个人使用 NAS 的安全策略

2023-01-28 20:48:38 +08:00
 serafin

讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。

由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。

1 禁用 @admin 帐户

禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。

2 自动阻止

将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。

3 不要使用 DSM 的默认端口

不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。

4 SSH 仅限本地,或者 webSSH

不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。

5 使用 VPN 访问本地服务

使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。

6 远程访问用 WebDAV

在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。

7 不安装任何第三方套件

NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。

8030 次点击
所在节点    NAS
37 条回复
wukong888
2023-01-29 13:49:33 +08:00
用的极空间,有啥安全策略不?
peasant
2023-01-29 14:07:43 +08:00
用的 frp 设置域名访问内网 web 服务,不知道域名访问不了,域名本身解析的是 nas 局域网 IP ,在外面需要用的时候手动绑 hosts 访问,手机用 surge 添加的 DNS 映射,根据网络自动判断是解析到云服务器 IP 还是局域网 IP
ouou0701
2023-01-29 14:42:34 +08:00
用了二次验证码,每次都要去小程序看一下验证码
nrtEBH
2023-01-29 15:34:06 +08:00
个人觉得最大的威胁还是来自内部 内网机器中毒 特别是局域网里有非自己常用的设备,例如老爸老妈的 PC,安卓手机,安卓机顶盒 简单的做法是 ip 白名单 或者把非必要端口都关掉
还有一些潜在漏洞是各种开源的服务端程序,比如 qbittorrent,owncloud 之类的需要对外开放端口的服务 建议用 docker 做隔离 不要直接桥接在 lan 上
kozalak
2023-01-29 15:39:28 +08:00
第 6 点有教程吗
ccxuy
2023-01-29 16:11:11 +08:00
@zer 至少 openvpn 这边好像没有可以配置的地方,估计需要更高级的工具,比如 qX 之类的,这样也许可以同时支持几个 VPN ?
int11
2023-01-29 16:50:42 +08:00
nas 上有好多 emby 之类的服务,平常都是 ddns 域名加端口直接访问的,想请教下如何在不影响体验的情况下加强安全性
Lentin
2023-01-29 16:51:40 +08:00
@TerranceL #8 玩了一下 bgp ,好像必须要对端操作一下才能实现自动路由封锁?不是面向公众服务吧=。=
setrmrf
2023-01-29 17:03:07 +08:00
我只有一条:禁用密码与证书验证,使用 MTLS 进行认证
THESDZ
2023-01-29 17:29:01 +08:00
@int11 #27 可以使用反向代理+https 包裹的方式,我都是用 docker 隔离+traefik 反代的方式进行访问
docker 映射的端口只有 traefik 的 443 (或者设置为 8443 等)端口
abc8678
2023-01-29 22:13:59 +08:00
用过微联通的 qnapcloud ,一刷新就一堆尝试登录的记录,一分钟就破万了。(反而是我自己要用 qnapcloud 时就很不稳定,十次有四次连不上,四次低速到文件名都一行一行加载)。后来换了自定义的域名才安静下来,设置一下名单,终于没什么人来用了。这样一来,品牌的连接服务是用不上了,有点想用第三方机器搭建黑群晖或黑微联通或 Windows Server 了(目前的 TS-212P3 卡死了),但又考虑到没有品牌方的固件更新,碰上什么漏洞又不懂对付或没精力去持续折腾,所以还是拿不定要怎么做
hanguofu
2023-01-29 23:40:30 +08:00
请问怎样才能防止普通用户不断试探管理员的帐号和密码啊?
silymore
2023-01-30 00:35:00 +08:00
不用 ddns 和 dmz ,外网访问只走 quickconnect 有风险吗
silymore
2023-01-30 00:37:12 +08:00
另外我还开了文件夹加密,没太注意到有性能损失,直接拔盘或者坏了返厂都不怕隐私泄露
hashtag
2023-02-03 10:05:32 +08:00
@THESDZ 这个是不是可以解决部分应用必须要求 https 加域名的需求(比如 bitwarden ),能实现 nas 一个端口多个服务吗?请教下
THESDZ
2023-02-03 17:03:57 +08:00
@hashtag #35 只要你有域名+能通过域名访问到你的 docker 容器就行
可以简单地理解为,一个基于服务发现的+https 证书自动续期的反向代理服务
可以利用 docker+docker_network 的方式进行流量转发,从而实现一组域名访问同一个端口转发到不同服务
具体查看 traefik
hashtag
2023-02-04 22:56:33 +08:00
@THESDZ ok ,感谢科普,我去瞅瞅

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/911157

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX