个人使用 NAS 的安全策略

2023-01-28 20:48:38 +08:00
 serafin

讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。

由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。

1 禁用 @admin 帐户

禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。

2 自动阻止

将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。

3 不要使用 DSM 的默认端口

不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。

4 SSH 仅限本地,或者 webSSH

不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。

5 使用 VPN 访问本地服务

使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。

6 远程访问用 WebDAV

在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。

7 不安装任何第三方套件

NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。

8033 次点击
所在节点    NAS
37 条回复
Apol1oBelvedere
2023-01-28 21:36:27 +08:00
很好的讨论,我的 IPv6 无需担心,没有 IPv4 公网只用 QuickConnect 很安全。
我额外做的:
1.导入中国屏蔽海外恶意扫描网址库。
2.启用 5 条防火墙规则,除局域网访问和大陆对部分服务的访问外,其他一切禁止,安全性大大增强。
dozer47528
2023-01-28 22:29:09 +08:00
@Apol1oBelvedere 中国屏蔽海外恶意扫描网址库,这个在哪有?
平时一直有人扫我 NAS ,我一般设置成失败 2 次就封禁,直接就封 365 天。

我家人账号都是普通用户,就算被攻破问题也不大。我自己的账号开 TOTP ,所以基本上不会有什么问题。

NAS 肯定是按端口把几个特定的服务开公网。
ltkun
2023-01-28 22:59:07 +08:00
我的选择是禁用 nas 关闭一切不正经的对外端口 ssh 都不允许有 除了 VPN
MeteorCat
2023-01-28 23:28:42 +08:00
如无必要端口全关,我觉得这个最安全
lyc8503
2023-01-29 01:13:23 +08:00
关闭一切端口, 只开一个 vmess 隧道 /SSH 隧道, 所有服务使用 Docker 隔离
tengyoubiao
2023-01-29 07:39:57 +08:00
不用的时候关机,要用之前 wol 唤醒,配合上面的策略,减少在线时间
documentzhangx66
2023-01-29 08:23:22 +08:00
有一种安全且简单的办法是,买台最便宜的云主机,作为中转服务器,NAS 不直接对公网服务,NAS 、跳板机、外网机器通过 WG 或 OpenVPN 组件虚拟局域网。

这种好处是,黑客需要先攻破 WG 或 OpenVPN 才能进入跳板机,然后还需要掌握别的漏洞或账号,才能攻入系统。

这样做的坏处是,云主机贵,需要额外一笔钱,而且国内云主机大多是固定带宽,带宽小。
TerranceL
2023-01-29 09:54:11 +08:00
dozer47528
2023-01-29 10:00:57 +08:00
看到楼上好多都是用 vpn 的,的确这样黑客攻破的难度就多了一层。不用 vpn 一旦 openwrt 或者 dsm 有安全漏洞就会被攻破。

但是,用了 vpn 怎么实现给家人访问的需求?我全家都在用我的 nas ,总不能给所有人装 vpn 吧?
我还有共享照片连接给朋友的需求,也不可能让朋友装 vpn 。
zer
2023-01-29 10:14:07 +08:00
@dozer47528 VPN 可以设置只走内网网段,这样客户端常开着也没影响
dozer47528
2023-01-29 10:39:48 +08:00
@zer 如果只是我一个人使用,那没什么问题。但我平时会给亲戚朋友用,例如拍了照片视频,需要分享给朋友。我发一个 Photos 共享链接就行了,密码都可以不需要,也不是什么很私密的照片。
ccxuy
2023-01-29 10:57:46 +08:00
@zer 手机 app 也可以么, 比如 openvpn
zer
2023-01-29 11:21:28 +08:00
@ccxuy 应该都行吧,只允许指定网段走 vpn ,其他都默认
wangnimabenma
2023-01-29 11:25:11 +08:00
我就设置了个防火墙
adminfender
2023-01-29 11:38:46 +08:00
我自己家用网络除了特殊像 ipmi 或 esxi 这种设了白名单,能走内网 vpn 走内网 vpn 外,基本上就是多备份重要资料吧,现在在考虑定期冷备的事情
shalingye
2023-01-29 12:07:10 +08:00
我用的 windows ,还可以做一层 vhd 防护
OysterQAQ
2023-01-29 12:29:51 +08:00
防火墙+vpn 访问就行了
EvineDeng
2023-01-29 12:43:04 +08:00
除了上面的常用措施,我额外在路由器上设置了指定端口只允许本省电信 IP 访问。
mXw
2023-01-29 13:22:40 +08:00
@lyc8503 我和你差不多...
blankmiss
2023-01-29 13:29:19 +08:00
我没你们那么严谨 我直接公网反代理出去了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/911157

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX