V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DarryO
V2EX  ›  NAS

最近把 nas(群晖)暴露在公网上了,想请教下有什么安全性或者被封的问题。

  •  1
     
  •   DarryO · 198 天前 · 6076 次点击
    这是一个创建于 198 天前的主题,其中的信息可能已经有所发展或是发生改变。

    安全相关的知识不多,请教下了解的各位。

    介绍下环境:

    1. 白群晖(7.0)
    2. 通过 frp(server: 腾讯云,client:梅林路由,单独暴露 nas 的一个地址)实现内网穿透;(P.S 之前觉得商业化的产品会比较稳定,花了不少钱在花生壳上,稳定性堪忧,没有一次能坚持一天不让我重启恢复的,后悔花了一千多...)
    3. 目前是 http 访问的模式,没有配置 https,以防万一开启了二次验证(手机上 microsoft 的令牌)。用户名密码是单独用在 nas 上的,不会被撞库。不过不太确定要不要做一下 https 。
    4. 域名有备案,不过最初没有用在 nas 上的打算。nas 用的二级域名网页也不会显示备案号就是了。不过我只自己和家人用(人数<4)而已。

    上面这个配置,有什么风险吗?

    49 条回复    2021-07-24 17:03:34 +08:00
    coolcoffee
        1
    coolcoffee  
       198 天前   ❤️ 2
    虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录,但是如果别人把 cookie 监听下来,直接访问不就可以了吗?

    像很多东西就算加了认证,仍然不能保证出现各种乱七八糟的 bug 或者后门,比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。
    你相当于把自家的保险箱放在大门口,跟别人说我家保险箱很安全,你随便试,万一哪天保险箱出现指纹门锁一样,用一个特斯拉线圈就能万能开锁的漏洞呢。

    所以,最差最差,https 一定要配置。 后面看个人折腾能力,wireguard 也给加上,双重配置才能最大可能减少风险。
    imnpc
        2
    imnpc  
       198 天前   ❤️ 1
    https 应该是基本配置才对
    我的白裙 黑裙都开是开 https + 两步验证
    白裙还开了 硬件安全密钥
    feitxue
        3
    feitxue  
       198 天前   ❤️ 1
    有腾讯云了,宝塔上个 https 不是很简单的事情吗
    banricho
        4
    banricho  
       198 天前   ❤️ 1
    https + 两步验证是必须的。
    另外提供一个思路,在路由器上架设一个 ss-server,端口映射只开 ss-server 的。

    这样的好处是可以和移动设备的 clash 或其他程序配合,匹配规则是你的 nas 域名,就通过 ss 到自家路由器进入内网,才可以访问到 nas 。相比其他内网穿透思路,这个方法不需要在移动设备安装多余的 app,只要规则配置的好,是完全无感的。

    风险是可能被电信封端口,尽量找个比较高的端口。
    whcoding
        5
    whcoding  
       198 天前   ❤️ 1
    我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行
    noahzh
        6
    noahzh  
       198 天前   ❤️ 1
    用 wireguard 做内网访问吧,这样最安全。
    AS4694lAS4808
        7
    AS4694lAS4808  
       198 天前   ❤️ 1
    卧槽,没有 http 吗?访问 nas 的网络有人监听,基本就跟没有安全一样吧。。。
    arischow
        8
    arischow  
       198 天前 via iPhone   ❤️ 4
    VPN 回去后用内网 IP 访问
    villivateur
        9
    villivateur  
       198 天前 via Android   ❤️ 2
    家宽不要直接访问,几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透
    LnTrx
        10
    LnTrx  
       198 天前   ❤️ 1
    VPN 类的最为保险但麻烦
    直接网页访问,有必要 https,人后关掉 http 。
    生活环境有 IPv6 的话可以考虑利用,省掉 frp
    DarryO
        11
    DarryO  
    OP
       198 天前
    多谢各位提醒,看来是我想得太简单了...
    DarryO
        12
    DarryO  
    OP
       198 天前
    @villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗?
    DarryO
        13
    DarryO  
    OP
       198 天前
    @AS4694lAS4808 你是指 https 吗?原本我设置了两步验证,手机令牌,以为就算被监听了,内容也不是很敏感,也还好...不过上面老哥提醒的 cookie 确实没考虑到。
    DarryO
        14
    DarryO  
    OP
       198 天前
    @banricho 我目前就是内网穿透的,只暴露了 nas 的登陆界面端口映射到云上服务器的某个高端口,应该效果和 ss-server 差不多吧?
    DarryO
        15
    DarryO  
    OP
       198 天前
    @imnpc 请问硬件安全密钥是哪里设置的呀?我没有找到
    DarryO
        16
    DarryO  
    OP
       198 天前
    @coolcoffee 了解,多谢提醒。
    imnpc
        17
    imnpc  
       198 天前
    @DarryO #15 DSM 7.0 需要登录群晖帐号以后才能出现
    kright
        18
    kright  
       198 天前   ❤️ 2
    群晖上可以添加一个 VPN 套件,简单设置一下就可以了。
    手机和电脑通过 VPN 回去很方便,额外的一个好处是,如果家里的网络是全局科学上网的话,连上 VPN 也可以享受到这个好处。
    总之,爽歪歪
    yuejieyao
        19
    yuejieyao  
       198 天前
    我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题
    baoei
        20
    baoei  
       198 天前
    我的啥安全也没设, 群晖 7.0
    codyfeng
        21
    codyfeng  
       198 天前 via Android
    暴露到公网要有丢失所有数据的觉悟。
    0o0O0o0O0o
        22
    0o0O0o0O0o  
       198 天前 via iPhone
    真想安全那起码不要暴露到公网,无论是不是 https
    zzutmebwd
        23
    zzutmebwd  
       198 天前
    https 必开,启用自动封锁,只开 5001 端口和 6690 端口无风险的。我 ddns 端口转发开了三年了,目前无问题,当然我同步备份了 onedrive 。
    非 80 端口不用备案。
    jiangyang123
        24
    jiangyang123  
       198 天前
    @zzutmebwd #23 并不是这样 ,只要你开了端口,就有可能被叫去喝茶
    zzutmebwd
        25
    zzutmebwd  
       198 天前
    @jiangyang123 我开了 22 3389 5000 5001 8096 8920 用了很多年,至今无碍。
    这些端口自用 https 被喝茶有案例吗?怕不是石乐志。
    lozzow
        26
    lozzow  
       198 天前
    我就开个了个 ssh,走的非 22 端口,我还是弱密码,都好几年了,没啥问题
    Linken404
        27
    Linken404  
       198 天前   ❤️ 1
    想黑你并不困难,但一般个人的设备也没那么重要,不要老是被迫害妄想症。面对那种大网捞鱼的攻击,只要做到最基础的防护一般都不会有问题的,除非有身边或附近的人特意去针对你...
    而基本防护,例如:仅使用 https 、修改默认端口、避免弱密码,只要这三点能做到,就不会出问题。
    前提:没有人以你为目标故意搞你。有的话就不是这种常规家用的安全问题了。
    至于喝茶,至少内网穿透跟 ddns 高位端口去做正常事,都是不会被封的。
    heliotrope
        28
    heliotrope  
       198 天前
    没备案信息开放 http 服务会被电信 CALL
    我没被 CALL
    之前 chh 上看到有人被 CALL
    后面所有 http 服务都加域名校验 还有登录校验
    ilovekobe1314
        29
    ilovekobe1314  
       198 天前
    我黑群晖 http,域名备案,复杂密码,楼主说的我都慌了
    stroh
        30
    stroh  
       198 天前 via iPhone
    https 有什么好的免费的么?
    A8
        31
    A8  
       198 天前
    DarryO
        32
    DarryO  
    OP
       198 天前
    @A8 我局域网环境也不是单层的,有些设备没有操作权限,做 DDNS 不是很方便。
    DarryO
        33
    DarryO  
    OP
       198 天前
    @stroh 我自用的 已有的几个用的是腾讯云合作的免费名额(不支持泛域名,50 个以内),暂时用着还行。只是之前觉得两步验证也没什么问题,就没部署到 nas 上。

    不过我对这个也没深入了解过,如果有清楚的大佬可以讲下优缺点。
    jfdnet
        34
    jfdnet  
       198 天前
    个人建议把你需要用的服务单独配置端口到外网使用。NAS 本身不要暴露出去。
    Decent
        35
    Decent  
       198 天前 via iPhone
    不要开 web 服务,只开 tcp 端口用 v2 或者 ss,v2 的话做个内网路由就可以了
    arischow
        36
    arischow  
       198 天前 via iPhone
    我补充一下自己前面说的,web 服务这么做,文件同步服务就可以直接 https,方便。
    villivateur
        37
    villivateur  
       197 天前 via Android
    @DarryO 运营商会给你发警告
    wangweitung
        38
    wangweitung  
       197 天前 via Android
    @arischow 用的哪个? PPTP 好像不能用了
    arischow
        39
    arischow  
       197 天前
    @wangweitung 我自己用的是 L2TP/IPSec 。我还在用 DSM 6 哈
    Huskylee
        40
    Huskylee  
       195 天前
    黑群晖 https 公网 IP 暴露一年使用正常
    stroh
        41
    stroh  
       195 天前
    @DarryO 我用的群辉自带的 https,这个有什么弊端么?
    AS4694lAS4808
        42
    AS4694lAS4808  
       195 天前
    @DarryO https 。。少打了个字。。没上 https,尤其又是 nas 设备,上传下载个文件,中间经过的路由都能拿来看一看。有的同学说别迫害妄想,来说下我的 NAS 吧:使用联通的公网 IP,基本一两天换一次 IP,但是架了一段时间,发现安全和登录日志以及 nginx 各个端口的访问日志简直惨不忍睹,最后逼着上了 fail2ban 才消停。
    AS4694lAS4808
        43
    AS4694lAS4808  
       195 天前
    @DarryO 不知道为啥不让发。。55Sa6Iez5pyJ5LiA5qyh5a6h5qC4IG5naW54IOiuv+mXruaXpeW/l++8jOWPkeeOsOacieS4quS/hOe9l+aWr+eahCBJUCDlsJ3or5XkuobmiJHlkITnp43mnI3liqHnmoQgMGRheSDmvI/mtJ7vvIznhLblkI7ov5jlsJ3or5XmiJHmmrTpnLLlh7rmnaXnmoQgb3BlbndydCDlvLHlr4bnoIHlkozml6fniYjlt7Lnn6XnmoTmlLvlh7sgcGF5bG9hZO+8jOi/mOWlveaIkee7j+W4uOabtOaWsOOAguOAgui/meaYr+aIkeS4uuS7gOS5iOWcqOaJgOaciSBuZ2lueCDnq6/lj6PliY3liqDkuoblvLrlr4bnoIHjgILjgILjgILpurvng6bmmK/purvng6bvvIzkvYbmmK/lv4Pph4zlronnlJ/ngrnjgILjgII=
    lanceb1uy
        44
    lanceb1uy  
       195 天前
    就开 2 个端口 ocserv+ssh
    家宽暴露 web 总觉得不安全
    noahzh
        45
    noahzh  
       195 天前
    买台公网 vps,起个 wiregurad,所有请求都是走 vpn,就完了,这样不需要你有公网 ip,也安全。
    stroh
        46
    stroh  
       195 天前
    自从开启了防护,就发现每天被攻击
    IP 地址 [20.38.175.27] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [141.98.10.210] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [167.71.192.234] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [122.234.90.184] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [61.184.24.249] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [134.122.63.202] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [141.98.10.179] 已被 synology 经由 SSH 封锁 详情
    IP 地址 [199.195.248.154] 已被 synology 经由 SSH 封锁 详情
    lc7029
        47
    lc7029  
       195 天前
    建议套一层 npv,不要直接暴漏在公网上。另外也不要用端口映射访问,域名已经备案但家庭宽带不能备案,用的话一样被封
    DarryO
        48
    DarryO  
    OP
       194 天前
    @lc7029 请问 npv 是指什么?另外端口映射是放在有公网的服务器上的。访问内网还是通过高端口的,这种应该没问题吧?你所说的端口映射是指在局域网内的端口映射吗?
    Autonomous
        49
    Autonomous  
       183 天前
    路由器上配置了防火墙,封锁了 SSH, Telnet, FTP 等默认端口,目前 NAS 没有出现非法登陆的日志
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1139 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:55 · PVG 02:55 · LAX 10:55 · JFK 13:55
    ♥ Do have faith in what you're doing.