讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。
由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。
禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。
将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。
不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。
不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。
使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。
在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。
NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。
1
Apol1oBelvedere 2023-01-28 21:36:27 +08:00
很好的讨论,我的 IPv6 无需担心,没有 IPv4 公网只用 QuickConnect 很安全。
我额外做的: 1.导入中国屏蔽海外恶意扫描网址库。 2.启用 5 条防火墙规则,除局域网访问和大陆对部分服务的访问外,其他一切禁止,安全性大大增强。 |
2
dozer47528 2023-01-28 22:29:09 +08:00
@Apol1oBelvedere 中国屏蔽海外恶意扫描网址库,这个在哪有?
平时一直有人扫我 NAS ,我一般设置成失败 2 次就封禁,直接就封 365 天。 我家人账号都是普通用户,就算被攻破问题也不大。我自己的账号开 TOTP ,所以基本上不会有什么问题。 NAS 肯定是按端口把几个特定的服务开公网。 |
3
ltkun 2023-01-28 22:59:07 +08:00 via Android
我的选择是禁用 nas 关闭一切不正经的对外端口 ssh 都不允许有 除了 VPN
|
4
MeteorCat 2023-01-28 23:28:42 +08:00 via Android
如无必要端口全关,我觉得这个最安全
|
5
lyc8503 2023-01-29 01:13:23 +08:00 via Android
关闭一切端口, 只开一个 vmess 隧道 /SSH 隧道, 所有服务使用 Docker 隔离
|
6
tengyoubiao 2023-01-29 07:39:57 +08:00 via Android
不用的时候关机,要用之前 wol 唤醒,配合上面的策略,减少在线时间
|
7
documentzhangx66 2023-01-29 08:23:22 +08:00
有一种安全且简单的办法是,买台最便宜的云主机,作为中转服务器,NAS 不直接对公网服务,NAS 、跳板机、外网机器通过 WG 或 OpenVPN 组件虚拟局域网。
这种好处是,黑客需要先攻破 WG 或 OpenVPN 才能进入跳板机,然后还需要掌握别的漏洞或账号,才能攻入系统。 这样做的坏处是,云主机贵,需要额外一笔钱,而且国内云主机大多是固定带宽,带宽小。 |
8
TerranceL 2023-01-29 09:54:11 +08:00 4
|
9
dozer47528 2023-01-29 10:00:57 +08:00 1
看到楼上好多都是用 vpn 的,的确这样黑客攻破的难度就多了一层。不用 vpn 一旦 openwrt 或者 dsm 有安全漏洞就会被攻破。
但是,用了 vpn 怎么实现给家人访问的需求?我全家都在用我的 nas ,总不能给所有人装 vpn 吧? 我还有共享照片连接给朋友的需求,也不可能让朋友装 vpn 。 |
10
zer 2023-01-29 10:14:07 +08:00
@dozer47528 VPN 可以设置只走内网网段,这样客户端常开着也没影响
|
11
dozer47528 2023-01-29 10:39:48 +08:00
@zer 如果只是我一个人使用,那没什么问题。但我平时会给亲戚朋友用,例如拍了照片视频,需要分享给朋友。我发一个 Photos 共享链接就行了,密码都可以不需要,也不是什么很私密的照片。
|
14
wangnimabenma 2023-01-29 11:25:11 +08:00
我就设置了个防火墙
|
15
adminfender 2023-01-29 11:38:46 +08:00
我自己家用网络除了特殊像 ipmi 或 esxi 这种设了白名单,能走内网 vpn 走内网 vpn 外,基本上就是多备份重要资料吧,现在在考虑定期冷备的事情
|
16
shalingye 2023-01-29 12:07:10 +08:00 via Android
我用的 windows ,还可以做一层 vhd 防护
|
17
OysterQAQ 2023-01-29 12:29:51 +08:00 via iPhone
防火墙+vpn 访问就行了
|
18
EvineDeng 2023-01-29 12:43:04 +08:00
除了上面的常用措施,我额外在路由器上设置了指定端口只允许本省电信 IP 访问。
|
20
blankmiss 2023-01-29 13:29:19 +08:00
我没你们那么严谨 我直接公网反代理出去了
|
21
wukong888 2023-01-29 13:49:33 +08:00
用的极空间,有啥安全策略不?
|
22
peasant 2023-01-29 14:07:43 +08:00
用的 frp 设置域名访问内网 web 服务,不知道域名访问不了,域名本身解析的是 nas 局域网 IP ,在外面需要用的时候手动绑 hosts 访问,手机用 surge 添加的 DNS 映射,根据网络自动判断是解析到云服务器 IP 还是局域网 IP
|
23
ouou0701 2023-01-29 14:42:34 +08:00
用了二次验证码,每次都要去小程序看一下验证码
|
24
nrtEBH 2023-01-29 15:34:06 +08:00
个人觉得最大的威胁还是来自内部 内网机器中毒 特别是局域网里有非自己常用的设备,例如老爸老妈的 PC,安卓手机,安卓机顶盒 简单的做法是 ip 白名单 或者把非必要端口都关掉
还有一些潜在漏洞是各种开源的服务端程序,比如 qbittorrent,owncloud 之类的需要对外开放端口的服务 建议用 docker 做隔离 不要直接桥接在 lan 上 |
25
kozalak 2023-01-29 15:39:28 +08:00
第 6 点有教程吗
|
26
ccxuy 2023-01-29 16:11:11 +08:00
@zer 至少 openvpn 这边好像没有可以配置的地方,估计需要更高级的工具,比如 qX 之类的,这样也许可以同时支持几个 VPN ?
|
27
int11 2023-01-29 16:50:42 +08:00
nas 上有好多 emby 之类的服务,平常都是 ddns 域名加端口直接访问的,想请教下如何在不影响体验的情况下加强安全性
|
29
setrmrf 2023-01-29 17:03:07 +08:00
我只有一条:禁用密码与证书验证,使用 MTLS 进行认证
|
30
THESDZ 2023-01-29 17:29:01 +08:00 1
@int11 #27 可以使用反向代理+https 包裹的方式,我都是用 docker 隔离+traefik 反代的方式进行访问
docker 映射的端口只有 traefik 的 443 (或者设置为 8443 等)端口 |
31
abc8678 2023-01-29 22:13:59 +08:00 via Android
用过微联通的 qnapcloud ,一刷新就一堆尝试登录的记录,一分钟就破万了。(反而是我自己要用 qnapcloud 时就很不稳定,十次有四次连不上,四次低速到文件名都一行一行加载)。后来换了自定义的域名才安静下来,设置一下名单,终于没什么人来用了。这样一来,品牌的连接服务是用不上了,有点想用第三方机器搭建黑群晖或黑微联通或 Windows Server 了(目前的 TS-212P3 卡死了),但又考虑到没有品牌方的固件更新,碰上什么漏洞又不懂对付或没精力去持续折腾,所以还是拿不定要怎么做
|
32
hanguofu 2023-01-29 23:40:30 +08:00 via Android
请问怎样才能防止普通用户不断试探管理员的帐号和密码啊?
|
33
silymore 2023-01-30 00:35:00 +08:00 via iPhone
不用 ddns 和 dmz ,外网访问只走 quickconnect 有风险吗
|
34
silymore 2023-01-30 00:37:12 +08:00 via iPhone
另外我还开了文件夹加密,没太注意到有性能损失,直接拔盘或者坏了返厂都不怕隐私泄露
|
35
hashtag 2023-02-03 10:05:32 +08:00
@THESDZ 这个是不是可以解决部分应用必须要求 https 加域名的需求(比如 bitwarden ),能实现 nas 一个端口多个服务吗?请教下
|