nas 暴露在公网有多危险？

nas 新手请教，在 v2 经常看到一种说法不要暴露 nas 在公网。
可是拿群晖 nas 来说，系统集成的各种功能不就是为了方便公网使用 nas 吗？

目前有一台白群晖 nas ，鉴于 qc 访问实在是慢如蜗牛，所以配置了仅 ipv6 ddns 绑定自己的域名（宽带没有 ipv4 公网地址），op 硬路由仅开放了访问 nas 的端口，dsm 系统用户添加了两步验证，如此配置的情况下还是会被爆破吗？

另外测试发现运营商 ipv6 地址没有封锁 80 、443 端口，在绑定二级域名的情况下使用 443 端口会被警告吗？

msg7086

1 天前

不是爆破的问题，而是可能会有漏洞导致不需要爆破就能进入系统。
VMware 系统以前出过漏洞，登录界面不需要输入管理员账号密码，直接用漏洞就可以获得管理员权限。
更别说 NAS 这样民用级的东西了。

li19910102

1 天前

我家用的 nas 以及公司用的 nas 在公网 ip 上暴露了好几年了，每时每刻都能看见不明设备 ip 扫描的记录，也没见被什么人黑进去，只要 nas 设置好防护就没什么问题。

HeHeDa

1 天前

@msg7086 这个确实，可如果仅使用 qc 也会存在这样的隐患吧？不过群晖系统好像还没有出现漏洞的历史记录

MFWT

1 天前

比如说，我有 ABCD 四个服务暴露在公网，假设其中一个服务有漏洞，就有可能导致 NAS 被攻破
平时说的不要暴露在公网，严格来说指的是不要不做防护就暴露出来，还是刚刚那个例子，如果我用 VPN 把 ABCD 都包起来，再暴露，那么即使他们都有漏洞，也不必担心。假如真的那么不好运，VPN 有漏洞，那么更换 VPN 即可，不必费心排查其他漏洞

NoInternet

1 天前

如果只用 IPV6 访问的话，这东西时不常会变，地址又那么多，再来个高位端口被扫到应该挺难的。是不是就安全多了。
如果碰巧被有漏洞的人扫到了入侵了安了后门了那就不好说了。

HeHeDa

1 天前

@MFWT 学习了，不过我目前就只有访问 dsm 的需求，后面服务多了应该是要考虑 vpn 了

msg7086

1 天前

@HeHeDa 以前没出现过漏洞不代表不会有漏洞。
毕竟连 CPU 设计不当都会导致数据侧信道泄露这个普通人你说会想得到嘛。
所以一般来说要安全的话，就要用信得过的协议和软件，比如直接用 SSH 连接访问，然后祈祷 SSH 不要爆出奇怪的漏洞，又比如用 wireguard 或者 zerotier 之类的 VPN 走内网隧道来访问。

当然了，安全性和便捷性本就是冲突的，只要你自己能接受一定的妥协就行。

swiftg

1 天前

@HeHeDa 刚出的新闻，群晖出了个核弹级的 0day 漏洞，通过公网 ip 和 qc 都可以被执行，直接获取 root 权限，不需要登录。还好是白帽先发现的，刚出了紧急更新

halofingle

1 天前

一般来说，至少要做一下端口映射，不要把原服务端口直接暴露到公网，对于 http 服务还可以做一下反向代理。

kekylin

1 天前

按最小暴露原则使用，非必要服务不要直接暴露在公网。需要暴露的服务做好防护措施再暴露出来。
我自己使用动态公网 IP 四年多了，到现在都没有遇到过被攻击的现象。
NAS 服务搭建起来，多人使用如果说有些服务不直接暴露在公网，使用体验大大打折扣。

lxh1983

23 小时 52 分钟前

只要一直最新版本的软件和系统，没有那么多 0day 。0day 值钱的很，为了抓你的肉鸡浪费 0day 可不合算。要真的安全，你得像保密网络一样，物理隔离

dfdd1811

23 小时 52 分钟前

换个端口，我之前一直 https+otp 也没啥事，就暴露页面，ssh 没有。现在用 vpn 是怕运营商找茬

SouLX

23 小时 22 分钟前

我暴露一年多了公网 ip unraid ，之前开 ssh 被爆破了一直在跑字典，后来关了就好了。域名映射了差不多是个服务在公网。没啥事

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1090232

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.