把家用文件服务器开放到公网,有什么手段可以避免被攻击?

2023-04-22 12:47:53 +08:00
 Cineray

上周叫师傅开通了家用公网,一个月 20 块钱。

想搭建一个 samba 或者 webdav 服务器,给公司和外出作文件分享使用。

先前的方案是坚果云,无奈空间太小价格太贵,其他的网盘又担心资源和谐问题。

有没有什么方法可以既保证一定安全的情况下,又可以自己舒服的同步和传输文件?

目前已经设置的:

  1. open 端口设置为非常用端口,5 位数,应该可以避免一定扫描。
  2. samba 密码复杂度包括大小写字母,数字和符号。
  3. 禁止 guest 访问。
  4. 使用 samba 2.0/3.0 ,关闭 samba 1.0 协议。

但是除此之外就不知道还需要如何设置了。

或者有什么更好的文件服务器部署方式,可以推荐以下。

11887 次点击
所在节点    宽带症候群
94 条回复
cxtrinityy
2023-04-22 12:53:17 +08:00
zerotier 打洞,只在 zerotier 子网内公开不就行了?
Cineray
2023-04-22 12:57:16 +08:00
@cxtrinityy 穿透太慢了,外出不方便,也不便于分享。
ruidoBlanco
2023-04-22 13:00:07 +08:00
wireguard 或者 zerotier ,总之就是 VPN 。samba 只监听在 wireguard 的 IP 地址上。

要不要密码什么的,随意就好。
systemcall
2023-04-22 13:00:18 +08:00
现在国内很多地方的运营商会查 HTTP 入站
zerotier 有些地方已经不能正常用了,差不多是几年前 GitHub 的待遇,tailscale 还是可以用的
现在跨省甚至跨市,都要过反诈了,和 gfw 类似的东西,封锁的权限下放了。现在还是 p2p 打洞比较稳
dogfight
2023-04-22 13:03:22 +08:00
frp 安全吗
aru
2023-04-22 13:07:40 +08:00
vpn 连进来就行了
wiregurad 、openvpn 、pptp 、l2tp 、zerotier 都行
aru
2023-04-22 13:09:29 +08:00
@Cineray 有公网 IP 就是直连,不需要中转,速度不慢的
mingl0280
2023-04-22 13:11:46 +08:00
别用 smb ,webdav+https+TLS Auth 可以干死大部分的攻击了……
eudemonwind
2023-04-22 13:14:09 +08:00
smba 换 ssh 好点吧?
webdav 建议套 nginx ,禁 ip 访问,限定域名访问,防扫描,套 https ,套 cf 等等,跟建站防的那一套差不多。

简单安全的话还是建议 wireguard ,家里用 openwrt 搭个服务器,需要的话连回去,其他设置都不需要怎么动,网盘里放一份客户端,手机上存一份,基本上几分钟就能搞定客户端回去。

还一建议就是家里 nas 上开个虚拟机的 win 系统,有需要 rdp 回去,就是互传速度会大大受限于两边网速。

总之就是暴露的越少越好
Cineray
2023-04-22 13:14:40 +08:00
@aru 好的好的,我测试一下,现在如果直接开放端口,除了暴力破解还有其他绕过风险吗?
hefish
2023-04-22 13:15:42 +08:00
又要公网,又要方便,又要安全。。。
那看起来还是得花钱啊。。。fw,ips,av,waf 买下来,再每两年做个等保测评,二级等保就可以了,再每年做个风险评测,漏洞扫描, 再找个第三方运维公司。 一套下来应该就安全了。
vibbow
2023-04-22 13:17:26 +08:00
禁止国外 IP 连接解决 99%的问题
mzliangjianjun
2023-04-22 13:19:52 +08:00
不开放到公网
Cineray
2023-04-22 13:26:43 +08:00
@hefish 这…很久没接触网络安全了,现在攻击都这么恐怖的吗…我记忆里还停留在暴力破解密码,跑彩虹表的阶段。
Cineray
2023-04-22 13:27:26 +08:00
@vibbow 用防火墙设置还是?
mengdodo
2023-04-22 13:49:07 +08:00
想起了很久之前看过的一篇文章
http://fisherworks.cn/?p=3541
dancercl
2023-04-22 13:51:29 +08:00
用过坚果云,那就自部署个 Nextcloud 啊,开源平替,多端同步。
hefish
2023-04-22 13:59:42 +08:00
攻击有很多很多种途径和方法,一般自建站没有什么利益可挖的话,不用特别去强调安全。 主贴里面的措施大致也可以了。

真是大站,那基本都是按照规范,来个全套。
hefish
2023-04-22 14:02:12 +08:00
要禁止外国 IP 的话,可以自己去 APNIC 去下载一份 IPv4 的分配表,筛选出分配给 CN 的部分,然后针对这部分 IP 做个路由,默认路由就删掉。这样外国 IP 就访问不到了。 也有人家筛选好的 IP 列表,以前记得是 https://ispip.clang.cn/
tulongtou
2023-04-22 14:04:03 +08:00
典型的既要又要

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/934526

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX