V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
henryshen233
V2EX  ›  NAS

群晖 DSM 开启外网访问(DDNS)有被黑的朋友吗

  •  
  •   henryshen233 · 2020-11-15 08:43:42 +08:00 via iPhone · 9953 次点击
    这是一个创建于 1500 天前的主题,其中的信息可能已经有所发展或是发生改变。
    当然 NAS 外网访问的话肯定是 VPN 连回来更安全。
    那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
    第 1 条附言  ·  2020-11-15 10:21:02 +08:00
    我可能没表达清楚,就是只是把 DSM 的端口映射出去就可以。做 dmz 主机肯定危险啊
    第 2 条附言  ·  2020-11-15 10:22:29 +08:00
    重点是这个 DSM 网页到底可靠性如何
    第 3 条附言  ·  2020-11-15 19:20:11 +08:00
    还是决定暂时用 VPN 连回家的方式
    38 条回复    2020-11-16 11:20:44 +08:00
    ys0290
        1
    ys0290  
       2020-11-15 09:22:18 +08:00 via iPhone
    以前没有封禁 443 的时候干过,没有感知到被黑,可能是没有用默认端口吧
    snable
        2
    snable  
       2020-11-15 09:25:39 +08:00 via Android
    我的黑群晖自带防火墙默认没规则,非常危险,公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序,把 ssh 和 http 、https 开放的顺序放在禁止全部之前,以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后,确定好顺序后再调整,切切。
    jfdnet
        3
    jfdnet  
       2020-11-15 09:28:20 +08:00
    折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。
    soyking
        4
    soyking  
       2020-11-15 09:33:59 +08:00 via Android
    我家里的路由器需要配置开放端口,目前只开放了 ssh 非密码登录,网页用 ssh port forward 转发
    zjsxwc
        5
    zjsxwc  
       2020-11-15 09:39:29 +08:00 via Android
    我只转发了一个 5000 端口给群晖,感觉除非群晖 dsm 网页登录有漏洞(几率很小),不然不会被外网黑。
    328115208
        6
    328115208  
       2020-11-15 09:40:30 +08:00
    没必要这么复杂吧,关闭 ssh,然后设置 72 小时内输错两次密码封禁 IP 就好了
    henryshen233
        7
    henryshen233  
    OP
       2020-11-15 10:21:30 +08:00 via iPhone
    @zjsxwc 那我觉得 https 还是必需的
    henryshen233
        8
    henryshen233  
    OP
       2020-11-15 10:23:32 +08:00 via iPhone
    @snable 你是把群晖设置成了 DMZ 主机了
    henryshen233
        9
    henryshen233  
    OP
       2020-11-15 10:25:18 +08:00 via iPhone
    @snable 你可以只做必要服务的端口映射就可以了啊
    ericwood067
        10
    ericwood067  
       2020-11-15 10:44:50 +08:00
    @henryshen233 https+只转发一个非常规的高端口给群晖,被黑的可能性比较小。
    coolcoffee
        11
    coolcoffee  
       2020-11-15 11:00:58 +08:00   ❤️ 1
    都有公网 ip 了, 建议只在群晖上面开启一个 openvpn 端口吧,连上之后就变成了内网,访问什么都方便。

    群晖这种存储了很多资料的服务器,如果某天爆出了一个 0day,很多暴露在外面的都会被一锅端。
    snable
        12
    snable  
       2020-11-15 11:14:01 +08:00 via Android
    @henryshen233 我是 ipv6 绑定域名,不算 DMZ 吧。映射也可行,但是我要的端口比较多,也怕有其他 bug 。
    Tyuans
        13
    Tyuans  
       2020-11-15 13:42:49 +08:00
    申请证书开启 https,然后我的软路由开防火墙映射端口,5000 和 5001 以及 9091 ( transmission )都映射到其他端口上,ssh 直接不开,或者开的话不映射端口,只能内网机器访问。很久没有封锁通知了。
    angryfish
        14
    angryfish  
       2020-11-15 14:03:53 +08:00 via iPhone
    还是 vpn 回去安全。谁知道群晖验证安不安全呢
    henryshen233
        15
    henryshen233  
    OP
       2020-11-15 15:24:02 +08:00 via iPhone
    @angryfish 群晖的话既然用了肯定选择相信的,就是 DSM 的漏洞这个问题,因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全,想问问 V 友们是否有遇到这些情况
    zjsxwc
        16
    zjsxwc  
       2020-11-15 17:30:09 +08:00 via Android
    @henryshen233 谢谢提醒,我把 5001 端口也转发了,改 https 访问。
    E4rljia
        17
    E4rljia  
       2020-11-15 17:32:35 +08:00
    现在被我封锁的 ip 已经 400+了
    Sharuru
        18
    Sharuru  
       2020-11-15 17:40:08 +08:00
    Docker 跑了 DDNS 解析到 Cloudflare 上,路由器端口只允许默认的 WEB 界面( 5001 )端口通过。
    没有感知到被黑。日志里也没有奇怪的访问。
    imgbed
        19
    imgbed  
       2020-11-15 17:43:07 +08:00
    之前有大量的尝试登录,后来把默认的 5000 和 5001 改成其它的就没有了
    E4rljia
        20
    E4rljia  
       2020-11-15 17:52:26 +08:00
    @Sharuru ssh 开了嘛。
    Raynard
        21
    Raynard  
       2020-11-15 17:57:51 +08:00
    密码忘了,把自己封禁的算不算
    henryshen233
        22
    henryshen233  
    OP
       2020-11-15 19:18:39 +08:00
    @Raynard 你有点厉害的
    henryshen233
        23
    henryshen233  
    OP
       2020-11-15 19:18:58 +08:00
    @Sharuru 5001 建议改成高端口好点
    gabon
        24
    gabon  
       2020-11-15 19:20:41 +08:00 via Android
    做了 ddns 之后有大量登录失败的日志,开了限制登录次数
    luyan
        25
    luyan  
       2020-11-15 19:31:18 +08:00 via iPhone
    目前还有更安全的办法吗?
    kokomo
        26
    kokomo  
       2020-11-15 19:32:32 +08:00 via iPhone
    开了两步验证,感觉还好!
    http://kokomo.gicp.net:5000
    vibbow
        27
    vibbow  
       2020-11-15 19:34:30 +08:00
    我目前用了另外一种方法:
    路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS

    这样只有使用正确的域名才能访问进来,仅仅端口扫描是无效的。
    henryshen233
        28
    henryshen233  
    OP
       2020-11-15 19:35:38 +08:00
    @luyan VPN 比较安全
    henryshen233
        29
    henryshen233  
    OP
       2020-11-15 19:36:29 +08:00
    @kokomo 还是要配置 https 比较好
    henryshen233
        30
    henryshen233  
    OP
       2020-11-15 20:43:49 +08:00 via iPhone
    @vibbow 好复杂,暂时不懂
    hanmiao
        31
    hanmiao  
       2020-11-15 22:38:09 +08:00
    @vibbow 我也没看懂
    lifanxi
        32
    lifanxi  
       2020-11-15 23:31:31 +08:00   ❤️ 1
    自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https,t 长期挂公网上五六年了,还没有被干掉过。
    当然 VPN 更安全,但是不方便。
    Xusually
        33
    Xusually  
       2020-11-15 23:58:55 +08:00   ❤️ 1
    一直都是 vpn 回去内网访问的。
    端口直接映射暴露的话,如果 web server 或者群晖的 web 应用有漏洞就会中招。
    1if5ty3
        34
    1if5ty3  
       2020-11-16 00:10:44 +08:00
    5000 5001 5005 5006 还有 ftp,一些 pt 端口都开着,很久没有封锁通知了。
    偶尔也会看下日志,ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主,也不会太担心。
    z761031
        35
    z761031  
       2020-11-16 00:38:12 +08:00
    天天有人扫,起码要改个端口,免得被一锅端
    JoeoooLAI
        36
    JoeoooLAI  
       2020-11-16 10:58:38 +08:00
    改了默认端口,登陆邮件通知。。狠一点可以搞二步认证,要么就搞个有固定 ip 的跳板反代,群晖只白名单那个 ip
    JoeoooLAI
        37
    JoeoooLAI  
       2020-11-16 11:03:19 +08:00
    防火墙,非中国 ip 自动 ban 掉也是可以的,哪有绝对安全,就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证,把命交给群晖。
    clalala
        38
    clalala  
       2020-11-16 11:20:44 +08:00
    5000 的端口在公网,没被爆破过,22 端口有一次忘记关了,被国外的 ip 爆破了,不过密码错 3 次被禁封了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1280 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:43 · PVG 01:43 · LAX 09:43 · JFK 12:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.