把家用文件服务器开放到公网,有什么手段可以避免被攻击?

2023-04-22 12:47:53 +08:00
 Cineray

上周叫师傅开通了家用公网,一个月 20 块钱。

想搭建一个 samba 或者 webdav 服务器,给公司和外出作文件分享使用。

先前的方案是坚果云,无奈空间太小价格太贵,其他的网盘又担心资源和谐问题。

有没有什么方法可以既保证一定安全的情况下,又可以自己舒服的同步和传输文件?

目前已经设置的:

  1. open 端口设置为非常用端口,5 位数,应该可以避免一定扫描。
  2. samba 密码复杂度包括大小写字母,数字和符号。
  3. 禁止 guest 访问。
  4. 使用 samba 2.0/3.0 ,关闭 samba 1.0 协议。

但是除此之外就不知道还需要如何设置了。

或者有什么更好的文件服务器部署方式,可以推荐以下。

10649 次点击
所在节点    宽带症候群
94 条回复
kkocdko
2023-04-22 14:05:29 +08:00
webdav 比较合适,开 https 并且密码有足够复杂度就行。只要操作规范,相信密码学和数学的力量。
makelove
2023-04-22 14:07:10 +08:00
高位端口 + webdav nginx 前端足够了,能突破这个的都是百万级大杀器,不可能浪费在你身上
LiSrRbE2Mac
2023-04-22 14:14:36 +08:00
fail2ban
根据登录日记自动封禁,可以根据登录失败次数改变封禁时间,逐渐拉长
lwjef
2023-04-22 14:21:01 +08:00
@hefish #11 还想做二级,配吗。🐶
hefish
2023-04-22 14:23:46 +08:00
@lwjef 这不是按照规范来的嘛,你出个 5 万,保管有人来做。出正式网安备案的报告。
lwjef
2023-04-22 14:28:14 +08:00
@hefish #25 可以按二级要求来做,但是配不配定成二级我是这个意思。
totoro625
2023-04-22 14:31:54 +08:00
打算分享的话,你就没办法设置太高的门槛,如端口敲门等防护都没办法开启

samba 默认是无法设置端口号的,所以只能放弃该方案

我是自建的 Seafile ,带 webdav ,而且能多用户控制、去重、分享等等,自带 App ,同步软件,缺点是服务端比较重,部署麻烦: https://cloud.seafile.com/published/seafile-manual-cn/home.md
其次推荐 filebrower ,很简单好用: https://github.com/filebrowser/filebrowser
Believer
2023-04-22 14:33:00 +08:00
最小攻击面,入站只留 vpn 的端口其他都 drop
Cineray
2023-04-22 14:55:02 +08:00
@totoro625 samba 我是准备设置端口转发的方式改,感觉最主要是安全问题。Seafile 和 filebrowser 我有考虑,这种就是不知道什么时候出个 0day 就比较麻烦。
SenLief
2023-04-22 15:12:46 +08:00
如果用公网最好的还是 wireguard ,我现在有时候翻出来都是网络先回家再从家里代理出去。wg 这个协议大部分代理 app 都支持的。
Jamy
2023-04-22 15:19:02 +08:00
首先用 iptables 把 samba 对外端口全部禁用了, 然后做一个需要登陆的 web 界面, 登陆成功之后,调用 iptable ,允许指定的 ip 连接 samba 。退出登陆的时候,再继续禁用。最大限度减少端口暴露于公网的时间。
Eytoyes
2023-04-22 15:23:04 +08:00
主路由开 VPN 模式最佳,就像在家里一样,软件配置也不需要改动,主路由性能不够的话 60 元买个魔百盒刷 armbian 做旁路由,性能强劲功耗也低。
Jamy
2023-04-22 15:29:08 +08:00
@Jamy 其他更详细方法,请 google 端口敲门。
Fri
2023-04-22 15:39:02 +08:00
楼主搜一下“端口敲门”,可能有帮助。
mohumohu
2023-04-22 15:55:27 +08:00
zerotier 穿透一点都不慢,在其中一端有公网 IP 的情况下百分百打洞成功,而且还加密压缩流量甚至更快更安全,还不用主动暴露任何端口。另外,zerotier 也可以自建私服的,教程很多,比如这个教程: https://blog.03k.org/post/zerotier-moon-ui.html
totoro625
2023-04-22 16:12:13 +08:00
@Cineray #29 担心安全问题那就 filebrowser 吧,docker 部署,只映射一个能公开的目录,专门用于分享

因为我是 Windows ,直接用 Tailscale 方式组网后通过 samba 回家,隔了 2 个地级市只有 15ms ,能跑满带宽,相对公网比较安全
yufeng0681
2023-04-22 16:21:27 +08:00
阿里云盘 一年 88 元的时候 ,你可以选择续三年的。6T 空间足够你放,分享。速度也很快。
现在价格升到 168 一年( 8T ),如果你分享频率高,用这个省时间,高效。
Cineray
2023-04-22 16:39:29 +08:00
@Jamy 是一个有意思的解决方式,有点像 ddnsto
Cineray
2023-04-22 16:41:02 +08:00
@yufeng0681 公有云我应该考虑做一层备份,主要是怕删东西。。
yws112358
2023-04-22 16:59:37 +08:00
seafile 好用不 安全性 便利性

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/934526

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX