最近把 nas(群晖)暴露在公网上了,想请教下有什么安全性或者被封的问题。

2021-07-09 10:52:23 +08:00
 DarryO

安全相关的知识不多,请教下了解的各位。

介绍下环境:

  1. 白群晖(7.0)
  2. 通过 frp(server: 腾讯云,client:梅林路由,单独暴露 nas 的一个地址)实现内网穿透;(P.S 之前觉得商业化的产品会比较稳定,花了不少钱在花生壳上,稳定性堪忧,没有一次能坚持一天不让我重启恢复的,后悔花了一千多...)
  3. 目前是 http 访问的模式,没有配置 https,以防万一开启了二次验证(手机上 microsoft 的令牌)。用户名密码是单独用在 nas 上的,不会被撞库。不过不太确定要不要做一下 https 。
  4. 域名有备案,不过最初没有用在 nas 上的打算。nas 用的二级域名网页也不会显示备案号就是了。不过我只自己和家人用(人数<4)而已。

上面这个配置,有什么风险吗?

12354 次点击
所在节点    NAS
50 条回复
coolcoffee
2021-07-09 11:01:03 +08:00
虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录,但是如果别人把 cookie 监听下来,直接访问不就可以了吗?

像很多东西就算加了认证,仍然不能保证出现各种乱七八糟的 bug 或者后门,比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。
你相当于把自家的保险箱放在大门口,跟别人说我家保险箱很安全,你随便试,万一哪天保险箱出现指纹门锁一样,用一个特斯拉线圈就能万能开锁的漏洞呢。

所以,最差最差,https 一定要配置。 后面看个人折腾能力,wireguard 也给加上,双重配置才能最大可能减少风险。
imnpc
2021-07-09 11:12:29 +08:00
https 应该是基本配置才对
我的白裙 黑裙都开是开 https + 两步验证
白裙还开了 硬件安全密钥
feitxue
2021-07-09 11:14:28 +08:00
有腾讯云了,宝塔上个 https 不是很简单的事情吗
banricho
2021-07-09 11:18:17 +08:00
https + 两步验证是必须的。
另外提供一个思路,在路由器上架设一个 ss-server,端口映射只开 ss-server 的。

这样的好处是可以和移动设备的 clash 或其他程序配合,匹配规则是你的 nas 域名,就通过 ss 到自家路由器进入内网,才可以访问到 nas 。相比其他内网穿透思路,这个方法不需要在移动设备安装多余的 app,只要规则配置的好,是完全无感的。

风险是可能被电信封端口,尽量找个比较高的端口。
whcoding
2021-07-09 11:20:13 +08:00
我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行
noahzh
2021-07-09 11:31:30 +08:00
用 wireguard 做内网访问吧,这样最安全。
AS4694lAS4808
2021-07-09 11:37:01 +08:00
卧槽,没有 http 吗?访问 nas 的网络有人监听,基本就跟没有安全一样吧。。。
arischow
2021-07-09 12:29:43 +08:00
VPN 回去后用内网 IP 访问
villivateur
2021-07-09 12:37:44 +08:00
家宽不要直接访问,几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透
LnTrx
2021-07-09 12:54:17 +08:00
VPN 类的最为保险但麻烦
直接网页访问,有必要 https,人后关掉 http 。
生活环境有 IPv6 的话可以考虑利用,省掉 frp
DarryO
2021-07-09 13:58:52 +08:00
多谢各位提醒,看来是我想得太简单了...
DarryO
2021-07-09 14:02:48 +08:00
@villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗?
DarryO
2021-07-09 14:13:31 +08:00
@AS4694lAS4808 你是指 https 吗?原本我设置了两步验证,手机令牌,以为就算被监听了,内容也不是很敏感,也还好...不过上面老哥提醒的 cookie 确实没考虑到。
DarryO
2021-07-09 14:16:48 +08:00
@banricho 我目前就是内网穿透的,只暴露了 nas 的登陆界面端口映射到云上服务器的某个高端口,应该效果和 ss-server 差不多吧?
DarryO
2021-07-09 14:17:28 +08:00
@imnpc 请问硬件安全密钥是哪里设置的呀?我没有找到
DarryO
2021-07-09 14:18:29 +08:00
@coolcoffee 了解,多谢提醒。
imnpc
2021-07-09 14:22:41 +08:00
@DarryO #15 DSM 7.0 需要登录群晖帐号以后才能出现
kright
2021-07-09 14:30:57 +08:00
群晖上可以添加一个 VPN 套件,简单设置一下就可以了。
手机和电脑通过 VPN 回去很方便,额外的一个好处是,如果家里的网络是全局科学上网的话,连上 VPN 也可以享受到这个好处。
总之,爽歪歪
yuejieyao
2021-07-09 14:37:47 +08:00
我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题
baoei
2021-07-09 14:42:54 +08:00
我的啥安全也没设, 群晖 7.0

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788457

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX