请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
群晖 DSM 开启外网访问(DDNS)有被黑的朋友吗
henryshen233 · 2020-11-15 08:43:42 +08:00 via iPhone · 9844 次点击这是一个创建于 1448 天前的主题,其中的信息可能已经有所发展或是发生改变。
当然 NAS 外网访问的话肯定是 VPN 连回来更安全。
那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
第 1 条附言 · 2020-11-15 10:21:02 +08:00
我可能没表达清楚,就是只是把 DSM 的端口映射出去就可以。做 dmz 主机肯定危险啊
第 2 条附言 · 2020-11-15 10:22:29 +08:00
重点是这个 DSM 网页到底可靠性如何
第 3 条附言 · 2020-11-15 19:20:11 +08:00
还是决定暂时用 VPN 连回家的方式
 |
1
ys0290 2020-11-15 09:22:18 +08:00 via iPhone
以前没有封禁 443 的时候干过,没有感知到被黑,可能是没有用默认端口吧
|
 |
2
snable 2020-11-15 09:25:39 +08:00 via Android
我的黑群晖自带防火墙默认没规则,非常危险,公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序,把 ssh 和 http 、https 开放的顺序放在禁止全部之前,以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后,确定好顺序后再调整,切切。
|
 |
3
jfdnet 2020-11-15 09:28:20 +08:00
折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。
|
 |
4
soyking 2020-11-15 09:33:59 +08:00 via Android
我家里的路由器需要配置开放端口,目前只开放了 ssh 非密码登录,网页用 ssh port forward 转发
|
 |
5
zjsxwc 2020-11-15 09:39:29 +08:00 via Android
我只转发了一个 5000 端口给群晖,感觉除非群晖 dsm 网页登录有漏洞(几率很小),不然不会被外网黑。
|
 |
6
328115208 2020-11-15 09:40:30 +08:00
没必要这么复杂吧,关闭 ssh,然后设置 72 小时内输错两次密码封禁 IP 就好了
|
 |
7
henryshen233 OP @zjsxwc 那我觉得 https 还是必需的
|
|
8
henryshen233 OP @snable 你是把群晖设置成了 DMZ 主机了
|
|
9
henryshen233 OP @snable 你可以只做必要服务的端口映射就可以了啊
|
 |
10
ericwood067 2020-11-15 10:44:50 +08:00
@henryshen233 https+只转发一个非常规的高端口给群晖,被黑的可能性比较小。
|
 |
11
coolcoffee 2020-11-15 11:00:58 +08:00  1
都有公网 ip 了, 建议只在群晖上面开启一个 openvpn 端口吧,连上之后就变成了内网,访问什么都方便。
群晖这种存储了很多资料的服务器,如果某天爆出了一个 0day,很多暴露在外面的都会被一锅端。 |
|
12
snable 2020-11-15 11:14:01 +08:00 via Android
@henryshen233 我是 ipv6 绑定域名,不算 DMZ 吧。映射也可行,但是我要的端口比较多,也怕有其他 bug 。
|
 |
13
Tyuans 2020-11-15 13:42:49 +08:00
申请证书开启 https,然后我的软路由开防火墙映射端口,5000 和 5001 以及 9091 ( transmission )都映射到其他端口上,ssh 直接不开,或者开的话不映射端口,只能内网机器访问。很久没有封锁通知了。
|
 |
14
angryfish 2020-11-15 14:03:53 +08:00 via iPhone
还是 vpn 回去安全。谁知道群晖验证安不安全呢
|
|
15
henryshen233 OP @angryfish 群晖的话既然用了肯定选择相信的,就是 DSM 的漏洞这个问题,因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全,想问问 V 友们是否有遇到这些情况
|
|
16
zjsxwc 2020-11-15 17:30:09 +08:00 via Android
@henryshen233 谢谢提醒,我把 5001 端口也转发了,改 https 访问。
|
 |
17
E4rljia 2020-11-15 17:32:35 +08:00
现在被我封锁的 ip 已经 400+了
|
 |
18
Sharuru 2020-11-15 17:40:08 +08:00
Docker 跑了 DDNS 解析到 Cloudflare 上,路由器端口只允许默认的 WEB 界面( 5001 )端口通过。
没有感知到被黑。日志里也没有奇怪的访问。 |
 |
19
imgbed 2020-11-15 17:43:07 +08:00
之前有大量的尝试登录,后来把默认的 5000 和 5001 改成其它的就没有了
|
 |
21
Raynard 2020-11-15 17:57:51 +08:00
密码忘了,把自己封禁的算不算
|
|
22
henryshen233 OP @Raynard 你有点厉害的
|
|
23
henryshen233 OP @Sharuru 5001 建议改成高端口好点
|
 |
24
gabon 2020-11-15 19:20:41 +08:00 via Android
做了 ddns 之后有大量登录失败的日志,开了限制登录次数
|
 |
25
luyan 2020-11-15 19:31:18 +08:00 via iPhone
目前还有更安全的办法吗?
|
 |
26
kokomo 2020-11-15 19:32:32 +08:00 via iPhone
开了两步验证,感觉还好!
http://kokomo.gicp.net:5000 |
 |
27
vibbow 2020-11-15 19:34:30 +08:00
我目前用了另外一种方法:
路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS 这样只有使用正确的域名才能访问进来,仅仅端口扫描是无效的。 |
|
28
henryshen233 OP @luyan VPN 比较安全
|
|
29
henryshen233 OP @kokomo 还是要配置 https 比较好
|
|
30
henryshen233 OP @vibbow 好复杂,暂时不懂
|
 |
32
lifanxi 2020-11-15 23:31:31 +08:00 1
自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https,t 长期挂公网上五六年了,还没有被干掉过。
当然 VPN 更安全,但是不方便。 |
 |
33
Xusually 2020-11-15 23:58:55 +08:00 1
一直都是 vpn 回去内网访问的。
端口直接映射暴露的话,如果 web server 或者群晖的 web 应用有漏洞就会中招。 |
 |
34
1if5ty3 2020-11-16 00:10:44 +08:00
5000 5001 5005 5006 还有 ftp,一些 pt 端口都开着,很久没有封锁通知了。
偶尔也会看下日志,ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主,也不会太担心。 |
 |
35
z761031 2020-11-16 00:38:12 +08:00
天天有人扫,起码要改个端口,免得被一锅端
|
 |
36
JoeoooLAI 2020-11-16 10:58:38 +08:00
改了默认端口,登陆邮件通知。。狠一点可以搞二步认证,要么就搞个有固定 ip 的跳板反代,群晖只白名单那个 ip
|
|
37
JoeoooLAI 2020-11-16 11:03:19 +08:00
防火墙,非中国 ip 自动 ban 掉也是可以的,哪有绝对安全,就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证,把命交给群晖。
|
 |
38
clalala 2020-11-16 11:20:44 +08:00
5000 的端口在公网,没被爆破过,22 端口有一次忘记关了,被国外的 ip 爆破了,不过密码错 3 次被禁封了
|
Select Language