这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。
讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。
由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。
1 禁用 @admin 帐户
禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。
2 自动阻止
将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。
3 不要使用 DSM 的默认端口
不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。
4 SSH 仅限本地,或者 webSSH
不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。
5 使用 VPN 访问本地服务
使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。
6 远程访问用 WebDAV
在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。
7 不安装任何第三方套件
NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。
 |
1
Apol1oBelvedere 52 天前
很好的讨论,我的 IPv6 无需担心,没有 IPv4 公网只用 QuickConnect 很安全。
我额外做的: 1.导入中国屏蔽海外恶意扫描网址库。 2.启用 5 条防火墙规则,除局域网访问和大陆对部分服务的访问外,其他一切禁止,安全性大大增强。 |
 |
2
dozer47528 52 天前
@Apol1oBelvedere 中国屏蔽海外恶意扫描网址库,这个在哪有?
平时一直有人扫我 NAS ,我一般设置成失败 2 次就封禁,直接就封 365 天。 我家人账号都是普通用户,就算被攻破问题也不大。我自己的账号开 TOTP ,所以基本上不会有什么问题。 NAS 肯定是按端口把几个特定的服务开公网。 |
 |
3
ltkun 52 天前 via Android
我的选择是禁用 nas 关闭一切不正经的对外端口 ssh 都不允许有 除了 VPN
|
 |
4
MeteorCat 52 天前 via Android
如无必要端口全关,我觉得这个最安全
|
 |
5
lyc8503 52 天前 via Android
关闭一切端口, 只开一个 vmess 隧道 /SSH 隧道, 所有服务使用 Docker 隔离
|
 |
6
tengyoubiao 52 天前 via Android
不用的时候关机,要用之前 wol 唤醒,配合上面的策略,减少在线时间
|
 |
7
documentzhangx66 51 天前
有一种安全且简单的办法是,买台最便宜的云主机,作为中转服务器,NAS 不直接对公网服务,NAS 、跳板机、外网机器通过 WG 或 OpenVPN 组件虚拟局域网。
这种好处是,黑客需要先攻破 WG 或 OpenVPN 才能进入跳板机,然后还需要掌握别的漏洞或账号,才能攻入系统。 这样做的坏处是,云主机贵,需要额外一笔钱,而且国内云主机大多是固定带宽,带宽小。 |
|
9
dozer47528 51 天前  1
看到楼上好多都是用 vpn 的,的确这样黑客攻破的难度就多了一层。不用 vpn 一旦 openwrt 或者 dsm 有安全漏洞就会被攻破。
但是,用了 vpn 怎么实现给家人访问的需求?我全家都在用我的 nas ,总不能给所有人装 vpn 吧? 我还有共享照片连接给朋友的需求,也不可能让朋友装 vpn 。 |
 |
10
zer 51 天前
@dozer47528 VPN 可以设置只走内网网段,这样客户端常开着也没影响
|
|
11
dozer47528 51 天前
@zer 如果只是我一个人使用,那没什么问题。但我平时会给亲戚朋友用,例如拍了照片视频,需要分享给朋友。我发一个 Photos 共享链接就行了,密码都可以不需要,也不是什么很私密的照片。
|
 |
14
wangnimabenma 51 天前
我就设置了个防火墙
|
 |
15
adminfender 51 天前
我自己家用网络除了特殊像 ipmi 或 esxi 这种设了白名单,能走内网 vpn 走内网 vpn 外,基本上就是多备份重要资料吧,现在在考虑定期冷备的事情
|
 |
16
shalingye 51 天前 via Android
我用的 windows ,还可以做一层 vhd 防护
|
 |
17
OysterQAQ 51 天前 via iPhone
防火墙+vpn 访问就行了
|
 |
18
EvineDeng 51 天前
除了上面的常用措施,我额外在路由器上设置了指定端口只允许本省电信 IP 访问。
|
 |
20
blankmiss 51 天前
我没你们那么严谨 我直接公网反代理出去了
|
 |
21
wukong888 51 天前
用的极空间,有啥安全策略不?
|
 |
22
peasant 51 天前
用的 frp 设置域名访问内网 web 服务,不知道域名访问不了,域名本身解析的是 nas 局域网 IP ,在外面需要用的时候手动绑 hosts 访问,手机用 surge 添加的 DNS 映射,根据网络自动判断是解析到云服务器 IP 还是局域网 IP
|
 |
23
ouou0701 51 天前
用了二次验证码,每次都要去小程序看一下验证码
|
 |
24
nrtEBH 51 天前
个人觉得最大的威胁还是来自内部 内网机器中毒 特别是局域网里有非自己常用的设备,例如老爸老妈的 PC,安卓手机,安卓机顶盒 简单的做法是 ip 白名单 或者把非必要端口都关掉
还有一些潜在漏洞是各种开源的服务端程序,比如 qbittorrent,owncloud 之类的需要对外开放端口的服务 建议用 docker 做隔离 不要直接桥接在 lan 上 |
 |
25
kozalak 51 天前
第 6 点有教程吗
|
 |
27
int11 51 天前
nas 上有好多 emby 之类的服务,平常都是 ddns 域名加端口直接访问的,想请教下如何在不影响体验的情况下加强安全性
|
 |
29
setrmrf 51 天前
我只有一条:禁用密码与证书验证,使用 MTLS 进行认证
|
 |
30
THESDZ 51 天前 1
@int11 #27 可以使用反向代理+https 包裹的方式,我都是用 docker 隔离+traefik 反代的方式进行访问
docker 映射的端口只有 traefik 的 443 (或者设置为 8443 等)端口 |
 |
31
abc8678 51 天前 via Android
用过微联通的 qnapcloud ,一刷新就一堆尝试登录的记录,一分钟就破万了。(反而是我自己要用 qnapcloud 时就很不稳定,十次有四次连不上,四次低速到文件名都一行一行加载)。后来换了自定义的域名才安静下来,设置一下名单,终于没什么人来用了。这样一来,品牌的连接服务是用不上了,有点想用第三方机器搭建黑群晖或黑微联通或 Windows Server 了(目前的 TS-212P3 卡死了),但又考虑到没有品牌方的固件更新,碰上什么漏洞又不懂对付或没精力去持续折腾,所以还是拿不定要怎么做
|
 |
32
hanguofu 51 天前 via Android
请问怎样才能防止普通用户不断试探管理员的帐号和密码啊?
|
 |
33
silymore 51 天前 via iPhone
不用 ddns 和 dmz ,外网访问只走 quickconnect 有风险吗
|
|
34
silymore 51 天前 via iPhone
另外我还开了文件夹加密,没太注意到有性能损失,直接拔盘或者坏了返厂都不怕隐私泄露
|
Select Language