群晖 DSM 开启外网访问（DDNS）有被黑的朋友吗

当然 NAS 外网访问的话肯定是 VPN 连回来更安全。
那假如我开启两步验证和 https，然后开启 block ip，那 DSM 的防御性到底够强吗，听说以前很多群晖因为直接开启 DSM 外网访问被黑，不知道这个风险到底在什么程度？

IsA26hN4DcQDS7Z9

2020-11-15 17:57:51 +08:00

密码忘了，把自己封禁的算不算

henryshen233

2020-11-15 19:18:58 +08:00

@Sharuru 5001 建议改成高端口好点

gabon

2020-11-15 19:20:41 +08:00

做了 ddns 之后有大量登录失败的日志，开了限制登录次数

kokomo

2020-11-15 19:32:32 +08:00

开了两步验证，感觉还好！
http://kokomo.gicp.net:5000

vibbow

2020-11-15 19:34:30 +08:00

我目前用了另外一种方法：
路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS

这样只有使用正确的域名才能访问进来，仅仅端口扫描是无效的。

henryshen233

2020-11-15 19:36:29 +08:00

@kokomo 还是要配置 https 比较好

henryshen233

2020-11-15 20:43:49 +08:00

@vibbow 好复杂，暂时不懂

lifanxi

2020-11-15 23:31:31 +08:00

自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https，t 长期挂公网上五六年了，还没有被干掉过。
当然 VPN 更安全，但是不方便。

Xusually

2020-11-15 23:58:55 +08:00

一直都是 vpn 回去内网访问的。
端口直接映射暴露的话，如果 web server 或者群晖的 web 应用有漏洞就会中招。

1if5ty3

2020-11-16 00:10:44 +08:00

5000 5001 5005 5006 还有 ftp，一些 pt 端口都开着，很久没有封锁通知了。
偶尔也会看下日志，ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主，也不会太担心。

z761031

2020-11-16 00:38:12 +08:00

天天有人扫，起码要改个端口，免得被一锅端

JoeoooLAI

2020-11-16 10:58:38 +08:00

改了默认端口，登陆邮件通知。。狠一点可以搞二步认证，要么就搞个有固定 ip 的跳板反代，群晖只白名单那个 ip

JoeoooLAI

2020-11-16 11:03:19 +08:00

防火墙，非中国 ip 自动 ban 掉也是可以的，哪有绝对安全，就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证，把命交给群晖。

clalala

2020-11-16 11:20:44 +08:00

5000 的端口在公网，没被爆破过，22 端口有一次忘记关了，被国外的 ip 爆破了，不过密码错 3 次被禁封了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.