问有设么方法防止?
层级 日志 时间 用户 事件
警告 连接 2025/11/10 08:51:49 atempo04 User [atempo04] from [202.150.90.44] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:49:43 atempo03 User [atempo03] from [220.133.88.81] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:48:21 atempo02 User [atempo02] from [71.164.83.186] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:46:18 atempo01 User [atempo01] from [210.175.249.189] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:44:25 service User [service] from [2.227.240.41] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:43:05 atempo08 User [atempo08] from [217.174.61.147] failed to sign in to [DSM] via [password] due to authorization failure.
请问有设么方法防止?
 |
1
ncbdwss 13 天前
群晖没有 2fa 吗?
|
 |
2
KagurazakaNyaa 13 天前
不暴露到公网就好了
|
 |
3
hackerfans 13 天前
经常更换复杂密码。
|
 |
4
SakuraYuki 13 天前
设置输错一次密码 ip 进黑名单就行了
|
 |
5
xdzhang 13 天前
你日志里面前面几个 ip 全是 nas 啊
|
 |
6
Daybyedream 13 天前
可以做个 api 外部访问没有固定 IP 的时候访问一下 api 自动加限时白名单
|
 |
7
laminux29 13 天前
直接 fail2ban ,指数级屏蔽,专门用来防止暴力破解的。
|
 |
8
cctv180 13 天前
@hackerfans 不用这么麻烦,直接前面加 Nginx 把默认站返回 444,这样只有指定域名能进去。
|
 |
9
nkidgm 13 天前
套 VPN ,并且要用 ssl 证书和密码强化 VPN 认证。
在 VPN 里再访问群晖。 |
 |
10
richarddingcn 13 天前
fail2ban 啊 同时 ssh 改证书登陆
都放公网了 安全性还是得自己搞好的 |
 |
11
luny 13 天前
最简单的是,把 ssh 的登录端口改一下,尽量 5 位数
|
 |
12
midraos 13 天前  1
关闭密码登录,只使用证书登录。web 服务则使用双向证书认证
|
 |
13
tomczhen 13 天前
其实群晖可以设置多长时间内错误多少次封 IP 多久的功能,唯一要注意的是识别到的 IP 如果是路由器 IP 得想办法获取访问者 IP 。
|
 |
14
S0lution 13 天前
首先建议不要暴露重要服务到公网,必要的话服务一定要修改默认端口
防爆破如果是 ssh 可以尝试 fail2ban ,看 op 日志是 dsm 的且比较频繁,设置里有黑白名单可以设置。登陆还有个封锁设置,设置一个月错三次永久封禁 ip ,或者干脆输错一次密码直接封,自己被封了可以本地登录上去解 再复杂还有双向证书认证之类的,看 op 需求了 |
 |
15
Autonomous 13 天前
1.把默认的 5000 、5001 端口号改为其他值
2.防火墙设置仅放行特定国家的入站,只保留自己的常住地 3.设置自动封锁 IP |
 |
16
5261 13 天前
在纠结
到底是黑群晖还是白裙好 |
 |
18
m1nm13 13 天前
不要映射为 5000 端口
|
 |
19
zhengfan2016 13 天前 via Android
本质就是想办法搞个鉴权层挡在群晖页面前面
1.套 cloudflare ,有 zerotrust 2.tailscale 的 vpn |
 |
20
badgv 13 天前 via Android
群晖自带黑名单啊,设置错 3 次直接拉黑 ip 就行了啊
|
 |
22
YFZZ PRO @KagurazakaNyaa 萌新求问,如果是使用 QuickConnect 来进行外网连接,是不是比 DDNS 安全一些?
|
 |
23
deepbytes 13 天前 via iPhone
NPM 用白名单
|
 |
24
yinft 13 天前
最好的办法还是套 vpn ,这都是广大网友实践后的真知
|
 |
25
kiritoyui 13 天前
|
 |
26
dosmlp 13 天前
搞个 VPN ,家里所有服务只有连上 VPN 才能访问
|
 |
28
geniussoft 13 天前 via iPhone
|
 |
29
nodesolar 13 天前
用的群辉 NAS, 目前我是写了个简单程序: 大致原理就是利用 iptables 限制, 只有加入白名单的 IP 才能访问所有端口,否则全部限制. 然后这个服务以 API 方式暴露出来给钉钉机器人,利用机器人来加减白名单 IP
|
 |
30
ffxrqyzby 13 天前
@Keystroke #27
黑群版本 2 年多也没更新过,但是里面的插件可以更新,其实用着没啥区别 群晖我这边主要用来磁盘管理, 备份, 同步这些功能, 黑群没有官方的外网地址 quickconnect(但是速度很拉 100k/s, 不如自己 ipv6 ddns 或者 tailscale), 其他基本体验一致. 我是用 pve 启群晖, 再启 ubuntu 挂群晖的盘跑 docker-compose 比较自由. |
 |
31
yulgang 12 天前
openvpn 回家,然后内网连接就完了,为什么要放公网上呢。
|
 |
32
Liuman 12 天前
我的群辉 设置了 5 分钟内密码错误 2 次,永久封 IP
|
 |
33
guanzhangzhang 12 天前
端口映射和 ddns vs 组网
 |
 |
34
alfawei 12 天前
你在用默认端口吧
|
 |
35
Exsi 12 天前
直接静止所有接入,仅允许大陆接入不就可以了
|
 |
36
Kaiyuan 12 天前
不要用默认端口,然后限制可连接的地区。群晖有防火墙策略可以设置。
|
 |
37
SouLX 12 天前
群晖不是默认 有 fail2ban 的功能嘛? 连续错误几次 直接黑名单或者冻结多长时间之类
|
 |
38
dilidilid 12 天前
你如果不是很多人在用的话直接弄个 VPN 就行了
|
 |
39
wyxls 11 天前
不太想动群晖自身预设好的 DSM 服务端口( 5000 和 5001 ),因为我不知道这魔改系统会不会 hardcode 某些网络端口,改了可能会有奇奇怪怪的问题,之前就碰到过改了 drive 的服务端口导致在 DSM 界面跳转过去端口不对的情况
目前方案是防火墙只允许几个 web 服务端口出口以及局域网内一个堡垒机 IP 入口,其他 web 服务都通过堡垒机反代接入并透传真实客户 IP ,最后 fail2ban 条件拉满,7 天内连续 3 次失败直接永久封锁 |
 |
40
Kirkcong 11 天前
让他们试呗,又不影响什么
|
Select Language