安全相关的知识不多,请教下了解的各位。
介绍下环境:
上面这个配置,有什么风险吗?
 |
1
coolcoffee Jul 9, 2021  2
虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录,但是如果别人把 cookie 监听下来,直接访问不就可以了吗?
像很多东西就算加了认证,仍然不能保证出现各种乱七八糟的 bug 或者后门,比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。 你相当于把自家的保险箱放在大门口,跟别人说我家保险箱很安全,你随便试,万一哪天保险箱出现指纹门锁一样,用一个特斯拉线圈就能万能开锁的漏洞呢。 所以,最差最差,https 一定要配置。 后面看个人折腾能力,wireguard 也给加上,双重配置才能最大可能减少风险。 |
 |
2
imnpc Jul 9, 2021 1
https 应该是基本配置才对
我的白裙 黑裙都开是开 https + 两步验证 白裙还开了 硬件安全密钥 |
 |
3
feitxue Jul 9, 2021 1
有腾讯云了,宝塔上个 https 不是很简单的事情吗
|
 |
4
banricho Jul 9, 2021 1
https + 两步验证是必须的。
另外提供一个思路,在路由器上架设一个 ss-server,端口映射只开 ss-server 的。 这样的好处是可以和移动设备的 clash 或其他程序配合,匹配规则是你的 nas 域名,就通过 ss 到自家路由器进入内网,才可以访问到 nas 。相比其他内网穿透思路,这个方法不需要在移动设备安装多余的 app,只要规则配置的好,是完全无感的。 风险是可能被电信封端口,尽量找个比较高的端口。 |
 |
5
whcoding Jul 9, 2021 2
我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行
|
 |
6
noahzh Jul 9, 2021 1
用 wireguard 做内网访问吧,这样最安全。
|
 |
7
AS4694lAS4808 Jul 9, 2021 1
卧槽,没有 http 吗?访问 nas 的网络有人监听,基本就跟没有安全一样吧。。。
|
 |
8
arischow Jul 9, 2021 via iPhone 4
VPN 回去后用内网 IP 访问
|
 |
9
villivateur Jul 9, 2021 via Android 2
家宽不要直接访问,几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透
|
 |
10
LnTrx Jul 9, 2021 1
VPN 类的最为保险但麻烦
直接网页访问,有必要 https,人后关掉 http 。 生活环境有 IPv6 的话可以考虑利用,省掉 frp |
 |
11
DarryO OP 多谢各位提醒,看来是我想得太简单了...
|
|
12
DarryO OP @villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗?
|
|
13
DarryO OP @AS4694lAS4808 你是指 https 吗?原本我设置了两步验证,手机令牌,以为就算被监听了,内容也不是很敏感,也还好...不过上面老哥提醒的 cookie 确实没考虑到。
|
|
16
DarryO OP @coolcoffee 了解,多谢提醒。
|
 |
18
kright Jul 9, 2021 2
群晖上可以添加一个 VPN 套件,简单设置一下就可以了。
手机和电脑通过 VPN 回去很方便,额外的一个好处是,如果家里的网络是全局科学上网的话,连上 VPN 也可以享受到这个好处。 总之,爽歪歪 |
 |
19
yuejieyao Jul 9, 2021
我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题
|
 |
20
baoei Jul 9, 2021
我的啥安全也没设, 群晖 7.0
|
 |
21
codyfeng Jul 9, 2021 via Android
暴露到公网要有丢失所有数据的觉悟。
|
 |
22
0o0O0o0O0o Jul 9, 2021 via iPhone
真想安全那起码不要暴露到公网,无论是不是 https
|
 |
23
zzutmebwd Jul 9, 2021
https 必开,启用自动封锁,只开 5001 端口和 6690 端口无风险的。我 ddns 端口转发开了三年了,目前无问题,当然我同步备份了 onedrive 。
非 80 端口不用备案。 |
|
25
zzutmebwd Jul 9, 2021
@jiangyang123 我开了 22 3389 5000 5001 8096 8920 用了很多年,至今无碍。
这些端口自用 https 被喝茶有案例吗?怕不是石乐志。 |
 |
26
lozzow Jul 9, 2021
我就开个了个 ssh,走的非 22 端口,我还是弱密码,都好几年了,没啥问题
|
 |
27
Linken404 Jul 9, 2021 1
想黑你并不困难,但一般个人的设备也没那么重要,不要老是被迫害妄想症。面对那种大网捞鱼的攻击,只要做到最基础的防护一般都不会有问题的,除非有身边或附近的人特意去针对你...
而基本防护,例如:仅使用 https 、修改默认端口、避免弱密码,只要这三点能做到,就不会出问题。 前提:没有人以你为目标故意搞你。有的话就不是这种常规家用的安全问题了。 至于喝茶,至少内网穿透跟 ddns 高位端口去做正常事,都是不会被封的。 |
 |
28
heliotrope Jul 9, 2021
没备案信息开放 http 服务会被电信 CALL
我没被 CALL 之前 chh 上看到有人被 CALL 后面所有 http 服务都加域名校验 还有登录校验 |
 |
29
ilovekobe1314 Jul 9, 2021
我黑群晖 http,域名备案,复杂密码,楼主说的我都慌了
|
 |
30
stroh Jul 9, 2021 via iPhone
https 有什么好的免费的么?
|
 |
31
A8 Jul 9, 2021
 |
|
33
DarryO OP @stroh 我自用的 已有的几个用的是腾讯云合作的免费名额(不支持泛域名,50 个以内),暂时用着还行。只是之前觉得两步验证也没什么问题,就没部署到 nas 上。
不过我对这个也没深入了解过,如果有清楚的大佬可以讲下优缺点。 |
 |
34
jfdnet Jul 9, 2021
个人建议把你需要用的服务单独配置端口到外网使用。NAS 本身不要暴露出去。
|
 |
35
Decent Jul 9, 2021 via iPhone
不要开 web 服务,只开 tcp 端口用 v2 或者 ss,v2 的话做个内网路由就可以了
|
|
36
arischow Jul 9, 2021 via iPhone
我补充一下自己前面说的,web 服务这么做,文件同步服务就可以直接 https,方便。
|
|
37
villivateur Jul 10, 2021 via Android
@DarryO 运营商会给你发警告
|
 |
38
wangweitung Jul 10, 2021 via Android
@arischow 用的哪个? PPTP 好像不能用了
|
|
39
arischow Jul 10, 2021
@wangweitung 我自己用的是 L2TP/IPSec 。我还在用 DSM 6 哈
|
 |
40
Huskylee Jul 12, 2021
黑群晖 https 公网 IP 暴露一年使用正常
|
|
42
AS4694lAS4808 Jul 12, 2021
@DarryO https 。。少打了个字。。没上 https,尤其又是 nas 设备,上传下载个文件,中间经过的路由都能拿来看一看。有的同学说别迫害妄想,来说下我的 NAS 吧:使用联通的公网 IP,基本一两天换一次 IP,但是架了一段时间,发现安全和登录日志以及 nginx 各个端口的访问日志简直惨不忍睹,最后逼着上了 fail2ban 才消停。
|
|
43
AS4694lAS4808 Jul 12, 2021
@DarryO 不知道为啥不让发。。55Sa6Iez5pyJ5LiA5qyh5a6h5qC4IG5naW54IOiuv+mXruaXpeW/l++8jOWPkeeOsOacieS4quS/hOe9l+aWr+eahCBJUCDlsJ3or5XkuobmiJHlkITnp43mnI3liqHnmoQgMGRheSDmvI/mtJ7vvIznhLblkI7ov5jlsJ3or5XmiJHmmrTpnLLlh7rmnaXnmoQgb3BlbndydCDlvLHlr4bnoIHlkozml6fniYjlt7Lnn6XnmoTmlLvlh7sgcGF5bG9hZO+8jOi/mOWlveaIkee7j+W4uOabtOaWsOOAguOAgui/meaYr+aIkeS4uuS7gOS5iOWcqOaJgOaciSBuZ2lueCDnq6/lj6PliY3liqDkuoblvLrlr4bnoIHjgILjgILjgILpurvng6bmmK/purvng6bvvIzkvYbmmK/lv4Pph4zlronnlJ/ngrnjgILjgII=
|
 |
44
PolarisTime Jul 12, 2021
就开 2 个端口 ocserv+ssh
家宽暴露 web 总觉得不安全 |
|
45
noahzh Jul 12, 2021
买台公网 vps,起个 wiregurad,所有请求都是走 vpn,就完了,这样不需要你有公网 ip,也安全。
|
|
46
stroh Jul 12, 2021
自从开启了防护,就发现每天被攻击
IP 地址 [20.38.175.27] 已被 synology 经由 SSH 封锁 详情 IP 地址 [141.98.10.210] 已被 synology 经由 SSH 封锁 详情 IP 地址 [167.71.192.234] 已被 synology 经由 SSH 封锁 详情 IP 地址 [122.234.90.184] 已被 synology 经由 SSH 封锁 详情 IP 地址 [61.184.24.249] 已被 synology 经由 SSH 封锁 详情 IP 地址 [134.122.63.202] 已被 synology 经由 SSH 封锁 详情 IP 地址 [141.98.10.179] 已被 synology 经由 SSH 封锁 详情 IP 地址 [199.195.248.154] 已被 synology 经由 SSH 封锁 详情 |
 |
47
lc7029 Jul 12, 2021
建议套一层 npv,不要直接暴漏在公网上。另外也不要用端口映射访问,域名已经备案但家庭宽带不能备案,用的话一样被封
|
|
48
DarryO OP @lc7029 请问 npv 是指什么?另外端口映射是放在有公网的服务器上的。访问内网还是通过高端口的,这种应该没问题吧?你所说的端口映射是指在局域网内的端口映射吗?
|
 |
49
Autonomous Jul 24, 2021
路由器上配置了防火墙,封锁了 SSH, Telnet, FTP 等默认端口,目前 NAS 没有出现非法登陆的日志
|
 |
50
dadofclayton Apr 10, 2024
@lozzow 前天我还这么认为,所以昨天和今天,就努力的看这些方面的信息,找解决方法。昨天早晨,发现被撞库登录很久了,虽然一直失败。直到昨天发现一台服务器的防火墙密密麻麻的登录失败记录。
|
Select Language