请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
在美国,不玩 BT PT 什么的,就备份一点自己买的动漫光盘和一些 4k 录像,预估未来 5 年数据量 30TB 以内,有什么高安全性(必须支持全盘加密、SMB 传输加密)高性价比的 NAS 方案?不喜欢折腾,最好是成品
drymonfidelia 116 天前 5914 次点击这是一个创建于 116 天前的主题,其中的信息可能已经有所发展或是发生改变。
SMB 传输加密用来防止内网不可信设备 ARP 攻击
 | 1 duanxianze 116 天前 成品还有啥好说的,直接买群晖不就好了,30t 买个 4 盘位,单盘 16t*4,做 raid5 |
 | 2 drymonfidelia OP  1 |
 | 3 KenThompson1729 116 天前 qnap 买回来之后装上最新版 debian |
| 4 drymonfidelia OP 不知道那些用群晖的企业是怎么做安全防护的? |
 | 5 totoro625 116 天前 1 |
 | 6 codehz 116 天前 @drymonfidelia 有没有可能是因为其他产品用的人少根本没人报 cve ,只有没人用的,和有一堆 cve 报告的两种产品 |
| 7 drymonfidelia OP 功能上没有要求,不需要转码什么的,如果能有个相册最好(最基本的内网在线预览功能就可以,不需要人脸识别什么的) 另外想问下 SMB 客户端是不是没办法像 TLS 那样验证服务器身份,防止 MITM ?我研究了下是没找到这样的文档,看起来还是只能挂载 WebDAV over HTTPS 或者 FTPS |
| 8 drymonfidelia OP @codehz 群晖功能太多了,很多关不掉,攻击面比较大,而且闭源黑盒社区不能审计代码 |
 | 9 Tianao 116 天前 重安全的 CIFS/SMB NAS, Windows Server 和 NetApp 是唯二的神,再加上高性价比的话,就只有 Windows Server 了。 |
| 10 drymonfidelia OP SMB 客户端是不是没办法像 TLS 那样验证服务器身份,防止 MITM ?我研究了下是没找到这种功能的文档 @Tianao |
| 11 drymonfidelia OP @Tianao 我标题里的 SMB 加密主要是解决内网传输的安全问题,如果有别的安全替代方案也可以 |
 | 12 whileFalse 116 天前 你不就家用么,搞这么复杂干什么 |
 | 13 zxjxzj9 116 天前 不想要群辉的话,winserver 和 linux 自己选咯。毕竟你要求这么多,发行版已经算折腾的少的了,特别是现在有 ai 你就把这需求跟 ai 讲让他给你写个一键脚本,说不定就搞定了,搞不好比用成品系统的 GUI 还快。 |
 | 14 alfawei 116 天前 @drymonfidelia #2 群晖会一直补漏洞,其他小品牌估计不补。你看当年 WD 的因为漏洞被搞的。 其他家不是没有漏洞,是没有到一定的量级,可以预见其他几家品牌搞不好以后漏洞吃大亏的 |
 | 15 willwon1 116 天前 看你的描述就足够折腾..... |
 | 16 yu13n 116 天前 自组硬件 + linux / bsd ,安全性拉满,最大缺点就是便利性几乎为 0 |
| 17 duanxianze 116 天前 @drymonfidelia #2 这有啥的,哪个大规模使用的系统 bug 不多? windows 这么多年了不还是一直打补丁 |
 | 18 dilidilid 116 天前 1 群晖你都嫌漏洞多那你还买啥成品?难不成你觉得不披露=没漏洞? |
| 19 dilidilid 116 天前 哦还要高性价比,还在美国,哥们你真不是来玩抽象的吗 |
 | 20 allplay 116 天前 via Android 这点需求实在是太简单,随便买个台式机,最近几年的主板上基本都有 TPM 加密芯片,Windows 开 bitlocker ,磁盘静态加密,SMBv3 。 |
 | 21 oldboy627 116 天前 1 |
| 22 drymonfidelia OP @dilidilid 只是不想要买太低性价比的硬件,以前买的企业级硬件出二手至少 70%off |
| 23 allplay 116 天前 via Android 1 Windows: 强制 SMB 签名:为了确保 SMB 共享过程中的数据完整性,可以通过组策略强制启用 SMB 签名。签名可以有效防止中间人攻击和数据篡改。 配置路径:计算机配置 > 管理模板 > 网络 > 网络安全 > SMB 服务器签名 |
| 24 dilidilid 116 天前 2 @drymonfidelia 没懂你的意思,你买 4 年前的消费级硬件板 U 出二手也 70% off 呀。成品除了群晖甚至根本不存在二手市场,三折出售已经算不错的了。你的这个需求随便弄个成品或者弄个 Windows 主机都行,只要不开放端口到公网没人拿漏洞打你,不要想太多了 |
| 25 Tianao 116 天前 via iPhone 1 @drymonfidelia #10 有的。 https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-signing-overview https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview #11 技术上,应用层认证和加密不可被替代;工程上,只要你的物理环境和网络基础设施是可信的(且受到持续保护的),划分 VLAN 、实施 DAI 和 IPSG 、实施端口安全,乃至实施保护的端口/PVLAN 、ACL 、VRF 都可以解决地址安全(真实且被授权)问题。 |
 | 26 Kepy 116 天前 国内买国外产品,保安全,国外买国内产品,保平安。 |
 | 27 ranaanna 116 天前 @drymonfidelia 安全的 SMB/CIFS 并不需要 TLS 。如果想要确保安全,实际上只要用最新的 Windows Server 版本,搭建 AD 域及域控和 DNS ,DNS 要 enable dnssec ,file server 强制 SMB 3.1.1 (即强制 pre-authentication integrity ,V1V2 当然绝对要禁掉的)即可。如果用 Linux ,最新版的 SAMBA server 应该也能做到,域控还是必需的。当然,这些都是成品满足 OP 的要求 当然,真这样做的话可能就会有老旧的客户端连不上啦。没用过群晖但是可以推测也是可以做到的,大概率就是禁止或强制开启某些选项把。但是出于兼容的考虑其实当前 SMBV2 还是大行其道的呢 最后,想说的是漏洞多其实并不可怕,只是表明产品比较 popular |
 | 28 kome 116 天前 二手服务器, 带 12 块 3.5 硬盘笼的那种, 带不带 raid 卡看自己选择, 硬 Raid 还是软 Raid 自己选择. 硬盘二手还是全新看自己选择. 系统装 Windows server, 不用去盗版激活, 下载个 180 天试用版, 后面不去激活系统也能用. 开启 Bitlocker 加密, 自己记好密钥, 只用 SMBv3. |
| 29 alfawei 116 天前 |
 | 30 mayli 116 天前 via Android 你内网都有不可信设备了 那还内个毛 不喜欢折腾就成品群晖 没必要考虑别的 |
| 31 allplay 116 天前 via Android smbv1 是绝对不能用的,smb v2 也可以抛弃。 smb v3 是 2012 年出现的,现在还有什么软件是 2012 年的,且不可替代? |
 | 33 RicardoY 116 天前 你需要一个 windows server |
| 34 ranaanna 116 天前 @allplay 真巧。2012 年本人买了一个 Buffalo linkstation ,到现在整 13 年连硬盘都没有坏掉过所以也没舍得淘汰,最新固件 20130731 默认还是 v1 幸好后来可以 hack ssh 进去改为 v2 ,一直正常工作直至去年域控制器升级成 server 2025 之后无论如何也不能加入域(估计和 SMB signing 有关),最后没有办法只好另外开了一个 server 2022 单独给它作域控, 还能凑合用,windows/macos/linux 的客户端都还支持,也没觉得有什么不安全的 |
 | 35 windyboy 115 天前 truenas mini ? |
| 36 allplay 115 天前 via Android @ranaanna openmediavault 里面有个功能叫 remote mount ,其它系统应该有类似的但不知叫什么。具体就是: 把你的 smb v1 的设备 mount 起来,然后开一个 smbv3 的服务出去,WebDav 也行,你原来的 smb v1 只是新的服务底层的一个目录。底层虽然不安全,但暴露给外面是安全的。 就相当于内网 HTTP 没有加密,但是反代后 HTTPS 加密了。 |
| 38 allplay 115 天前 via Android 楼主的安全涉及到几个层面: 传输加密 smb v加密 静态加密 bitlocker 实现,需要 TPM ,可选 签名认证 smb v3 签名认证 登录保护 既然需要 bitlocker 了,当然还要保护登录,这个也靠 TPM 这些全部实现,在消费级产品里面,只能靠 Windows ! |
 | 39 ddczl 115 天前 不折腾的话,我觉得威联通比群晖好,因为价格便宜,该有的功能都有,经过市场验证。后台稍微复杂但你不折腾 |
| 41 ranaanna 115 天前 @allplay #36 对于 windows 就是,共享“已挂载的共享文件夹”的文件夹,简单而又有趣...不知道是否是可以的 另外 OMV 似乎不支持加入域,只能是 local users and groups? |
 | 42 FateTrack 115 天前 Windows 系统本身就有 smb 和 ftp 等等, 能实现一大堆功能, 安全性看你组策略和额外软件配置. 就是移动端访问我没找到什么好用的应用, 比如苹果文件系统自带 smb 访问, 但是非要下载视频才能看, 不能直接播放. 而且 smb 不少软件没支持最新的协议, 导致传输速度好低. |
 | 43 Regened 115 天前 好奇什么场景内网会有不可信设备,难道 op 是准备在公司/学校局域网里架 nas ? |
 | 44 Amex 115 天前 via iPhone 二手 Mac mini + hdd enclosure ? apfs 能加密 Sharing 里设好账户访问权限 设置好反代也能 access from anywhere 我自己是类似的配置(退下来的 Mac Studio+usb 直连外接硬盘),缺点就是 macOS 没法看 usb external drive smart data 如果看中这个还是自己组个 nas 吧 |
 | 45 iv8d 115 天前 成品那必须群晖了,你买了还有售后呢 |
 | 47 ern 115 天前 @drymonfidelia #4 非互联网的大企业,哪个企业自己造轮子?没钱的企业就自己请 IT 打补丁,有钱的企业就买原厂服务。互联网大企业自己搞云、搞平台,多数也是为了竞争优势和成本考虑。 |
 | 48 vain 115 天前 北美且需求简单的话,ubnt nas pro 799 刀 七盘万兆 |
 | 49 zsxzy 115 天前 没什么价值的数据谁有那时间来黑你 .. |
 | 50 feikaras 115 天前 via iPhone 30T 就 1-2 个盘,还要啥 nas ,你电脑没 sata ? |
 | 51 jojobobo 115 天前 @whileFalse 他在 us, 还要加密,放视频, 那不是怕佛波了上门,被抓到把柄,啊, 那可是美帝,什么事情都能干出来 |
 | 52 bullfrog 115 天前 对于对别人没什么价值的数据, 忘记密码/无法解密的风险远远大于被盗的风险 |
 | 53 coymail 115 天前 群晖纯内网访问+zerotier+按需桥接 |
 | 54 FirstMing 115 天前 自己买个台式机,刷个系统当 nas 吧,或者买个 macmini 当 nas 用。 |
 | 56 ryd994 115 天前 via Android 内网防什么 MITM ?说了多少次了,智能家居不要连 WiFi 内网。单独开个访客网络给不需要连接内网的机器用。 我内网只有自己的手机电脑打印机。打印机还禁止连接外网了。 @drymonfidelia #22 那你买二手不就得了。我的 nas 是 x99 洋垃圾。除了硬盘,剩下的部件加起来 100 美元不到。只有电源和硬盘是新的。 |
| 57 drymonfidelia OP @ranaanna 在 NAS 上搭建域控,会不会导致万一那天 NAS 被黑,我电脑一起被黑了?我没折腾过域控,但我记得域控能直接在客户端设备上以 UAC 权限运行程序 |
 | 58 msg7086 115 天前 又要成品方案又要高安全性又要高性价比,这要求确实有点抽象。 要成品方案买群辉,要高安全性高性价比就自己弄一台超微机架之类的装个 debian/ubuntu 跑 zfs 。 |
 | 59 ExplodingDragon 115 天前 你的需求都这么明确了,为什么不是从零到一自己构建 ?整一台 HP 的 micro server 或者任意 x86 支持 ecc 内存的机器然后部署 debian / rhel 搭积木 |
 | 60 manateelazycat 115 天前 老板,懒猫微服了解一下,自带超强内网穿透,比 Tailscale+Cloudflare 更快, 不依赖公网 IP,自带 MFA 认证,防黑客攻击 懒猫微服 = 传统 NAS + Cloudflare + Tailscale + VPN 虚拟专网 + Authy + Nginx + AI 大模型 + 微信小程序 + AppStore + KVM/Docker/PVE + iCloud/TimeMachine + Chrome 电视 阿里安全专家用户笔记 http://post.smzdm.com/p/aprqvvl9/ 支持全自动同步 iCloud 相片,同步好后,Android 或 PC 也都支持直接查看,一家人使用非常方便。内置最大支持 16T 空间,存个上百万张照片妥妥的,iCloud 也退订省钱了。 |
| 61 ranaanna 115 天前 @drymonfidelia #37 不是说在 nas 上建域控,而是(为了安全)在局域网内最好要有若干 servers ,起码有两个 AD domain controllers, 一个 radius (NPS) server, 等等,nas 上的 file server 才有网络高安全性。这在当前虚拟机横行的年代并不困难,硬件随便一个低功耗低配置低价格 mini pc 即可,软件 windows server 和 linux 都可以,这都是成品方案,不算折腾 |
 | 62 Chihaya0824 PRO 你不能指望一个 nas 就防下了所有,你想要安全内网肯定要有流量审计设备的,说实话谁都不能保证自己家产品没有安全问题 所以安全性并非单点,应该是要一套解决方案才正常吧 |
 | 63 piero66 114 天前 via Android 内网蜜罐拉满,再装套审计,nas 系统随边用 |
Select Language