飞牛这事给所有人上了一课,你作为用户永远不知道厂家会犯什么错误,即便是你购买的付费服务也有可能成为黑客的工具,那我们有哪些方案可以在厂家之外能保护我们自己呢。
直接把 NAS 暴露在公网我觉得是不合理的,我觉得至少要套一层隧道。
我目前方案是使用 OPENVPN+证书登录,
具体的方案是用了一个虚拟机专门跑 OPENVPN ,然后路由器上端口转发虚拟机,所有的操作都需要 OPENVPN 之后才能进行,并且每隔一段时间对虚拟机进行更新。
但这个方案并不适合小白,一是我有 V4 公网,二是对于小白用户来说用专门的虚拟机并且按照自己的需求去搭一个 OPENVPN 难度不低。
那么有什么可以增加安全性又对于小白用户比较友好的方案呢?
 |
1
pingdog 13 天前 via Android  1
世上无绝对,VPN server 也会有漏洞,强如 Checkpoint, palo alto, fortigate 这些顶尖厂商的 VPN server 都曾经暴露过高风险的漏洞,基本很快就发布缓解方法,其后推出补丁
适当跟上更新就行了,条件允许每月更新一次,不允许也要每 3 月更新一次,长期不更新是互联网上的大忌,虽然新版引入了更多 bug ,但自己未达到可以写 patch 去修补的境界,没什么好办法。。 |
 |
2
libregratis 13 天前
纯个人观点,对小白用户没必要友好,真正有需求的用户,自然会想办法,更何况现在又有了 AI 工具帮忙,跟风的就没办法了,换个角度,没有人一出生就会走路,总会摔几个跟头,也很难一口水都不呛,就能学会游泳
|
 |
3
Ketteiron 13 天前
@libregratis #2 飞牛的目标群体大部分就是小白啊,用户啥都不知道可能 26 字母都认不全,但是他们就不允许有 NAS 的需求了吗?有需求就有利益,飞牛要做的就是赚到这部分人的钱,如果运营得当这是双赢,但可惜实在太草台班子了,他们不配赚这钱。
在此之前,我对飞牛的反感在于他们不尊重开源协议。态度决定很多东西,就从这个细节来说,我根本不会考虑他们的任何产品。 但这次事件再次刷新了我的三观,不敢相信互联网竟然存在这种公司。 |
|
4
libregratis 13 天前
@Ketteiron 能自己装飞牛的,应该不算小白了,或者可以称之中白或大白;不尊重开源协议的公司太多了,这类的国内外都有,只不过国内更泛滥;飞牛这次的问题,说好听点想混过去,说难听点根本不重视用户权益,但不重视用户权益的公司,说多如牛毛也不为过吧,遥想当年 3Q 大战强制要求用户二选一,虽然这些年好点了,但也可以看成硬币的另一面吧
|
 |
5
yuPD97Yeed4QM245 13 天前 via iPhone
不要买垃圾产品,有空研究相关上市公司的 sec 文件
|
 |
6
yGin OP @libregratis #4 并不是所有能自己装飞牛的都小白,我身边就有啥也不会按照小红书和 B 站自己装飞牛的,飞牛论坛也有利用 AI 来查杀这次 0DAY 直接把系统搞崩溃的,他们可以按照教程搭出来东西,但是他们不会去看具体的代码,之前有朋友问我要实现某个设置要怎样,我给他说了思路后对方直接就是一句“你能不能把代码直接发出来我复制就完了”,他们真的敢执行 rm -rf ,所以我有想有没有一个对他们友好的方案去保护自己。
|
 |
7
nivalxer 13 天前 1
TailScale 或者 Zerotier ,大部分环境都可以穿透,自动走直连,端到端加密普通人够用了。实在不放心就自建 Moon 或者 Planet 。就是可能因为 UDP 的问题,QOS 比较厉害。OpenVPN 目前都启用的 TCP 协议在备用。
|
|
8
libregratis 13 天前
@yGin 看到 rm -rf 乌龙茶差点喷了一屏幕,哈哈哈哈哈哈;这样水平的用户,身边也有,但多少都会找朋友问问,胆子大到不弄清楚就照抄 AI 的,还真没遇到过,不过林子大了也自然;这类用户,经历过这么一遭,对安全的认知想必也会更进一步,凡事总有两面;其实,品牌 NAS 也爆出过大漏洞,记得几年前 D-Link 就搞过一出,受影响的设备估计有数万台,涉及的型号国内也有销售;看过一个分析,不排除这个漏洞是 D-Link 预埋的,官方甚至用产品 EOL 来推脱责任
|
 |
9
louol 13 天前
@yGin 我有点不理解:真基础概念都没有的人为什么要折腾这个,不如安心用大厂服务,及时更新版本。虽然我也是你朋友那种……无脑执行指令
我现在都没法确定有没有数据泄露……这次事件官方的处理态度,就让我觉得飞牛只能是一个高风险玩具。 至于搭建 vpn 麻烦,用 cloudflare tunnel 配合验证应该简单点。 |
 |
10
WuSiYu 13 天前
所有流量都通过 wireguard 回家就行了,wireguard 的代码量很小,有漏洞的概率较低
|
|
11
libregratis 13 天前
简单搜了下,CVE 爆出来是 2024 年,但百度搜相关型号+产品评测,第一页就有 2013 / 2017 / 2021 年至少三篇,漏洞的详细情况 netsecfish 写的很清楚了,刚刚也搜到了视频,有人找到有漏洞的型号,做了复现,其实很严重
https://github.com/netsecfish/dlink https://nvd.nist.gov/vuln/detail/cve-2024-3273 https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383 换个角度看,买这些产品的用户,更是小白,而且还没办法修复,要么换设备,要么纯内网用 最后,飞牛最大的问题,都好几个月了,不直面问题,想混过去,最后搞成这样,这才是最恶心的,但这类恶心的事情经历多了,有需求的用户,都应该把安全尽量掌握在自己手里,就像鸡蛋不要放在一个篮子里,一个道理 |
 |
12
jackOff 13 天前
端到端加密,买点便携式硬件私钥设备,远程访问 nas 的加密数据使用私钥设备解密,企业没有权限上端到端加密,但是用户自己这样子搞没问题
|
 |
13
dilidilid 13 天前
对小白来说,相信品牌比相信技术实在得多。重要的个人数据用口碑良好的公有云(比如 iCloud 、One Drive 、Google Drive )做同步,然后额外做一份离线备份备份到外接硬盘,这基本上就足够安全了,比你用任何品牌或者自建的 NAS 都靠谱,还支持外网访问。其次就是用群晖、威联通这种久经考验的成品 NAS ,虽然这几家也出过不大不小的事故,但事故处置和影响控制都比小作坊强多了。
说实话我实在想不到对小白用户来说,需要外网访问的前提下,个人文档数据不用公有云的理由 |
 |
14
deepbytes 13 天前 via iPhone
直接抄最优解,V 站本来就有作业可以抄… https://v2ex.com/t/1183658#reply42
|
 |
15
cyp0633 13 天前
@libregratis #3 自从飞牛开始卖成品硬件之后,我觉得就应该预设其目标用户包含小白了
|
 |
16
THESDZ 13 天前
1.保证即使被攻击也可以找回损失,即:备份。各家的网盘,只要出钱,几乎没有难度;
2.专业的事情,交给专业的人(公司)来做: 2.1.选择成熟的服务,成熟的软件,且相信专业的决策(包括开启自动更新,默认设置,查看文档等); 2.2.脱离小白身份; 2.3.关注专业的博主,寻求专业的解决方案。 |
 |
17
czyt 13 天前
我现在觉得找个靠谱的硬件+dokploy 不失为一种靠谱的方案 ,厂家我感觉主要就是在相册、磁盘 raid 、穿透和异地访问、数据加密这款折腾了
|
|
18
libregratis 12 天前
|
Select Language