V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
DarryO
V2EX  ›  NAS

最近把 nas(群晖)暴露在公网上了,想请教下有什么安全性或者被封的问题。

  •  1
     
  •   DarryO · 2021-07-09 10:52:23 +08:00 · 13636 次点击
    这是一个创建于 1243 天前的主题,其中的信息可能已经有所发展或是发生改变。

    安全相关的知识不多,请教下了解的各位。

    介绍下环境:

    1. 白群晖(7.0)
    2. 通过 frp(server: 腾讯云,client:梅林路由,单独暴露 nas 的一个地址)实现内网穿透;(P.S 之前觉得商业化的产品会比较稳定,花了不少钱在花生壳上,稳定性堪忧,没有一次能坚持一天不让我重启恢复的,后悔花了一千多...)
    3. 目前是 http 访问的模式,没有配置 https,以防万一开启了二次验证(手机上 microsoft 的令牌)。用户名密码是单独用在 nas 上的,不会被撞库。不过不太确定要不要做一下 https 。
    4. 域名有备案,不过最初没有用在 nas 上的打算。nas 用的二级域名网页也不会显示备案号就是了。不过我只自己和家人用(人数<4)而已。

    上面这个配置,有什么风险吗?

    50 条回复    2024-04-10 15:19:35 +08:00
    coolcoffee
        1
    coolcoffee  
       2021-07-09 11:01:03 +08:00   ❤️ 2
    虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录,但是如果别人把 cookie 监听下来,直接访问不就可以了吗?

    像很多东西就算加了认证,仍然不能保证出现各种乱七八糟的 bug 或者后门,比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。
    你相当于把自家的保险箱放在大门口,跟别人说我家保险箱很安全,你随便试,万一哪天保险箱出现指纹门锁一样,用一个特斯拉线圈就能万能开锁的漏洞呢。

    所以,最差最差,https 一定要配置。 后面看个人折腾能力,wireguard 也给加上,双重配置才能最大可能减少风险。
    imnpc
        2
    imnpc  
       2021-07-09 11:12:29 +08:00   ❤️ 1
    https 应该是基本配置才对
    我的白裙 黑裙都开是开 https + 两步验证
    白裙还开了 硬件安全密钥
    feitxue
        3
    feitxue  
       2021-07-09 11:14:28 +08:00   ❤️ 1
    有腾讯云了,宝塔上个 https 不是很简单的事情吗
    banricho
        4
    banricho  
       2021-07-09 11:18:17 +08:00   ❤️ 1
    https + 两步验证是必须的。
    另外提供一个思路,在路由器上架设一个 ss-server,端口映射只开 ss-server 的。

    这样的好处是可以和移动设备的 clash 或其他程序配合,匹配规则是你的 nas 域名,就通过 ss 到自家路由器进入内网,才可以访问到 nas 。相比其他内网穿透思路,这个方法不需要在移动设备安装多余的 app,只要规则配置的好,是完全无感的。

    风险是可能被电信封端口,尽量找个比较高的端口。
    whcoding
        5
    whcoding  
       2021-07-09 11:20:13 +08:00   ❤️ 2
    我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行
    noahzh
        6
    noahzh  
       2021-07-09 11:31:30 +08:00   ❤️ 1
    用 wireguard 做内网访问吧,这样最安全。
    AS4694lAS4808
        7
    AS4694lAS4808  
       2021-07-09 11:37:01 +08:00   ❤️ 1
    卧槽,没有 http 吗?访问 nas 的网络有人监听,基本就跟没有安全一样吧。。。
    arischow
        8
    arischow  
       2021-07-09 12:29:43 +08:00 via iPhone   ❤️ 4
    VPN 回去后用内网 IP 访问
    villivateur
        9
    villivateur  
       2021-07-09 12:37:44 +08:00 via Android   ❤️ 2
    家宽不要直接访问,几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透
    LnTrx
        10
    LnTrx  
       2021-07-09 12:54:17 +08:00   ❤️ 1
    VPN 类的最为保险但麻烦
    直接网页访问,有必要 https,人后关掉 http 。
    生活环境有 IPv6 的话可以考虑利用,省掉 frp
    DarryO
        11
    DarryO  
    OP
       2021-07-09 13:58:52 +08:00
    多谢各位提醒,看来是我想得太简单了...
    DarryO
        12
    DarryO  
    OP
       2021-07-09 14:02:48 +08:00
    @villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗?
    DarryO
        13
    DarryO  
    OP
       2021-07-09 14:13:31 +08:00
    @AS4694lAS4808 你是指 https 吗?原本我设置了两步验证,手机令牌,以为就算被监听了,内容也不是很敏感,也还好...不过上面老哥提醒的 cookie 确实没考虑到。
    DarryO
        14
    DarryO  
    OP
       2021-07-09 14:16:48 +08:00
    @banricho 我目前就是内网穿透的,只暴露了 nas 的登陆界面端口映射到云上服务器的某个高端口,应该效果和 ss-server 差不多吧?
    DarryO
        15
    DarryO  
    OP
       2021-07-09 14:17:28 +08:00
    @imnpc 请问硬件安全密钥是哪里设置的呀?我没有找到
    DarryO
        16
    DarryO  
    OP
       2021-07-09 14:18:29 +08:00
    @coolcoffee 了解,多谢提醒。
    imnpc
        17
    imnpc  
       2021-07-09 14:22:41 +08:00
    @DarryO #15 DSM 7.0 需要登录群晖帐号以后才能出现
    kright
        18
    kright  
       2021-07-09 14:30:57 +08:00   ❤️ 2
    群晖上可以添加一个 VPN 套件,简单设置一下就可以了。
    手机和电脑通过 VPN 回去很方便,额外的一个好处是,如果家里的网络是全局科学上网的话,连上 VPN 也可以享受到这个好处。
    总之,爽歪歪
    yuejieyao
        19
    yuejieyao  
       2021-07-09 14:37:47 +08:00
    我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题
    baoei
        20
    baoei  
       2021-07-09 14:42:54 +08:00
    我的啥安全也没设, 群晖 7.0
    codyfeng
        21
    codyfeng  
       2021-07-09 15:27:58 +08:00 via Android
    暴露到公网要有丢失所有数据的觉悟。
    0o0O0o0O0o
        22
    0o0O0o0O0o  
       2021-07-09 15:32:57 +08:00 via iPhone
    真想安全那起码不要暴露到公网,无论是不是 https
    zzutmebwd
        23
    zzutmebwd  
       2021-07-09 15:33:53 +08:00
    https 必开,启用自动封锁,只开 5001 端口和 6690 端口无风险的。我 ddns 端口转发开了三年了,目前无问题,当然我同步备份了 onedrive 。
    非 80 端口不用备案。
    jiangyang123
        24
    jiangyang123  
       2021-07-09 15:35:57 +08:00
    @zzutmebwd #23 并不是这样 ,只要你开了端口,就有可能被叫去喝茶
    zzutmebwd
        25
    zzutmebwd  
       2021-07-09 15:38:43 +08:00
    @jiangyang123 我开了 22 3389 5000 5001 8096 8920 用了很多年,至今无碍。
    这些端口自用 https 被喝茶有案例吗?怕不是石乐志。
    lozzow
        26
    lozzow  
       2021-07-09 16:20:47 +08:00
    我就开个了个 ssh,走的非 22 端口,我还是弱密码,都好几年了,没啥问题
    Linken404
        27
    Linken404  
       2021-07-09 16:32:44 +08:00   ❤️ 1
    想黑你并不困难,但一般个人的设备也没那么重要,不要老是被迫害妄想症。面对那种大网捞鱼的攻击,只要做到最基础的防护一般都不会有问题的,除非有身边或附近的人特意去针对你...
    而基本防护,例如:仅使用 https 、修改默认端口、避免弱密码,只要这三点能做到,就不会出问题。
    前提:没有人以你为目标故意搞你。有的话就不是这种常规家用的安全问题了。
    至于喝茶,至少内网穿透跟 ddns 高位端口去做正常事,都是不会被封的。
    heliotrope
        28
    heliotrope  
       2021-07-09 16:39:02 +08:00
    没备案信息开放 http 服务会被电信 CALL
    我没被 CALL
    之前 chh 上看到有人被 CALL
    后面所有 http 服务都加域名校验 还有登录校验
    ilovekobe1314
        29
    ilovekobe1314  
       2021-07-09 16:57:39 +08:00
    我黑群晖 http,域名备案,复杂密码,楼主说的我都慌了
    stroh
        30
    stroh  
       2021-07-09 19:35:53 +08:00 via iPhone
    https 有什么好的免费的么?
    A8
        31
    A8  
       2021-07-09 19:42:39 +08:00
    DarryO
        32
    DarryO  
    OP
       2021-07-09 19:56:02 +08:00
    @A8 我局域网环境也不是单层的,有些设备没有操作权限,做 DDNS 不是很方便。
    DarryO
        33
    DarryO  
    OP
       2021-07-09 19:58:26 +08:00
    @stroh 我自用的 已有的几个用的是腾讯云合作的免费名额(不支持泛域名,50 个以内),暂时用着还行。只是之前觉得两步验证也没什么问题,就没部署到 nas 上。

    不过我对这个也没深入了解过,如果有清楚的大佬可以讲下优缺点。
    jfdnet
        34
    jfdnet  
       2021-07-09 20:49:19 +08:00
    个人建议把你需要用的服务单独配置端口到外网使用。NAS 本身不要暴露出去。
    Decent
        35
    Decent  
       2021-07-09 21:10:23 +08:00 via iPhone
    不要开 web 服务,只开 tcp 端口用 v2 或者 ss,v2 的话做个内网路由就可以了
    arischow
        36
    arischow  
       2021-07-09 23:01:28 +08:00 via iPhone
    我补充一下自己前面说的,web 服务这么做,文件同步服务就可以直接 https,方便。
    villivateur
        37
    villivateur  
       2021-07-10 08:38:47 +08:00 via Android
    @DarryO 运营商会给你发警告
    wangweitung
        38
    wangweitung  
       2021-07-10 12:48:08 +08:00 via Android
    @arischow 用的哪个? PPTP 好像不能用了
    arischow
        39
    arischow  
       2021-07-10 15:03:24 +08:00
    @wangweitung 我自己用的是 L2TP/IPSec 。我还在用 DSM 6 哈
    Huskylee
        40
    Huskylee  
       2021-07-12 03:59:19 +08:00
    黑群晖 https 公网 IP 暴露一年使用正常
    stroh
        41
    stroh  
       2021-07-12 09:24:25 +08:00
    @DarryO 我用的群辉自带的 https,这个有什么弊端么?
    AS4694lAS4808
        42
    AS4694lAS4808  
       2021-07-12 11:00:37 +08:00
    @DarryO https 。。少打了个字。。没上 https,尤其又是 nas 设备,上传下载个文件,中间经过的路由都能拿来看一看。有的同学说别迫害妄想,来说下我的 NAS 吧:使用联通的公网 IP,基本一两天换一次 IP,但是架了一段时间,发现安全和登录日志以及 nginx 各个端口的访问日志简直惨不忍睹,最后逼着上了 fail2ban 才消停。
    AS4694lAS4808
        43
    AS4694lAS4808  
       2021-07-12 11:01:36 +08:00
    @DarryO 不知道为啥不让发。。55Sa6Iez5pyJ5LiA5qyh5a6h5qC4IG5naW54IOiuv+mXruaXpeW/l++8jOWPkeeOsOacieS4quS/hOe9l+aWr+eahCBJUCDlsJ3or5XkuobmiJHlkITnp43mnI3liqHnmoQgMGRheSDmvI/mtJ7vvIznhLblkI7ov5jlsJ3or5XmiJHmmrTpnLLlh7rmnaXnmoQgb3BlbndydCDlvLHlr4bnoIHlkozml6fniYjlt7Lnn6XnmoTmlLvlh7sgcGF5bG9hZO+8jOi/mOWlveaIkee7j+W4uOabtOaWsOOAguOAgui/meaYr+aIkeS4uuS7gOS5iOWcqOaJgOaciSBuZ2lueCDnq6/lj6PliY3liqDkuoblvLrlr4bnoIHjgILjgILjgILpurvng6bmmK/purvng6bvvIzkvYbmmK/lv4Pph4zlronnlJ/ngrnjgILjgII=
    lanceb1uy
        44
    lanceb1uy  
       2021-07-12 13:32:10 +08:00
    就开 2 个端口 ocserv+ssh
    家宽暴露 web 总觉得不安全
    noahzh
        45
    noahzh  
       2021-07-12 14:48:45 +08:00
    买台公网 vps,起个 wiregurad,所有请求都是走 vpn,就完了,这样不需要你有公网 ip,也安全。
    stroh
        46
    stroh  
       2021-07-12 15:16:39 +08:00
    自从开启了防护,就发现每天被攻击
    IP 地址 [20.38.175.27] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [141.98.10.210] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [167.71.192.234] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [122.234.90.184] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [61.184.24.249] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [134.122.63.202] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [141.98.10.179] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [199.195.248.154] 已被 synology 经由 SSH 封锁 详情
    lc7029
        47
    lc7029  
       2021-07-12 20:16:33 +08:00
    建议套一层 npv,不要直接暴漏在公网上。另外也不要用端口映射访问,域名已经备案但家庭宽带不能备案,用的话一样被封
    DarryO
        48
    DarryO  
    OP
       2021-07-13 16:32:12 +08:00
    @lc7029 请问 npv 是指什么?另外端口映射是放在有公网的服务器上的。访问内网还是通过高端口的,这种应该没问题吧?你所说的端口映射是指在局域网内的端口映射吗?
    Autonomous
        49
    Autonomous  
       2021-07-24 17:03:34 +08:00
    路由器上配置了防火墙,封锁了 SSH, Telnet, FTP 等默认端口,目前 NAS 没有出现非法登陆的日志
    dadofclayton
        50
    dadofclayton  
       236 天前
    @lozzow 前天我还这么认为,所以昨天和今天,就努力的看这些方面的信息,找解决方法。昨天早晨,发现被撞库登录很久了,虽然一直失败。直到昨天发现一台服务器的防火墙密密麻麻的登录失败记录。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3704 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:27 · PVG 12:27 · LAX 20:27 · JFK 23:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.