请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 1226 天前的主题,其中的信息可能已经有所发展或是发生改变。
安全相关的知识不多,请教下了解的各位。
介绍下环境:
- 白群晖(7.0)
- 通过 frp(server: 腾讯云,client:梅林路由,单独暴露 nas 的一个地址)实现内网穿透;(P.S 之前觉得商业化的产品会比较稳定,花了不少钱在花生壳上,稳定性堪忧,没有一次能坚持一天不让我重启恢复的,后悔花了一千多...)
- 目前是 http 访问的模式,没有配置 https,以防万一开启了二次验证(手机上 microsoft 的令牌)。用户名密码是单独用在 nas 上的,不会被撞库。不过不太确定要不要做一下 https 。
- 域名有备案,不过最初没有用在 nas 上的打算。nas 用的二级域名网页也不会显示备案号就是了。不过我只自己和家人用(人数<4)而已。
上面这个配置,有什么风险吗?
 |
1
coolcoffee 2021-07-09 11:01:03 +08:00  2
虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录,但是如果别人把 cookie 监听下来,直接访问不就可以了吗?
像很多东西就算加了认证,仍然不能保证出现各种乱七八糟的 bug 或者后门,比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。 你相当于把自家的保险箱放在大门口,跟别人说我家保险箱很安全,你随便试,万一哪天保险箱出现指纹门锁一样,用一个特斯拉线圈就能万能开锁的漏洞呢。 所以,最差最差,https 一定要配置。 后面看个人折腾能力,wireguard 也给加上,双重配置才能最大可能减少风险。 |
 |
2
imnpc 2021-07-09 11:12:29 +08:00 1
https 应该是基本配置才对
我的白裙 黑裙都开是开 https + 两步验证 白裙还开了 硬件安全密钥 |
 |
3
feitxue 2021-07-09 11:14:28 +08:00 1
有腾讯云了,宝塔上个 https 不是很简单的事情吗
|
 |
4
banricho 2021-07-09 11:18:17 +08:00 1
https + 两步验证是必须的。
另外提供一个思路,在路由器上架设一个 ss-server,端口映射只开 ss-server 的。 这样的好处是可以和移动设备的 clash 或其他程序配合,匹配规则是你的 nas 域名,就通过 ss 到自家路由器进入内网,才可以访问到 nas 。相比其他内网穿透思路,这个方法不需要在移动设备安装多余的 app,只要规则配置的好,是完全无感的。 风险是可能被电信封端口,尽量找个比较高的端口。 |
 |
5
whcoding 2021-07-09 11:20:13 +08:00 2
我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行
|
 |
6
noahzh 2021-07-09 11:31:30 +08:00 1
用 wireguard 做内网访问吧,这样最安全。
|
 |
7
AS4694lAS4808 2021-07-09 11:37:01 +08:00 1
卧槽,没有 http 吗?访问 nas 的网络有人监听,基本就跟没有安全一样吧。。。
|
 |
8
arischow 2021-07-09 12:29:43 +08:00 via iPhone 4
VPN 回去后用内网 IP 访问
|
 |
9
villivateur 2021-07-09 12:37:44 +08:00 via Android 2
家宽不要直接访问,几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透
|
 |
10
LnTrx 2021-07-09 12:54:17 +08:00 1
VPN 类的最为保险但麻烦
直接网页访问,有必要 https,人后关掉 http 。 生活环境有 IPv6 的话可以考虑利用,省掉 frp |
 |
11
DarryO OP 多谢各位提醒,看来是我想得太简单了...
|
|
12
DarryO OP @villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗?
|
|
13
DarryO OP @AS4694lAS4808 你是指 https 吗?原本我设置了两步验证,手机令牌,以为就算被监听了,内容也不是很敏感,也还好...不过上面老哥提醒的 cookie 确实没考虑到。
|
|
14
DarryO OP @banricho 我目前就是内网穿透的,只暴露了 nas 的登陆界面端口映射到云上服务器的某个高端口,应该效果和 ss-server 差不多吧?
|
|
16
DarryO OP @coolcoffee 了解,多谢提醒。
|
 |
18
kright 2021-07-09 14:30:57 +08:00 2
群晖上可以添加一个 VPN 套件,简单设置一下就可以了。
手机和电脑通过 VPN 回去很方便,额外的一个好处是,如果家里的网络是全局科学上网的话,连上 VPN 也可以享受到这个好处。 总之,爽歪歪 |
 |
19
yuejieyao 2021-07-09 14:37:47 +08:00
我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题
|
 |
20
baoei 2021-07-09 14:42:54 +08:00
我的啥安全也没设, 群晖 7.0
|
 |
21
codyfeng 2021-07-09 15:27:58 +08:00 via Android
暴露到公网要有丢失所有数据的觉悟。
|
 |
22
0o0O0o0O0o 2021-07-09 15:32:57 +08:00 via iPhone
真想安全那起码不要暴露到公网,无论是不是 https
|
 |
23
zzutmebwd 2021-07-09 15:33:53 +08:00
https 必开,启用自动封锁,只开 5001 端口和 6690 端口无风险的。我 ddns 端口转发开了三年了,目前无问题,当然我同步备份了 onedrive 。
非 80 端口不用备案。 |
 |
24
jiangyang123 2021-07-09 15:35:57 +08:00
@zzutmebwd #23 并不是这样 ,只要你开了端口,就有可能被叫去喝茶
|
|
25
zzutmebwd 2021-07-09 15:38:43 +08:00
@jiangyang123 我开了 22 3389 5000 5001 8096 8920 用了很多年,至今无碍。
这些端口自用 https 被喝茶有案例吗?怕不是石乐志。 |
 |
26
lozzow 2021-07-09 16:20:47 +08:00
我就开个了个 ssh,走的非 22 端口,我还是弱密码,都好几年了,没啥问题
|
 |
27
Linken404 2021-07-09 16:32:44 +08:00 1
想黑你并不困难,但一般个人的设备也没那么重要,不要老是被迫害妄想症。面对那种大网捞鱼的攻击,只要做到最基础的防护一般都不会有问题的,除非有身边或附近的人特意去针对你...
而基本防护,例如:仅使用 https 、修改默认端口、避免弱密码,只要这三点能做到,就不会出问题。 前提:没有人以你为目标故意搞你。有的话就不是这种常规家用的安全问题了。 至于喝茶,至少内网穿透跟 ddns 高位端口去做正常事,都是不会被封的。 |
 |
28
heliotrope 2021-07-09 16:39:02 +08:00
没备案信息开放 http 服务会被电信 CALL
我没被 CALL 之前 chh 上看到有人被 CALL 后面所有 http 服务都加域名校验 还有登录校验 |
 |
29
ilovekobe1314 2021-07-09 16:57:39 +08:00
我黑群晖 http,域名备案,复杂密码,楼主说的我都慌了
|
 |
30
stroh 2021-07-09 19:35:53 +08:00 via iPhone
https 有什么好的免费的么?
|
 |
31
A8 2021-07-09 19:42:39 +08:00
 |
|
33
DarryO OP @stroh 我自用的 已有的几个用的是腾讯云合作的免费名额(不支持泛域名,50 个以内),暂时用着还行。只是之前觉得两步验证也没什么问题,就没部署到 nas 上。
不过我对这个也没深入了解过,如果有清楚的大佬可以讲下优缺点。 |
 |
34
jfdnet 2021-07-09 20:49:19 +08:00
个人建议把你需要用的服务单独配置端口到外网使用。NAS 本身不要暴露出去。
|
 |
35
Decent 2021-07-09 21:10:23 +08:00 via iPhone
不要开 web 服务,只开 tcp 端口用 v2 或者 ss,v2 的话做个内网路由就可以了
|
|
36
arischow 2021-07-09 23:01:28 +08:00 via iPhone
我补充一下自己前面说的,web 服务这么做,文件同步服务就可以直接 https,方便。
|
|
37
villivateur 2021-07-10 08:38:47 +08:00 via Android
@DarryO 运营商会给你发警告
|
 |
38
wangweitung 2021-07-10 12:48:08 +08:00 via Android
@arischow 用的哪个? PPTP 好像不能用了
|
|
39
arischow 2021-07-10 15:03:24 +08:00
@wangweitung 我自己用的是 L2TP/IPSec 。我还在用 DSM 6 哈
|
 |
40
Huskylee 2021-07-12 03:59:19 +08:00
黑群晖 https 公网 IP 暴露一年使用正常
|
|
42
AS4694lAS4808 2021-07-12 11:00:37 +08:00
@DarryO https 。。少打了个字。。没上 https,尤其又是 nas 设备,上传下载个文件,中间经过的路由都能拿来看一看。有的同学说别迫害妄想,来说下我的 NAS 吧:使用联通的公网 IP,基本一两天换一次 IP,但是架了一段时间,发现安全和登录日志以及 nginx 各个端口的访问日志简直惨不忍睹,最后逼着上了 fail2ban 才消停。
|
|
43
AS4694lAS4808 2021-07-12 11:01:36 +08:00
@DarryO 不知道为啥不让发。。55Sa6Iez5pyJ5LiA5qyh5a6h5qC4IG5naW54IOiuv+mXruaXpeW/l++8jOWPkeeOsOacieS4quS/hOe9l+aWr+eahCBJUCDlsJ3or5XkuobmiJHlkITnp43mnI3liqHnmoQgMGRheSDmvI/mtJ7vvIznhLblkI7ov5jlsJ3or5XmiJHmmrTpnLLlh7rmnaXnmoQgb3BlbndydCDlvLHlr4bnoIHlkozml6fniYjlt7Lnn6XnmoTmlLvlh7sgcGF5bG9hZO+8jOi/mOWlveaIkee7j+W4uOabtOaWsOOAguOAgui/meaYr+aIkeS4uuS7gOS5iOWcqOaJgOaciSBuZ2lueCDnq6/lj6PliY3liqDkuoblvLrlr4bnoIHjgILjgILjgILpurvng6bmmK/purvng6bvvIzkvYbmmK/lv4Pph4zlronnlJ/ngrnjgILjgII=
|
 |
44
lanceb1uy 2021-07-12 13:32:10 +08:00
就开 2 个端口 ocserv+ssh
家宽暴露 web 总觉得不安全 |
|
45
noahzh 2021-07-12 14:48:45 +08:00
买台公网 vps,起个 wiregurad,所有请求都是走 vpn,就完了,这样不需要你有公网 ip,也安全。
|
|
46
stroh 2021-07-12 15:16:39 +08:00
自从开启了防护,就发现每天被攻击
IP 地址 [20.38.175.27] 已被 synology 经由 SSH 封锁 详情 IP 地址 [141.98.10.210] 已被 synology 经由 SSH 封锁 详情 IP 地址 [167.71.192.234] 已被 synology 经由 SSH 封锁 详情 IP 地址 [122.234.90.184] 已被 synology 经由 SSH 封锁 详情 IP 地址 [61.184.24.249] 已被 synology 经由 SSH 封锁 详情 IP 地址 [134.122.63.202] 已被 synology 经由 SSH 封锁 详情 IP 地址 [141.98.10.179] 已被 synology 经由 SSH 封锁 详情 IP 地址 [199.195.248.154] 已被 synology 经由 SSH 封锁 详情 |
 |
47
lc7029 2021-07-12 20:16:33 +08:00
建议套一层 npv,不要直接暴漏在公网上。另外也不要用端口映射访问,域名已经备案但家庭宽带不能备案,用的话一样被封
|
|
48
DarryO OP @lc7029 请问 npv 是指什么?另外端口映射是放在有公网的服务器上的。访问内网还是通过高端口的,这种应该没问题吧?你所说的端口映射是指在局域网内的端口映射吗?
|
 |
49
Autonomous 2021-07-24 17:03:34 +08:00
路由器上配置了防火墙,封锁了 SSH, Telnet, FTP 等默认端口,目前 NAS 没有出现非法登陆的日志
|
 |
50
dadofclayton 220 天前
@lozzow 前天我还这么认为,所以昨天和今天,就努力的看这些方面的信息,找解决方法。昨天早晨,发现被撞库登录很久了,虽然一直失败。直到昨天发现一台服务器的防火墙密密麻麻的登录失败记录。
|
Select Language