关于 nas 系统的信息收集

可是国内的 NAS,比如极空间，绿联，遥遥领先之类的不联网用不了。是不是从系统层面就完美解决了不联网无法审查的问题

自建，我用的就是 openmediavault(OMV)，开源的，少一些生态没关系，我自建网络确保我能随时访问，缺的生态可以自建诸如 NextCloud 之类的网盘来补充

我目前用 debian 系统。硬盘冗余用 openzfs 。然后整上 docker 、libvirt 这些虚拟化的。
另外用 grafana+Prometheus+node_exporter ，搞了写监控、告警这些。

目前自己用着没啥问题。

话说 开源的系统，不会被代码审查到有后门吗

只能寄希望于开源了，国产一概不用

群晖的隐私声明提到了“Synology 不会访问（或使用）用户上传到其 Synology 设备的文件。” https://www.synology.cn/zh-cn/company/legal/privacy

任何一个都无法避免，truenas 的背景是 ixsystems ，想避免那就直接断网，极空间和绿联早就可以断网用了

@wwd179 代码审查也需要人力金钱，那个人还得有丰富的知识储备，大多都会首先想想怎么养活自己吧，如果真的有这种能力，早就进去专业的公司了，愿意无私贡献的实在少之又少，主要是大环境确实不好，报告 bug 说了先不说 pr 会不会被合并，没先拿去卖了赚米就不错了，前者还可能得承受奇奇怪怪的网暴和法律风险。

别联网不就行了...

肉身在国内 这些东西想着没意义
一般不会查你，查你了 说明盯上你了 连不连网都无所谓

nas 最主要的是内容不会被审查 不会被和谐，其他的（稳定性 外网下载等）和网盘 vip 比 差距太大

问题来了，
生成视频的截帧图，算收集用户存储的文件信息吗？
app 上显示文件夹之类的大小，需要扫描存储器，算收集用户存储的文件信息吗？

某经理，某朋友，现在图都不用了

@GHvyuR7N 只是想讨论 这个问题，没必要非要指向人家的品牌和人

debian 直接开个 smb 完事

@lxh1983 作为黑群晖和极空间的用户，可以负责任的告诉你，系统完全可以可以断网使用，只支持局域网内部访问。极空间系统层面做了功能，可以限制外网登录和访问，只在局域网内部使用，我现在就是开启只允许局域网内访问的。自己做了 wireguard 远程访问，非常的优雅安全，速度比官方内网穿透快多了。且极空间的每个用户的文件完全属于你个人，即使是管理员账户，也无法查看其他账户的文件，对于家庭使用，非常的省心。

群晖是的，国内只能用国行的群晖账号，不知道是基于 gps 还是 ip

@dhuzbb 你说的是极空间限制外网登陆，而不是断网。你这是应用层面的限制，操作系统后台依然可以上传下载数据。你把光猫关了或者路由器上 Block 极空间的所有出入站数据，你再看看你的极空间还能登陆，添加账号吗。只有这样才叫内网使用

现在 NAS 系统市面上很多，但凡有后门早都爆出来、又不是只有你一个人用

最近看了钱韦德视频，绿联 NAS 新系统，如果不用远程功能，完全可以离线使用，或者自己进行远程数据处理，就不会跟官方服务器有交互。远程功能主要是需要官方服务器进行数据中转，不可避免的需要能所有数据进行审计留痕，监管要求。用个不恰当的例子，要是用户拿 NAS 开黄站，平台想规避责任。

@lxh1983 #18 首先可以完全断网在局域网内部使用。其次要想真正实现你说的那种，完全可以搭建 vlan 来实现，可以实现但没必要。

我用 ubuntu server 开了个 smb ，我的端口只暴露在内网，在外面的时候用 wireguard 连到家里。像我这样，别人是查不到的

@dhuzbb 去极空间官网看了一下，极空间用户分管理员，本地用户，普通用户。在设备初始化的时候必须联网才能创建管理员账号且必须绑定手机号。设备必须联网才能创建和使用普通账号。本地账号倒是可以脱网使用，但是连文件分享功能都用不了，也只能用 IP 登陆。局域网自建 DNS 都不行。总的看下来，真脱网的话，设备都无法初始化，而本地账号又功能受限。管理员看不到其他用户文件这不明显不是真正管理员吗
另外 SDWAN 方式访问这么厚重可一点都不优雅啊。

我就不明白了，从国外原版镜像装个系统再 apt 或者 pacman 装几个软件很难吗？干嘛非得国产 nas ？

开源的 TrueNAS 你下载的固件是别人编译好的二进制，你得解码别人二进制才能知道底层干的啥。有这个时间，还不如直接断网使用来的轻松。

所以还是需要做一下代码审计+自主打包运维。例如自己用个自己做的 Linux 系统跑审计完毕完全后的开源项目 nas 程序。
@wwd179

debian 想用什么服务用 docker 跑就完事了，再搞个 homepage 导航面板

@shannn #6 这段话的意思很显然是群晖不会访问，不代表别人不会访问，当然这不意味着真的有别人会访问

要是用户使用的终端(手机/电脑)已经内置了审查程序 NAS 有没有已经不重要了
监管者能想到在 NAS 上审查不就代表手机也会审查？

不想查你的时候，你用到死都不会鸟你，想查你的时候你化成会都能还原。很不幸，绝大多数人是第一种情况，所以安心用，你的隐私其实已经泄露给别人无数次了，不差这一次

裸 debian 就用基本的 smb ftp webdav 之类的

本质上是个信任问题

开源软件的问题在于分发：
假设开源软件公开仓库的源代码经过审查，没有发现后门，不代表你下载到的二进制程序就是干净的。
商业开源软件二进制分发有可能会加入增值属性的组件，或是自行分发至比如 AppStore 这样的平台。
除非是仓库自动化编译出来的，不然经过代码审查的开源软件很难说安全。

这个问题其实是可以简单化的，就是看你人在哪儿：
你如果在中国，那最好还是用海外的且较为流行的开源软件，以最小化威胁。如果可能，最好是核心开发者都在关系不太好的国家的项目。

绝对安全的话，就要物理隔离+单机使用了，你不能保证你手机 APP 是不是也会主动上传访问你的 NAS 的信息，滑头

提个思路，求谈论可行性：使用防火墙仅放行 nas 指定服务端口，理论上可以使后门失效。

@xinghen57 谁说后门一定要单独端口的？通过隐藏的 api 或者页面不也一样是后门，还更隐蔽

@lxh1983 #23 没明白你想表明的点在哪。1. 手机号注册是国家要求的，在国内生活，哪个互联网 app 不需要手机号注册？ 2. 联网创建账号，这个是极空间自带的内网穿透功能所必须得，说白了就是为了小白用户，不是所有人都有能力搭建自己的内网穿透服务的。你创建了账号之后，完全可以不用它的内网穿透功能，直接使用内网 ip 登录，可以做到完全内网离线使用。3. 你又想文件分享，又想离线使用，那不是自相矛盾的吗，外部的人怎么访问你分享的文件，谁来给你做文件的转发？ 4. 管理员看不到其他用户的文件，这个功能比群辉好太多，例如买了一台 NAS ，通常都是家里人一起使用的，避免了家庭成员之间的隐私问题。当然，这是不考虑破解获取到 root 用户权限的情况下。

@dhuzbb 就是你说极空间可以完全断网使用啊。内网和分享不冲突啊，如果不能共享资料，难道几个用户都需要同一份资料，每人都存一份？修改以后还要通过其他渠道分发？另外不管威联通还是群晖或者开源 NAS ，用 lucky 或 nginx 把 NAS 反代出去，也一样可以通过互联网访问 NAS ，但是 NAS 不能访问互联网啊，这冲突吗？国家有规定 NAS 上账户必须手机号注册吗？要是有这规定群晖威联通不需要遵守？极空间这么做还不是尽可能多的收集用户数据，为了以后隐私变现或者献忠做准备

@lxh1983 #36 你要想吐槽，还是先买一台体验过后再吐槽吧，最怕你们这种无脑喷的。说到共享资料这块，极空间做得非常不错。同一台 NAS 中的不同用户，点击共享文件或文件夹之后，其他账号就可以看到了，不需要存储多份。还是那个原则，你账户的文件只属于你自己，其他账户默认情况下看不到。多台极空间用户之间可以非常方便的一键共享文件或文件夹，本人亲自体验过共享 50G 左右的音乐文件给其他极空间用户，可以跑满家庭宽带 100M 的上传带宽。难道群辉你默认共享文件互联网外部用户就能访问？可以负责的给你说，任何 nas 都做不到。用 NGINX 反代就能对外访问了吗，你不需要内网穿透或中转服务就行了吗？要么有公网 ipv4/ipv6 ，要么用 nas 厂商自带的穿透服务，要么用第三方中转服务 zeroter/tailscale/netbird/frp/nps 才能做到。使用手机号注册有啥难以理解的，要知道很多用户是小白，很多人连账户名是什么都记忆不清楚的。手机号注册在流程上是最方便用户记忆和使用的，最低程度降低了用户使用成本。如果你关注的重点是隐私问题，不能容忍任何隐私泄露问题，那你最好断网使用，已经告诉你了可以正常的端口使用。

@lxh1983 #34 有后门没问题，只要后门没法联网，就和物理隔离一样的效果。
比如 nas 自建 nextcloud ，端口 8888 。局域网的防火墙只放行 8888 端口的进出站，这样后门理论是没法出站，外部理论也无法连接后门。端口已经被占用了。
当然，后门可以关闭 nextcloud 再使用 8888 端口，这样比如有记录，查日志就能发现端倪。
我目前好像没听说一个端口被可以被不同程序同时占用的情况，这样后占用的会提示端口已被占用。

另外，你说的 api ，在出站时也是需要分配端口的，这是系统规定的。除非系统提供隐藏端口。但防火墙白名单模式同样会禁止隐藏端口通信。

@xinghen57 为什么后门就一定要单独端口？就你说的 nextcloud 一样的，如果后门一样开在 8888 端口，只是不同路径，甚至后门账号，或者端口复用，这难吗？

@lxh1983 #39 抱歉狭隘了。你说得对。如果理想状态下，nas 系统上无能为力。加软路由理论上可以应对。

但是吧，对方留的后门也不可能达到世界顶尖水准，所以我还是认为通过防火墙截断可能的后门是比较泛用的防御手段。
之后可以留意各进程和对网络流量分析。只要有后门，通常都会有征兆，比如定期向特定服务器发送保活信息等。发现后做具体应对吧。毕竟家庭网络出口的控制权在用户。如果一个后门只能被主动触发，使用时本身就存在不确定性，这类只能认栽，基本没什么办法。

@unklity #31 “假设开源软件公开仓库的源代码经过审查”，xz 后门是个例外。它不是通过源码审核发现的。
后面的思路很赞。

@dhuzbb #16 “极空间系统层面做了功能，可以限制外网登录和访问，只在局域网内部使用”，这不是真正的局域网使用。
你在一个不可信的 nas 系统上使用他的功能，这是掩耳盗铃。

@lxh1983
是《移动互联网应用程序信息服务管理规定》要求的。
但按理说 NAS 厂商应该给不使用手机应用的用户免除手机号绑定的选择。

只不过很多规定最后都会扩大解释。就如同塞尔达会被归类到网络游戏当中一样。
所有用户都用手机号注册的话对厂商来说可以满足监管需求，又省事，还能多收集到用户身份信息。

@xinghen57 请假设其能够 “完美” 执行安全审查。

在不可信的 NAS 系统上即便断网使用，也仍然存在风险。

设想你使用诸如 NextCloud 的软件运行在不可信的系统上，然后你开启了 NextCloud 的服务端加密功能。
由于密钥会出现在内存中，系统完全可能将其导出，并伺机传输到远程主机上，或是以备第三者物理接触时使用。

如何保护隐私很大程度上取决你有多么 Paranoid

@unklity #46 确实。理论上只断网还不行，还要只进不出才理论完美。

安全审查和反审查就像矛和盾，目前看是不存在一方完全胜过另一方的情况。更何况更多案例中，最薄弱的环节反而是人。

@unklity 和这个规定不冲突啊。极空间因为自身利益，不给用户使用第三方域名接入，它是内容分发的唯一选择，所以你使用它的联网服务需要实名，和群晖威联通的一样。但是群晖威联通给用户选择第三方域名接入的权利了，你使用第三方域名接入服务时，你的行为跟他们没有关系了，所以极空间之流的吃相难看。如果你非要说极空间的做法才是符合法律要求的话，那各电脑厂商也得要求你必须先实名注册才能使用电脑才行

@xinghen57 #42 一群人非得在这里杠，除了首次注册必须得联网使用手机号注册外。如果你不使用需要联网的应用（比如同步其他云盘等等）其他时候使用都不需要联网使用。啥意思呢？就是你把光猫拔了，NAS 还是能正常的离线使用的。你光猫都断了，怎么偷你的文件？

@dhuzbb #49 仅从理论角度，只要你连接的第三方设备能联网，数据是可以摆渡出去的。
当然，在实践中，你说的局域网使用，我个人是倾向认为风险可忽略（注，可忽略不等于没风险）。

我觉得从理论角度界定风险边界，然后根据实际应用场景和自身风险偏好和能力去做决策时比较好的。因此，讨论应该加上限定条件，比如理论角度、实践中、不考虑数据摆渡风险等情况。

只要联网就没有绝对安全，但东西是死的人是活的，你在国内用外国系统在国外用国内的系统不就完了么

@Tiking #14 目测 GHvyuR7N 兄台也只是想吐槽你各种某并没有可信性。并不是为了指向该品牌或个人。你可以在把品牌或者个人信息完全隐去之后把可以在用户购买的 NAS 设备上复现的证据放出来，而不是某品牌的某产品经理说了什么东西。

虽然我并不怀疑各种 NAS 有各种后门。但是各种某某某的一句话确实只是徒增恐慌而已。