V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
HeHeDa
V2EX  ›  NAS

nas 暴露在公网有多危险?

  •  1
     
  •   HeHeDa · 33 天前 · 13184 次点击
    这是一个创建于 33 天前的主题,其中的信息可能已经有所发展或是发生改变。
    nas 新手请教,在 v2 经常看到一种说法不要暴露 nas 在公网。
    可是拿群晖 nas 来说,系统集成的各种功能不就是为了方便公网使用 nas 吗?

    目前有一台白群晖 nas ,鉴于 qc 访问实在是慢如蜗牛,所以配置了仅 ipv6 ddns 绑定自己的域名(宽带没有 ipv4 公网地址),op 硬路由仅开放了访问 nas 的端口,dsm 系统用户添加了两步验证,如此配置的情况下还是会被爆破吗?

    另外测试发现运营商 ipv6 地址没有封锁 80 、443 端口,在绑定二级域名的情况下使用 443 端口会被警告吗?
    第 1 条附言  ·  32 天前
    已经在群晖部署了 wireguard ,导入配置到移动端设备的代理工具做好分流,基本上无缝连接家庭内网。
    不过据说运营商阻断 udp 流量,还要观察一段时间。

    群晖配置了登录失败封锁 ip ,所有用户都添加了两步验证加强密码。
    路由器防火墙仅开放两个端口,一个给 wireguard ,一个给群晖文件系统,因为要方便家人使用。

    暂时先这样了,nas 文件都有第三方网盘和异地备份,所以应该问题不大。
    111 条回复    2024-12-19 14:06:23 +08:00
    1  2  
    msg7086
        1
    msg7086  
       33 天前   ❤️ 3
    不是爆破的问题,而是可能会有漏洞导致不需要爆破就能进入系统。
    VMware 系统以前出过漏洞,登录界面不需要输入管理员账号密码,直接用漏洞就可以获得管理员权限。
    更别说 NAS 这样民用级的东西了。
    li19910102
        2
    li19910102  
       33 天前 via iPhone   ❤️ 3
    我家用的 nas 以及公司用的 nas 在公网 ip 上暴露了好几年了,每时每刻都能看见不明设备 ip 扫描的记录,也没见被什么人黑进去,只要 nas 设置好防护就没什么问题。
    HeHeDa
        3
    HeHeDa  
    OP
       33 天前
    @msg7086 这个确实,可如果仅使用 qc 也会存在这样的隐患吧?不过群晖系统好像还没有出现漏洞的历史记录
    MFWT
        4
    MFWT  
       33 天前
    比如说,我有 ABCD 四个服务暴露在公网,假设其中一个服务有漏洞,就有可能导致 NAS 被攻破
    平时说的不要暴露在公网,严格来说指的是不要不做防护就暴露出来,还是刚刚那个例子,如果我用 VPN 把 ABCD 都包起来,再暴露,那么即使他们都有漏洞,也不必担心。假如真的那么不好运,VPN 有漏洞,那么更换 VPN 即可,不必费心排查其他漏洞
    HeHeDa
        5
    HeHeDa  
    OP
       33 天前
    @li19910102 群晖系统能够查看扫描记录吗?只看到用户设置里面有登录历史
    NoInternet
        6
    NoInternet  
       33 天前
    如果只用 IPV6 访问的话,这东西时不常会变,地址又那么多,再来个高位端口被扫到应该挺难的。是不是就安全多了。
    如果碰巧被有漏洞的人扫到了入侵了安了后门了那就不好说了。
    HeHeDa
        7
    HeHeDa  
    OP
       33 天前
    @MFWT 学习了,不过我目前就只有访问 dsm 的需求,后面服务多了应该是要考虑 vpn 了
    msg7086
        8
    msg7086  
       33 天前
    @HeHeDa 以前没出现过漏洞不代表不会有漏洞。
    毕竟连 CPU 设计不当都会导致数据侧信道泄露这个普通人你说会想得到嘛。
    所以一般来说要安全的话,就要用信得过的协议和软件,比如直接用 SSH 连接访问,然后祈祷 SSH 不要爆出奇怪的漏洞,又比如用 wireguard 或者 zerotier 之类的 VPN 走内网隧道来访问。

    当然了,安全性和便捷性本就是冲突的,只要你自己能接受一定的妥协就行。
    HeHeDa
        9
    HeHeDa  
    OP
       33 天前
    @msg7086 受教了,看来得重新编译 op 固件把 vpn 加上先学习一个了
    swiftg
        10
    swiftg  
       33 天前 via iPhone
    @HeHeDa 刚出的新闻,群晖出了个核弹级的 0day 漏洞,通过公网 ip 和 qc 都可以被执行,直接获取 root 权限,不需要登录。还好是白帽先发现的,刚出了紧急更新
    halofingle
        11
    halofingle  
       33 天前 via iPhone   ❤️ 1
    一般来说,至少要做一下端口映射,不要把原服务端口直接暴露到公网,对于 http 服务还可以做一下反向代理。
    kekylin
        12
    kekylin  
       33 天前
    按最小暴露原则使用,非必要服务不要直接暴露在公网。需要暴露的服务做好防护措施再暴露出来。
    我自己使用动态公网 IP 四年多了,到现在都没有遇到过被攻击的现象。
    NAS 服务搭建起来,多人使用如果说有些服务不直接暴露在公网,使用体验大大打折扣。
    HeHeDa
        13
    HeHeDa  
    OP
       33 天前
    @swiftg 看到了,还好有升级强迫症已经是最新版本了
    lxh1983
        14
    lxh1983  
       33 天前 via iPhone   ❤️ 2
    只要一直最新版本的软件和系统,没有那么多 0day 。0day 值钱的很,为了抓你的肉鸡浪费 0day 可不合算。要真的安全,你得像保密网络一样,物理隔离
    dfdd1811
        15
    dfdd1811  
       33 天前
    换个端口,我之前一直 https+otp 也没啥事,就暴露页面,ssh 没有。现在用 vpn 是怕运营商找茬
    jaylee4869
        16
    jaylee4869  
       33 天前
    我 nas 一般暴露公网都来个蜜罐,看它怎么玩😅
    SouLX
        17
    SouLX  
       33 天前
    我暴露一年多了 公网 ip unraid ,之前开 ssh 被爆破了 一直在跑字典,后来关了就好了。域名 映射了 差不多是个服务在公网。没啥事
    idragonet
        18
    idragonet  
       33 天前
    增加 IP 白名单
    frankilla
        19
    frankilla  
       33 天前
    lucky 反代,然后只开了一个端口号,算不算暴露?
    memorycancel
        20
    memorycancel  
       33 天前
    把 IP 放出来,让论坛的道德黑客帮你渗透测试下(坏笑——)
    hefish
        21
    hefish  
       33 天前   ❤️ 4
    最大的危险莫过于被人黑进来,多年下载积攒的毛片被人剪切复制走。。。
    WizardLeo
        22
    WizardLeo  
       33 天前   ❤️ 5
    主要是,“把 nas 暴露在公网”这件事本来就是每个人的理解不同的。
    有人直接把端口映射到公网,搭配 admin/admin 弱口令就这么用了,最后付出了巨大的代价哭诉千万别把 nas 直接暴露公网。
    另一个人套了反代,也没有用弱口令,连续几年都没事后他对前一个人的劝告嗤之以鼻。
    TvT
        23
    TvT  
       33 天前   ❤️ 1
    一言以蔽之:涉密不上网,上网不涉密

    公网自然风险大增
    swiftg
        24
    swiftg  
       33 天前
    @lxh1983 找 0day 可不是为了抓你一台当肉鸡。nas 在勒索病毒作者眼里可是金山银山,找出一个核弹漏洞就可以勒索几十万上百万的用户,nas 里存的可都是用户宝贵的数据,被加密了很大一部分人都得乖乖交钱
    charley008
        25
    charley008  
       33 天前
    重要数据异地多备份几份,爱勒索就勒索,大不了重装。我也没 ipv 的公网,顶多一个 ipv6 ,关键这 ipv6 时不时还自动更换地址,外加一个两步验证。这要是能扫到并入侵我也无话可说。
    unbridle
        26
    unbridle  
       33 天前
    ipv6 暴露在公网,ssh 端口 22 没改,甚至连 sudo lastb 都没有记录
    dcsuibian
        27
    dcsuibian  
       33 天前
    1 、使用非常用端口、非默认端口
    2 、使用强密码
    3 、https
    4 、及时升级系统以防安全漏洞
    基本做到以上这四点我感觉就可以了,我感觉风险不大。至少我是这么做的。

    你想想那些公开的网站,比如淘宝、B 站,难道会因为害怕被攻击就不提供服务吗?不可能的。
    暴露在公网肯定比不暴露更有风险。但因为害怕这一点风险就不去做我感觉有点因噎废食。

    另外,我也是比较赞成套一层 WireGuard 之类的 vpn 的。我也是这么做的(用 WireGuard+smb 访问 NAS 内容)。不过我还是暴露了公网,毕竟我全家还在用 Synology Photos ,我不可能让我父母每次看照片前都要开个 vpn 。
    xueyuehua
        28
    xueyuehua  
       33 天前
    问一下,我大部分设备都连的同一个 zerotier ,然后自己也用路由器搭了个 zerotier moon 节点,这个路由是有公网 ip 的,然后其他设备都会连接 moon 节点,但是都是默认使用那样,就是打开个路由器的防火墙之类的。这样算是暴露在公网吗
    adoal
        29
    adoal  
       33 天前
    并不是孤立地说这事很“危险”。当然可以安全的。但是你这样做了还要安全,自己需要像专业网安人员那样花很多精力做配置和长期维护。也就是说为安全付出的脑力成本明显大于不放公网。

    至于用 qc……当然也不是 100%的安全,但是人家有专业团队做维护,而且通过 Saas 方式平摊了到每个用户的维护成本。
    thevita
        30
    thevita  
       33 天前
    有风险,看你整么权衡了,过去的话我会说没什么人会盯着你那点可怜的数据,以前有人到处采购路由器的漏洞,拿下之后也就干点广告的事(往流量里注入 广告, 替换 id 什么的),据说当时他们年流水好多个亿...现在嘛,,可能会被 ransom ( https://valicyber.com/resources/a-brief-history-of-nas-ransomware/)
    reayyu
        31
    reayyu  
       33 天前
    套 CF 再加规则转发端口 被爆破几率大吗?
    kk2syc
        32
    kk2syc  
       33 天前   ❤️ 1
    20 年前,所有人都是 win2003 公网,微软还在更新,没问题。
    20 年后,微软早已不更新,win2003 暴露在 ipv4 公网默认 3389 端口不用 30 秒就是肉鸡了。

    安全取决于是否及时更新以及对应的系统厂家给不给力。
    0xD800
        33
    0xD800  
       33 天前
    在家里部署 VPN ,用 VPN 访问!
    lestat220255
        34
    lestat220255  
       33 天前 via Android
    @xueyuehua 我同你的一样,甚至其他设备科学上网也是通过 zerotier 的内网 ip 连接家中软路由做系统代理。个人理解除非 zerotier 出现安全漏洞,否则应该是稳的
    zoumouse
        35
    zoumouse  
       33 天前
    我是设置的登录失败直接 block ,最近 block list 已经很长了,但应该都是些自动脚本在扫,成功的概率不大。

    beterhans
        36
    beterhans  
       33 天前
    你的 NAS 会从 你的 私人存储变成公用存储和 黑客用的肉鸡
    icaca
        37
    icaca  
       33 天前
    试试 openvpn 比较安全便捷 拨号进来所有设备都能访问
    asdgsdg98
        38
    asdgsdg98  
       33 天前
    脚本小子天天扫,扫到你卡的不行,试过一次就老实了
    MADBOB
        39
    MADBOB  
       33 天前
    群晖端口暴露公网用,有一段时间被疯狂尝试 admin 登录,然后设置了策略登录失败 1 次就锁 ip ,已经半年没受到过安全提醒了
    zhucegeqiu
        40
    zhucegeqiu  
       33 天前 via iPhone
    只开一个 v2ray 的端口连回家+fail2ban
    mozhizhu
        41
    mozhizhu  
       33 天前
    主要是,你永远不知道你安装的服务,是否安全可靠,所以,非必要不暴露;
    vpn 回家、xray 反代回家,都可以实现从外面访问家里
    laminux29
        42
    laminux29  
       33 天前
    Q:系统集成的各种功能不就是为了方便公网使用 nas 吗?

    A:不是。甚至应该仅内网使用。
    qa52666
        43
    qa52666  
       33 天前
    @MFWT 分享一下家里如何搭建 VPN 呗?是在 NAS 上搭建?还是路由器上?
    Byleth
        44
    Byleth  
       33 天前
    @xueyuehua 这样的话,应该只有 moon 的中继端口是暴露在公网,zt 网络本身是零信任的,所以只要 zt 的 moon 服务器本身不出漏洞 ,应该就是很安全的
    Les1ie
        45
    Les1ie  
       33 天前
    尽量减少暴露在公网的服务吧,指不定哪天爆出来一个未授权命令执行就打崩了。

    虽然 IPv6 地址稀疏难以被扫描到,但是仍然有很多方式可以进行 IPv6 的地址空间的资产探测,有兴趣的可以读一读 rfc7707 ,依靠 IPv6 地址的稀疏性作为安全屏障是不太可取的。
    除去容易想到的从网站访问日志、流量镜像中获取 IPv6 地址守株待兔的方案,还有很多主动探测的方案。比如几年前比较经典的利用熵生成 IPv6 地址然后探测的方案 https://dl.acm.org/doi/10.1145/2987443.2987445 ,这个方案之后有很多类似算法的衍生方案。

    另外,近几年群晖漏洞不断,虽然近期没有啥好用的未授权,但以前是有过严重漏洞的,防不住哪天就整个出来个大新闻。
    https://conference.hitb.org/hitbsecconf2021ams/materials/D1T2%20-%20A%20Journey%20into%20Synology%20NAS%20-%20QC.pdf
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=synology
    https://www.cvedetails.com/vendor/11138/Synology.html

    当然,话说回来,我们这些麻瓜不值得这种高等级魔法的攻击,但万一神仙打架伤到我们了也不太妙,还是稳妥一点比较好。
    Byleth
        46
    Byleth  
       33 天前
    @zoumouse 这样疯狂被扫,是不是用的默认端口啊
    ychen997
        47
    ychen997  
       33 天前
    我目前在用 群晖套件 openvpn
    TimPeake
        48
    TimPeake  
       33 天前
    我一般是常用应用端口号 +1 暴露在公网的,比如 远程桌面 3389 ,我这边设置 3390 。这有啥问题吗
    Pairdl
        49
    Pairdl  
       33 天前
    有一次突然发现连续好几天持续的尝试登录失败,赶紧设置了两步验证和登录失败就封 IP ,现在很少了
    PrinceofInj
        50
    PrinceofInj  
       33 天前
    我所有的服务都开着公网端口暴露包括 Windows 主机也是 3389 直接暴露的,安全么?看日志经常见到一些扫描的,但是目前为止从未有被攻破的,唯一的一次,aria2c rpc 接口没设密码被扫到了,自动下了一些东西到硬盘上,我看了一下是一些破解的脚本,然而我的 aria2c 是运行在 Windows 上的,传上来的 Linux 脚本屁用没用,后来加了一个密码就可以了。
    Aawhale
        51
    Aawhale  
       33 天前 via iPhone
    提升安全性,可以添加两步验证机制:输入密码后通过邮箱验证。同时,配合限制 IP 访问频次的设置,可以有效减少异常登录提醒。我之前也担心类似问题,但通过这种方式后,未再收到异常访问提醒
    Aawhale
        52
    Aawhale  
       33 天前 via iPhone
    @Aawhale 公网 IP 每周会更换,设置起来较为繁琐,我最终放弃了 DDNS 方案。目前已放弃使用,同时也在关注是否有新的方法可以实现便捷的远程访问
    MFWT
        53
    MFWT  
       33 天前
    @qa52666 我目前的方案是路由器,让路由器做访问网关,因为考虑到集成进梯子(安卓端无法同时开两个 VPN 接口),所以实际上用的是 Shadowsocks ,直接在路由器上部署服务器,然后手机去连接就行
    YsHaNg
        54
    YsHaNg  
       33 天前 via iPhone
    @HeHeDa 白群用户应该前两天有收到邮件吧 https://www.synology.com/en-us/security/advisory/Synology_SA_24_20
    gunner168
        55
    gunner168  
       33 天前 via iPhone
    @xueyuehua 算吧,因为只要爆破你的 zerotier 账号就能登陆你家的网络
    moudy
        56
    moudy  
       33 天前
    @msg7086 #8 是的,正规的 security 培训都假设现有的安全手段都有早晚会被干掉的一天。安全架构就是尽量推迟这个时间或者提高漏洞利用的成本,只要能达到无利可图,也能变相实现安全。
    zoumouse
        57
    zoumouse  
       33 天前
    @Byleth 确实,看了各位的回复,准备先换个端口
    sn0wdr1am
        58
    sn0wdr1am  
       33 天前
    因为对于大多数人来说,网络安全都不太注意。

    一旦被人扫描,并入侵成功,你的资料可能被人给加密,然后被勒索比特币等。

    遇到一次,就老实了。
    hyperbin
        59
    hyperbin  
       33 天前 via Android
    说没漏洞的建议看看群晖的更新日志,只要群晖不小心漏一个 web 提权你就有遭殃的风险
    seenthewind
        60
    seenthewind  
       33 天前
    我补充一个观点:

    nas 的本质是数据存储和数据分享,他默认会有很多自动发现、自动关联的服务自动运行,甚至还有特殊的调试维护命令后门之类的方便厂商维护支持的功能。

    这些功能与我们传统意义上的 “安全” 是有矛盾的,换个话说,就是 “安全” 和 “方便” 是天生的矛盾,而 nas 作为市场化的产品,他肯定要重点做“方便”,顺带兼顾 “安全”。

    就算是我略懂一点计算机安全知识,有段时间我懒得折腾,直接把 nas DMZ 到公网,在配置了防火墙和访问策略,关掉所有自动发现服务,密码尝试 3 次失败就永久 block ip , 就算这样我的防火墙每天收到上万次扫描阻拦日志。

    后来我更懒的操心了,直接移回内网了。。

    你如果想速度快点,有一个折衷的办法, 配置一个 wireguard , 把 wg 的 udp 服务端口设置在高位( 6 万左右),然后端口映射到公网,配置对内网的转发(或者干脆就在 wg 服务器上配本地反向代理)。

    这样所有的外网访问内网收敛到 wg 的安全性,至少一个 udp 端口没那么显眼。。。
    channlong
        61
    channlong  
       33 天前
    我自己目前使用的是 QNap
    1. 紧跟版本更新
    2. 开启两步验证
    zliea
        62
    zliea  
       33 天前
    反正我是安装了 vpn server (之前用的路由器带的 l2tp ,android 高版本没有该选项),只暴露了 vpn 的端口,我感觉会相对安全一点。
    ncbdwss
        63
    ncbdwss  
       33 天前
    qnap ,没开二次验证用了 3 年多没任何问题。开了二次验证到现在也有 4 年了。从未有过任何问题。
    dream10201
        64
    dream10201  
       33 天前
    我目前所有服务都跑在 podman 里,域名解析到 IPv6 公网访问
    x86
        65
    x86  
       33 天前
    别用弱口令之类的就行了,每天都被扫会尝试弱口令爆破,基本没人用大字典去爆破浪费时间的
    alfawei
        66
    alfawei  
       33 天前
    公网 IP ,使用群晖暴露端口很多年,使用非常规端口,开启群晖的防火墙,自动封杀 IP ,保持系统更新。
    Kimyx
        67
    Kimyx  
       33 天前
    我的方案是使用 FRP 穿透,域名托管在 Cf ,前端全部套 Zero Trust -> Access 验证
    bluehtt
        68
    bluehtt  
       33 天前
    那些提醒你不要暴露公网的,其实和建议安装反诈软件的民警差不多。

    为你好!!!
    iv8d
        69
    iv8d  
       33 天前
    比罗本强不了多少
    zmcity
        70
    zmcity  
       33 天前
    如果你有定期换密码,开 2fa ,有新系统别管难不难用都会更新的习惯的话,放公网没什么问题。
    有很多人会因为新系统某个功能不好用,就不更新了,这种情况下还是别暴露出来比较安全。
    TossPig
        71
    TossPig  
       33 天前
    这问题怎么说,换个提法就明确了
    新手司机在高速公路上变道有多危险?
    新手司机请教,在 v3 经常看到一种说法高速公路车祸大多都是在变道的时候导致的。

    应该是暴露在公网有风险,不然就没人敢提供公网服务了

    问题 1 ,有可能,前提是群晖爆出 0day 漏洞,后果是没人再采用群晖的系统了,实际现象是我要有这个 0day ,肯定藏好不动,找机会来个大的,或者做一把白帽子。对个人用户没兴趣!~万一一用就被蜜罐了呢,这种 0day 自己不用也能卖好多钱的。
    问题 2 ,看地区,目前的大多数人配置的 https 不是全过程加密的,正常通讯之前有个握手的过程,这时候 sni 会携带明文的域名,ISP 是能看到你绑定的域名的,按照国内现行法律会被警告,要求移出绑定或者直接给你黑洞了。

    嘴一下提零信的,各单位构建零信网络,主要是单位内部多个系统参差不齐,都是各个部门在用,甚至还在没在维护都不清楚,人力成本上根本无法做到了解每个应用的流量特征,所以上 vpn 上 waf 上边缘的搞一堆,
    自己的用的,比如我家里,哪个设备解析了一个哪个域名我都有记录,久了有点异常数据都是心中有数的

    没有绝对的安全,走路也有突然跌倒的风险
    lyfeixue316
        72
    lyfeixue316  
       33 天前
    有公网 ip ,也不是直接暴露出去的,前端有一层 lucky ,做好 lucky 的防护,ufw 配置只开放部分端口
    也有 ipv6 ,但是没有 ddns ,迄今暂时还算安全
    lxh1983
        73
    lxh1983  
       33 天前
    @swiftg 勒索付款率很低的,特别时针对个人的。重要数据都有备份,否则就算不被勒索,硬盘也有坏的一天,同样数据全无。所以用 Oday 做勒索的收益大部分比厂商或者骇客大赛的给的奖励少多了
    bluehtt
        74
    bluehtt  
       33 天前
    @swiftg #10 啥新闻啊?最近更新的一个安全更新快一个月了
    yulgang
        75
    yulgang  
       33 天前
    你好,VPN 回家后直连即可。
    NewEpoch
        76
    NewEpoch  
       32 天前
    @Kimyx 安全是安全 速度不行
    tjiaming99
        77
    tjiaming99  
       32 天前
    @li19910102 没发现不代表没被攻进去,系统级 0day 漏洞甚至可能可以绕过登录
    tjiaming99
        78
    tjiaming99  
       32 天前
    @hefish 真是太痛了
    evan9527
        79
    evan9527  
       32 天前
    我的是设置了黑名单,3 次尝试登陆错误拉黑 ip ,刚开始很多扫,慢慢就没有了。
    buptzt8013
        80
    buptzt8013  
       32 天前
    @sn0wdr1am 不好意思,我的数据没有价值
    Kimyx
        81
    Kimyx  
       32 天前
    @NewEpoch 我也用过 TailScale 直连还没我走 FRP 绕一圈美国的速度快,猜是被 QOS 了
    gechang
        82
    gechang  
       32 天前
    我不用的时候,直接路由器禁止 nas 上网
    li19910102
        83
    li19910102  
       32 天前
    @tjiaming99 #77 所以說沒啥可擔心的,真正能攻擊你的人看不上,也不屑于浪费那个时间和精力去搞你;想搞你的人怕是没有那个能力,无非就扫描一下你的设备,然后 nas 上设置连续扫描一分钟直接永久拉黑就没什么可怕的了。
    JKOR
        84
    JKOR  
       32 天前
    最外层加个反代,只开一个端口。

    单用户访问的话可以在加一个客户端证书双向验证。
    hewitt29
        85
    hewitt29  
       32 天前
    还行吧,家里难道是固定 ip 么。。反正我家每天路由器重启后 ip 都会变
    hafuhafu
        86
    hafuhafu  
       32 天前
    安全是相对的。
    我倒是不怕被跑字典爆破密码这种,主要是怕暴露出来的服务甚至系统/工具链之类的本身有啥漏洞,又不对外提供服务,而且只有我自己用,反正只是多加一个简单步骤,几乎没成本还有收益何乐而不为。
    云服务器这种拿来玩玩的我无所谓,但是家里的我肯定要尽量保证能力范围内的安全,就算数据不值钱,我也不希望有个入口谁都能来搞一下。
    q958951326
        87
    q958951326  
       32 天前
    他有无数次机会,而你,只有一次。
    lizy0329
        88
    lizy0329  
       32 天前
    如果你安装了那些破解软件,就算是断网也能操作
    keengrass
        89
    keengrass  
       32 天前
    任何东西公网都有危险,不上网最安全
    karlguo7
        90
    karlguo7  
       32 天前 via iPhone
    我也问下,我的路由器配置了光猫里找到的 ipv6 ,然后路由器设置防火墙拒绝一切外网访问是不是就安全了?
    Xiangliangliang
        91
    Xiangliangliang  
       32 天前
    可以这样玩,类似 nginx 的虚拟主机,关键点是 ServerName 。如果是自己设置的域名则允许访问,不是则拒绝。可以使用现有的域名如 www.baidu.com ,或者任意自定义如 git.myself 指向你的 ip ,然后 dns 能解析到就行。这样就非常安全,一个人的网络空间。 /狗头
    nodesolar
        92
    nodesolar  
       32 天前
    给 nas 写了个服务,绑定飞书或者钉钉只有提交了白名单后才能畅通所有端口 嘿嘿
    kakki
        93
    kakki  
       32 天前
    我不用的时候 Nas 都是直接关机的
    Binini
        94
    Binini  
       32 天前
    电信不给我暴露的机会,(不提供公网 IP
    haikea
        95
    haikea  
       32 天前
    那你应该问问,如果你的 nas 被黑了,黑客能拿到什么有价值的东西。我能想到的,无非是币最值钱,然后是一些私密信息,照片之类的
    auro233
        96
    auro233  
       32 天前
    自用白裙,有同样穿透回家需求,搭的 frp+let's encrypt 的 https+不寻常端口+2fA 验证。除非是群晖系统漏洞问题,不然我觉得应该是没人有那闲工夫去故意去爆破你的。
    auro233
        97
    auro233  
       32 天前
    @auro233 还有重要数据冷备份或者加密上网盘。
    kid1412621
        98
    kid1412621  
       32 天前 via iPhone
    @Kimyx 直接用 cf tunnel ? 为啥还用 frp
    swiftg
        99
    swiftg  
       32 天前
    @lxh1983 并不需要多高的付款率,10 个人里有一个人付款就够了,乘以几万十几万的基数就是笔非常可观的收入,绝对比奖金高。黑客的动机你完全不用担心,绝对是有利所图的。

    也许你做了很好的备份,但并不代表所有人都是,应该说绝大多数人都没有很好的备份,就算备份,也是同一个机器里不同的硬盘备份,可是备份也会被勒索病毒加密,并且加密后的数据还会被同步到云端或异地,如果云端没有版本控制的话,照样完蛋。

    你可以搜索下之前威联通铁威马被漏洞利用勒索的帖子,很多人都付钱了

    扪心自问,如果我 nas 里的照片都被加密而且没有备份的话,我会付 5000 以内的赎金
    swiftg
        100
    swiftg  
       32 天前
    @bluehtt https://www.synology.com/en-global/releaseNote/DSM 11 月 5 号的更新补丁,对应漏洞 CVE-2024-10443 。补丁放出来后就可以方便黑客逆向找到漏洞,相信还有大量的群晖设备没有更新
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2737 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 02:32 · PVG 10:32 · LAX 18:32 · JFK 21:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.