请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 1790 天前的主题,其中的信息可能已经有所发展或是发生改变。
当然 NAS 外网访问的话肯定是 VPN 连回来更安全。
那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
第 1 条附言 2020-11-15 10:21:02 +08:00
我可能没表达清楚,就是只是把 DSM 的端口映射出去就可以。做 dmz 主机肯定危险啊
第 2 条附言 2020-11-15 10:22:29 +08:00
重点是这个 DSM 网页到底可靠性如何
第 3 条附言 2020-11-15 19:20:11 +08:00
还是决定暂时用 VPN 连回家的方式
 | 1 ys0290 2020-11-15 09:22:18 +08:00 via iPhone 以前没有封禁 443 的时候干过,没有感知到被黑,可能是没有用默认端口吧 |
 | 2 snable 2020-11-15 09:25:39 +08:00 via Android 我的黑群晖自带防火墙默认没规则,非常危险,公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序,把 ssh 和 http 、https 开放的顺序放在禁止全部之前,以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后,确定好顺序后再调整,切切。 |
 | 3 jfdnet 2020-11-15 09:28:20 +08:00 折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。 |
 | 4 soyking 2020-11-15 09:33:59 +08:00 via Android 我家里的路由器需要配置开放端口,目前只开放了 ssh 非密码登录,网页用 ssh port forward 转发 |
 | 5 zjsxwc 2020-11-15 09:39:29 +08:00 via Android 我只转发了一个 5000 端口给群晖,感觉除非群晖 dsm 网页登录有漏洞(几率很小),不然不会被外网黑。 |
 | 6 328115208 2020-11-15 09:40:30 +08:00 没必要这么复杂吧,关闭 ssh,然后设置 72 小时内输错两次密码封禁 IP 就好了 |
 | 7 henryshen233 OP @zjsxwc 那我觉得 https 还是必需的 |
| 8 henryshen233 OP @snable 你是把群晖设置成了 DMZ 主机了 |
| 9 henryshen233 OP @snable 你可以只做必要服务的端口映射就可以了啊 |
 | 10 ericwood067 2020-11-15 10:44:50 +08:00 @henryshen233 https+只转发一个非常规的高端口给群晖,被黑的可能性比较小。 |
 | 11 coolcoffee 2020-11-15 11:00:58 +08:00  1 都有公网 ip 了, 建议只在群晖上面开启一个 openvpn 端口吧,连上之后就变成了内网,访问什么都方便。 群晖这种存储了很多资料的服务器,如果某天爆出了一个 0day,很多暴露在外面的都会被一锅端。 |
| 12 snable 2020-11-15 11:14:01 +08:00 via Android @henryshen233 我是 ipv6 绑定域名,不算 DMZ 吧。映射也可行,但是我要的端口比较多,也怕有其他 bug 。 |
 | 13 Tyuans 2020-11-15 13:42:49 +08:00 申请证书开启 https,然后我的软路由开防火墙映射端口,5000 和 5001 以及 9091 ( transmission )都映射到其他端口上,ssh 直接不开,或者开的话不映射端口,只能内网机器访问。很久没有封锁通知了。 |
 | 14 GBdG6clg2Jy17ua5 2020-11-15 14:03:53 +08:00 via iPhone 还是 vpn 回去安全。谁知道群晖验证安不安全呢 |
| 15 henryshen233 OP @angryfish 群晖的话既然用了肯定选择相信的,就是 DSM 的漏洞这个问题,因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全,想问问 V 友们是否有遇到这些情况 |
| 16 zjsxwc 2020-11-15 17:30:09 +08:00 via Android @henryshen233 谢谢提醒,我把 5001 端口也转发了,改 https 访问。 |
 | 17 E4rljia 2020-11-15 17:32:35 +08:00 现在被我封锁的 ip 已经 400+了 |
 | 18 Sharuru 2020-11-15 17:40:08 +08:00 Docker 跑了 DDNS 解析到 Cloudflare 上,路由器端口只允许默认的 WEB 界面( 5001 )端口通过。 没有感知到被黑。日志里也没有奇怪的访问。 |
 | 19 imgbed 2020-11-15 17:43:07 +08:00 之前有大量的尝试登录,后来把默认的 5000 和 5001 改成其它的就没有了 |
| 21 IsA26hN4DcQDS7Z9 2020-11-15 17:57:51 +08:00 密码忘了,把自己封禁的算不算 |
| 22 henryshen233 OP @Raynard 你有点厉害的 |
| 23 henryshen233 OP @Sharuru 5001 建议改成高端口好点 |
 | 24 gabon 2020-11-15 19:20:41 +08:00 via Android 做了 ddns 之后有大量登录失败的日志,开了限制登录次数 |
 | 25 luyan 2020-11-15 19:31:18 +08:00 via iPhone 目前还有更安全的办法吗? |
 | 26 kokomo 2020-11-15 19:32:32 +08:00 via iPhone 开了两步验证,感觉还好! http://kokomo.gicp.net:5000 |
 | 27 vibbow 2020-11-15 19:34:30 +08:00 我目前用了另外一种方法: 路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS 这样只有使用正确的域名才能访问进来,仅仅端口扫描是无效的。 |
| 28 henryshen233 OP @luyan VPN 比较安全 |
| 29 henryshen233 OP @kokomo 还是要配置 https 比较好 |
| 30 henryshen233 OP @vibbow 好复杂,暂时不懂 |
 | 32 lifanxi 2020-11-15 23:31:31 +08:00 1 自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https,t 长期挂公网上五六年了,还没有被干掉过。 当然 VPN 更安全,但是不方便。 |
 | 33 Xusually 2020-11-15 23:58:55 +08:00 1 一直都是 vpn 回去内网访问的。 端口直接映射暴露的话,如果 web server 或者群晖的 web 应用有漏洞就会中招。 |
 | 34 1if5ty3 2020-11-16 00:10:44 +08:00 5000 5001 5005 5006 还有 ftp,一些 pt 端口都开着,很久没有封锁通知了。 偶尔也会看下日志,ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主,也不会太担心。 |
 | 35 z761031 2020-11-16 00:38:12 +08:00 天天有人扫,起码要改个端口,免得被一锅端 |
 | 3 JoeoooLAI 2020-11-16 10:58:38 +08:00 改了默认端口,登陆邮件通知。。狠一点可以搞二步认证,要么就搞个有固定 ip 的跳板反代,群晖只白名单那个 ip |
| 37 JoeoooLAI 2020-11-16 11:03:19 +08:00 防火墙,非中国 ip 自动 ban 掉也是可以的,哪有绝对安全,就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证,把命交给群晖。 |
 | 38 clalala 2020-11-16 11:20:44 +08:00 5000 的端口在公网,没被爆破过,22 端口有一次忘记关了,被国外的 ip 爆破了,不过密码错 3 次被禁封了 |
Select Language