nas 暴露在公网有多危险？

主要是，你永远不知道你安装的服务，是否安全可靠，所以，非必要不暴露；
vpn 回家、xray 反代回家，都可以实现从外面访问家里

Q：系统集成的各种功能不就是为了方便公网使用 nas 吗？

A：不是。甚至应该仅内网使用。

@MFWT 分享一下家里如何搭建 VPN 呗？是在 NAS 上搭建？还是路由器上？

@xueyuehua 这样的话，应该只有 moon 的中继端口是暴露在公网，zt 网络本身是零信任的，所以只要 zt 的 moon 服务器本身不出漏洞 ，应该就是很安全的

尽量减少暴露在公网的服务吧，指不定哪天爆出来一个未授权命令执行就打崩了。

虽然 IPv6 地址稀疏难以被扫描到，但是仍然有很多方式可以进行 IPv6 的地址空间的资产探测，有兴趣的可以读一读 rfc7707 ，依靠 IPv6 地址的稀疏性作为安全屏障是不太可取的。
除去容易想到的从网站访问日志、流量镜像中获取 IPv6 地址守株待兔的方案，还有很多主动探测的方案。比如几年前比较经典的利用熵生成 IPv6 地址然后探测的方案 https://dl.acm.org/doi/10.1145/2987443.2987445 ,这个方案之后有很多类似算法的衍生方案。

另外，近几年群晖漏洞不断，虽然近期没有啥好用的未授权，但以前是有过严重漏洞的，防不住哪天就整个出来个大新闻。
https://conference.hitb.org/hitbsecconf2021ams/materials/D1T2%20-%20A%20Journey%20into%20Synology%20NAS%20-%20QC.pdf
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=synology
https://www.cvedetails.com/vendor/11138/Synology.html

当然，话说回来，我们这些麻瓜不值得这种高等级魔法的攻击，但万一神仙打架伤到我们了也不太妙，还是稳妥一点比较好。

@zoumouse 这样疯狂被扫，是不是用的默认端口啊

我目前在用 群晖套件 openvpn

我一般是常用应用端口号 +1 暴露在公网的，比如 远程桌面 3389 ，我这边设置 3390 。这有啥问题吗

有一次突然发现连续好几天持续的尝试登录失败，赶紧设置了两步验证和登录失败就封 IP ，现在很少了

我所有的服务都开着公网端口暴露包括 Windows 主机也是 3389 直接暴露的，安全么？看日志经常见到一些扫描的，但是目前为止从未有被攻破的，唯一的一次，aria2c rpc 接口没设密码被扫到了，自动下了一些东西到硬盘上，我看了一下是一些破解的脚本，然而我的 aria2c 是运行在 Windows 上的，传上来的 Linux 脚本屁用没用，后来加了一个密码就可以了。

提升安全性，可以添加两步验证机制：输入密码后通过邮箱验证。同时，配合限制 IP 访问频次的设置，可以有效减少异常登录提醒。我之前也担心类似问题，但通过这种方式后，未再收到异常访问提醒

@Aawhale 公网 IP 每周会更换，设置起来较为繁琐，我最终放弃了 DDNS 方案。目前已放弃使用，同时也在关注是否有新的方法可以实现便捷的远程访问

@qa52666 我目前的方案是路由器，让路由器做访问网关，因为考虑到集成进梯子（安卓端无法同时开两个 VPN 接口），所以实际上用的是 Shadowsocks ，直接在路由器上部署服务器，然后手机去连接就行

@HeHeDa 白群用户应该前两天有收到邮件吧 https://www.synology.com/en-us/security/advisory/Synology_SA_24_20

@xueyuehua 算吧，因为只要爆破你的 zerotier 账号就能登陆你家的网络

@msg7086 #8 是的，正规的 security 培训都假设现有的安全手段都有早晚会被干掉的一天。安全架构就是尽量推迟这个时间或者提高漏洞利用的成本，只要能达到无利可图，也能变相实现安全。

@Byleth 确实，看了各位的回复，准备先换个端口

因为对于大多数人来说，网络安全都不太注意。

一旦被人扫描，并入侵成功，你的资料可能被人给加密，然后被勒索比特币等。

遇到一次，就老实了。

说没漏洞的建议看看群晖的更新日志，只要群晖不小心漏一个 web 提权你就有遭殃的风险

我补充一个观点：

nas 的本质是数据存储和数据分享，他默认会有很多自动发现、自动关联的服务自动运行，甚至还有特殊的调试维护命令后门之类的方便厂商维护支持的功能。

这些功能与我们传统意义上的 “安全” 是有矛盾的，换个话说，就是 “安全” 和 “方便” 是天生的矛盾，而 nas 作为市场化的产品，他肯定要重点做“方便”，顺带兼顾 “安全”。

就算是我略懂一点计算机安全知识，有段时间我懒得折腾，直接把 nas DMZ 到公网，在配置了防火墙和访问策略，关掉所有自动发现服务，密码尝试 3 次失败就永久 block ip ， 就算这样我的防火墙每天收到上万次扫描阻拦日志。

后来我更懒的操心了，直接移回内网了。。

你如果想速度快点，有一个折衷的办法， 配置一个 wireguard ， 把 wg 的 udp 服务端口设置在高位（ 6 万左右），然后端口映射到公网，配置对内网的转发（或者干脆就在 wg 服务器上配本地反向代理）。

这样所有的外网访问内网收敛到 wg 的安全性，至少一个 udp 端口没那么显眼。。。