请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 1431 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 个人搞了一个威联通, 鉴于网上 nas 各种被黑, 研究了一下 NAS 安全方式, 现在搞了 2 套, 求大佬们指点下, 哪种方式综合来说更好些
- 首先 admin 用户被禁用了, ftp / ssh 都没有打开, 默认的 5000 / 5001 端口也改了, upnp 端口转发没有开启, 密码错误 3 次直接封 IP, 这些基础操作
- 第一种: 个人域名直接登录, 在路由器里面端口跳转 nas 接口, 支持了 https , 登录也需要二次验证
- 第二种: 设置了一个 pptp 的 vpn 连接, 直接走内网访问 nas
- 以上第一种暴露在公网中, 但是做了 https 和 二次验证, 便捷性来说相对比较好, 第二种呢 , 不了解 vpn 会不会有什么坑, 路由器会不会被搞, 相对来说直接内网, 安全性更好些, 便捷性稍弱
- v2 的大佬们给点什么意见, 或者还有更好的办法
 |
1
Xusually 2020-12-16 21:17:20 +08:00  1
L2TP/IPSEC VPN,内网操作
|
 |
2
ZRS 2020-12-16 21:24:45 +08:00 via iPhone 2
不暴露到公网 VPN 回来操作
|
 |
3
JustinJie OP |
 |
4
826540272 2020-12-16 21:45:10 +08:00
密码复杂点就行了,黑你没价值
|
 |
5
xtx 2020-12-16 21:48:24 +08:00 via iPhone
黑就黑吧,都是些小姐姐,主动传播违法,被动传播不算吧。
|
 |
6
ysc3839 2020-12-16 21:48:46 +08:00 1
如果要用 VPN,不建议使用 PPTP,建议 OpenVPN 或者 WireGuard,这两个都是证书认证的,会安全很多。
另外用路由器做 VPN 服务器的话,性能可能不足。 |
|
9
JustinJie OP @ysc3839 不是用的路由器做的 vpn 服务器, 只是担心 vpn 链接会不会有隐患,路由器这边会不会是薄弱环节
|
 |
10
byte10 2020-12-16 21:57:29 +08:00 1
VPN 最好了。不过可能手机连接 会麻烦点。
|
 |
11
tomychen 2020-12-16 21:57:50 +08:00 1
好像也就是 vpn 比较靠谱,改默认端口并不等于安全,被探测到只是时间问题,现在有很多全网扫描,很快就指纹识别到了,再者就是,现在安全的模式,可能在未来某个时间就不安全了。
所以能在内网里使用就在内网用吧,暴露的越少越安全。 |
|
12
JustinJie OP @byte10 嗯嗯 目前也就试了下电脑连接 如果大家都推荐 vpn 的方式 我就研究下手机端的
|
|
13
JustinJie OP @tomychen 好的 了解了 如果搞个小项目部署 nas 上 只暴露项目端口 看起来也会导致风险了 ?
|
 |
14
Kilerd 2020-12-16 22:17:06 +08:00 1
国内的 wireguard 不建议,udp 被丢包丢包直接握手就失败了。
|
|
15
tomychen 2020-12-16 22:28:38 +08:00 1
@JustinJie 你说的风险,我这统一归为“安全风险”来看待吧,我提过的 “现在的安全模式,可能在未来某个时间段就不安全了”。 涵盖的说法也是类似的说法, 小项目到底多小?风险评估又由谁来做呢?
或者简单的说,我放个纯 html 总不会有风险吧,好像没啥问题,但是 webserver 有了安全漏洞呢?(假定 nginx),当然,现在并没有,以后都不会有吗? 所以你说小项目会不会有风险?这是很难回答的一个问题。如果要想规避风险最直接的办法就是减少暴露,减少接触,但这中间又会牺牲到很多便利性,因为安全和方便永远是对立面的。所以这中间的成本就要你自己来评估,是安全重要,还是方便重要,再找一个相对的折中方案,就算完成一个“安全”方案了 |
 |
16
xiaoz 2020-12-16 22:46:18 +08:00 2
买 NAS 不就是图方便吗,我觉得基本的安全做到位就行了。
|
 |
17
iphoneXr 2020-12-16 22:58:24 +08:00 via iPhone 1
我目前的方案是 openvpn 手机端。
电脑端走阿里云 ecs 的备案域名配合 nginx 的限制,如 geoip 深圳(最方便)或者公司固定 ip 、用户名密码啥的 。二级域名跳转对应内网服务再二次用户认证,感觉还算方便和安全。 |
 |
18
imgbed 2020-12-16 23:27:11 +08:00 1
我用默认端口时经常被人尝试登录,端口改了之后就没有了
|
 |
19
ferock 2020-12-17 01:03:20 +08:00 via iPhone 1
不要太纠结了…担心就 openVPN,如果公网只暴露 5001 的 https,二次验证加 ip 拖黑,问题不太大
|
 |
20
sinxccc 2020-12-17 01:12:02 +08:00 2
扫端口这种完全没办法,除非上独立防火墙,否则只能让他扫了。
我觉得按照目前的大众硬件水平,二次验证的 https 登录和基于足够强度 key 的 ssh 还是安全的。 |
 |
21
nuk 2020-12-17 04:40:08 +08:00 1
用 nginx 转发域名,这样用 ip 访问的就到不了 nas
把自己的域名藏好就行了 不管要不要登录,直接暴露 http 服务给任何访问者都是很危险的,毕竟总免不了做匿名分享吧? |
 |
22
wanguorui123 2020-12-17 08:13:54 +08:00 via iPhone 1
安全性是相对的,即使 VPN 也可能存在漏洞,其次是应用程序、WebServer 、操作系统。
带合法证书 VPN 安全性相对高些。 |
 |
23
villivateur 2020-12-17 08:21:37 +08:00 via Android 1
@Kilerd wireguard 挺好的,国内互联不会丢包,我这边三网互联可以跑满速
|
 |
24
chintj 2020-12-17 08:49:09 +08:00 1
种种需求,搞了 tinc 的大内网,不知道怎样。
|
|
26
JustinJie OP @tomychen # 15 是的 是这么个问题 主要还是个人练手的 数据相对来说可能更重要一点, 这个以后在考虑下, 不行还有良心云
 |
|
27
JustinJie OP @xiaoz # 16 是的 和我想的是一样的 不过如果 vpn 都弄好了 我可以直连路由吧 把端口打开
 相对来说就多了一步验证 |
|
28
JustinJie OP @iphoneXr # 17 我研究一下 你这个电脑端的限制 应该是够用了, 不过对我这个小白来说有点复杂了, 大佬有推荐教程吗 ?
|
 |
30
polymerdg 2020-12-17 09:29:03 +08:00 1
SS 加密通道 连回来 不香吗
|
 |
31
testcaoy7 2020-12-17 09:30:11 +08:00 1
@JustinJie OpenVPN 确实可以,但是你要会配。L2TP 不安全不要用,IPSEC 用 StrongSWAN ( IKEv1 或者 IKEv2 )
|
|
32
JustinJie OP @ferock # 19 目前公网也没有暴露 5001 换了端口跳转, https , 二次验证, ip 拉黑倒是支持了, 看起来确实风险比较小了
vpn 的方式 倒不是 open vpn , 如果走 vpn 应该不会用 pptp 的方式了 |
|
33
JustinJie OP @sinxccc # 20 ssh 倒是没放开, 想用的时候再打开一下, 毕竟 ftp 和 ssh 用的都事比较多的
|
|
34
JustinJie OP @nuk # 21 好的
1. 虑下用 nginx 转发域名, ip 访问的到不了 nas 这个是什么意思 ? 大家不都是有 ip 的吗 ? 2. 我也想藏好域名 不过买个域名就是图好记一点 我是域名 CNAME 花生壳的域名, 路由器自带的 ddns 方式, 然后再端口转发3. 直接暴露总归是有风险的, 但是我其实没啥重要信息, 让别人来黑的  |
|
35
JustinJie OP @wanguorui123 # 22 带合法证书的 vpn ? 我目前直接用的 威联通的 vpn Service 这个是有证书的吗 ?
|
|
36
JustinJie OP @villivateur # 23 好的 待会研究下 wireguard
|
 |
39
lewis89 2020-12-17 09:45:30 +08:00 2
VPN 吧 别想那么多,VPN 出现就是干这个事情的,让你的私有网络安全化。
|
|
42
iphoneXr 2020-12-17 09:51:26 +08:00 via iPhone 1
@JustinJie 那还是推荐折腾 openvpn 吧,偷懒就弄个爱快软路由,带的各种 vpn 也挺实用。
|
 |
43
ungrown 2020-12-17 10:01:12 +08:00 1
走虚拟内网,vpn 或者 zerotier 或者其他什么的,反正变成私有网络,剩下的都是内网安全管理的事情了
|
 |
44
zarte 2020-12-17 10:07:56 +08:00 1
不暴露外网最安全哈哈。
|
 |
45
Te11UA 2020-12-17 10:46:11 +08:00 2
如果不太懂的话,建议还是不要接入公网,看起来你的需求也并没有特别强烈,保留 VPN 就可以
|
 |
47
jigong1234 2020-12-17 11:41:15 +08:00 1
白群晖用群晖官方的远程登录,会被黑吗
|
 |
48
imnpc 2020-12-17 11:45:52 +08:00 1
我目前采用的是
高位访问端口 + 自己域名 + SSL + 两步验证 + 错误多次封 IP 目前没有被扫描登录过 |
 |
49
hafuhafu 2020-12-17 11:48:48 +08:00 1
不懂就问,威联通用 Qfile 连回去有啥安全隐患吗?我也没公网 IP,但是用 myQNAPcloud 分配的那个二级域名能连回去。
|
 |
50
tankren 2020-12-17 11:53:08 +08:00 1
web 服务走反向代理 https 防火墙只对国内开放 443
ssh 走 openvpn |
|
52
JustinJie OP |
 |
53
wlh 2020-12-17 14:08:46 +08:00 1
不开放公网访问,建 frp 或者 zerotier 访问
|
 |
55
bbis 2020-12-17 15:22:30 +08:00 via iPhone 1
最近入手 TS 453DMINI,有一段时间经常被扫端口,ssl 都是映射其他端口,例如 54102
开启 SSL 证书,域名访问➕改默认端口 |
 |
56
PerFectTime 2020-12-17 15:25:40 +08:00 1
NAS 起一个 VPN 服务,把 VPN 端口在路由器上映射出去,推荐 softethervpn,有图形化管理界面
docker run -d --cap-add NET_ADMIN --restart always --name softether -p 500:500/udp -p 4500:4500/udp -p 1701:1701/tcp -p 1194:1194/udp -p 5555:5555/tcp -v vpn:/usr/vpnserver/ -e SPW=yourpassword siomiz/softethervpn |
|
58
JustinJie OP @PerFectTime # 56 好的 感谢
|
 |
59
popoer 2020-12-17 15:58:12 +08:00 1
默认端口改了就好了,除非跟你有利益关系一定要来黑你,其他那些全网扫描的才没有那么多精力去扫描非标准端口呢
|
 |
60
xiafengjieying 2020-12-17 16:18:43 +08:00 1
我也是 qnap,除了有几次开了 ssh 服务忘了关,其他的都没有问题,改了默认端口
|
 |
61
evilangel 2020-12-17 19:14:01 +08:00 1
设置好 DDNS,家里一个 Linux 装好梯子服务端,路由器配置好端口映射只放 SSR 端口,Surge 上做好策略所有 192.168/16 地址就自动翻回家,其他地址、域名按照正常规则走。。。任何时间任何地点都跟在家一样,太舒服了!!!!
|
 |
62
laminux29 2020-12-18 01:04:03 +08:00 1
目前通道类的信息安全,根本不需要改端口以及密码错 N 次就封 IP,这些都是那种不懂信息安全的小学生搞出来的名堂。
通道类的信息安全,只需要注意两件事情: 1.密码的复杂度。我在这个帖子的 35 楼已经给出了具体方案: https://www.v2ex.com/t/735788#reply35 2.单一类型通道的 0day 。 通道类型越单一,使用就越方便,被 0day 的几率就越大。 为了安全,可以套两层甚至多层通道,但这样子做,使用就很不方便了。 |
 |
63
qbqbqbqb 2020-12-19 16:07:03 +08:00 1
@testcaoy7 纯 L2TP 确实不安全,但是一般都用 L2TP/IPSEC,这个是安全的,而且电脑手机都不用安装客户端
|
|
64
JustinJie OP |
 |
65
LnTrx 2020-12-20 15:35:12 +08:00
VPN 的易用性毕竟还是不如网页。如果只是担心被黑的话,强密码+强制网页登陆界面走 https 的安全性已经挺好了。网页界面可能出 0day,VPN 也可能出 0day,但不大可能直接用于攻击个人用户。
|
|
66
bbis 2021-01-05 17:17:38 +08:00 via iPhone
前几天无意中打开了防火墙,可以设置禁止国外 IP 访问就可以杜绝 99%的扫描
|
|
67
tankren 2021-02-19 13:54:49 +08:00
暴露到公网的也可以的 网管防火墙做做好 我的反代只允许大陆 IP 访问
|
Select Language