V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
serafin
V2EX  ›  NAS

个人使用 NAS 的安全策略

  •  
  •   serafin · 2023-01-28 20:48:38 +08:00 · 7012 次点击
    这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。

    由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。

    1 禁用 @admin 帐户

    禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。

    2 自动阻止

    将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。

    3 不要使用 DSM 的默认端口

    不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。

    4 SSH 仅限本地,或者 webSSH

    不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。

    5 使用 VPN 访问本地服务

    使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。

    6 远程访问用 WebDAV

    在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。

    7 不安装任何第三方套件

    NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。

    37 条回复    2023-02-04 22:56:33 +08:00
    Apol1oBelvedere
        1
    Apol1oBelvedere  
       2023-01-28 21:36:27 +08:00
    很好的讨论,我的 IPv6 无需担心,没有 IPv4 公网只用 QuickConnect 很安全。
    我额外做的:
    1.导入中国屏蔽海外恶意扫描网址库。
    2.启用 5 条防火墙规则,除局域网访问和大陆对部分服务的访问外,其他一切禁止,安全性大大增强。
    dozer47528
        2
    dozer47528  
       2023-01-28 22:29:09 +08:00
    @Apol1oBelvedere 中国屏蔽海外恶意扫描网址库,这个在哪有?
    平时一直有人扫我 NAS ,我一般设置成失败 2 次就封禁,直接就封 365 天。

    我家人账号都是普通用户,就算被攻破问题也不大。我自己的账号开 TOTP ,所以基本上不会有什么问题。

    NAS 肯定是按端口把几个特定的服务开公网。
    ltkun
        3
    ltkun  
       2023-01-28 22:59:07 +08:00 via Android
    我的选择是禁用 nas 关闭一切不正经的对外端口 ssh 都不允许有 除了 VPN
    MeteorCat
        4
    MeteorCat  
       2023-01-28 23:28:42 +08:00 via Android
    如无必要端口全关,我觉得这个最安全
    lyc8503
        5
    lyc8503  
       2023-01-29 01:13:23 +08:00 via Android
    关闭一切端口, 只开一个 vmess 隧道 /SSH 隧道, 所有服务使用 Docker 隔离
    tengyoubiao
        6
    tengyoubiao  
       2023-01-29 07:39:57 +08:00 via Android
    不用的时候关机,要用之前 wol 唤醒,配合上面的策略,减少在线时间
    documentzhangx66
        7
    documentzhangx66  
       2023-01-29 08:23:22 +08:00
    有一种安全且简单的办法是,买台最便宜的云主机,作为中转服务器,NAS 不直接对公网服务,NAS 、跳板机、外网机器通过 WG 或 OpenVPN 组件虚拟局域网。

    这种好处是,黑客需要先攻破 WG 或 OpenVPN 才能进入跳板机,然后还需要掌握别的漏洞或账号,才能攻入系统。

    这样做的坏处是,云主机贵,需要额外一笔钱,而且国内云主机大多是固定带宽,带宽小。
    TerranceL
        8
    TerranceL  
       2023-01-29 09:54:11 +08:00   ❤️ 4
    dozer47528
        9
    dozer47528  
       2023-01-29 10:00:57 +08:00   ❤️ 1
    看到楼上好多都是用 vpn 的,的确这样黑客攻破的难度就多了一层。不用 vpn 一旦 openwrt 或者 dsm 有安全漏洞就会被攻破。

    但是,用了 vpn 怎么实现给家人访问的需求?我全家都在用我的 nas ,总不能给所有人装 vpn 吧?
    我还有共享照片连接给朋友的需求,也不可能让朋友装 vpn 。
    zer
        10
    zer  
       2023-01-29 10:14:07 +08:00
    @dozer47528 VPN 可以设置只走内网网段,这样客户端常开着也没影响
    dozer47528
        11
    dozer47528  
       2023-01-29 10:39:48 +08:00
    @zer 如果只是我一个人使用,那没什么问题。但我平时会给亲戚朋友用,例如拍了照片视频,需要分享给朋友。我发一个 Photos 共享链接就行了,密码都可以不需要,也不是什么很私密的照片。
    ccxuy
        12
    ccxuy  
       2023-01-29 10:57:46 +08:00
    @zer 手机 app 也可以么, 比如 openvpn
    zer
        13
    zer  
       2023-01-29 11:21:28 +08:00
    @ccxuy 应该都行吧,只允许指定网段走 vpn ,其他都默认
    wangnimabenma
        14
    wangnimabenma  
       2023-01-29 11:25:11 +08:00
    我就设置了个防火墙
    adminfender
        15
    adminfender  
       2023-01-29 11:38:46 +08:00
    我自己家用网络除了特殊像 ipmi 或 esxi 这种设了白名单,能走内网 vpn 走内网 vpn 外,基本上就是多备份重要资料吧,现在在考虑定期冷备的事情
    shalingye
        16
    shalingye  
       2023-01-29 12:07:10 +08:00 via Android
    我用的 windows ,还可以做一层 vhd 防护
    OysterQAQ
        17
    OysterQAQ  
       2023-01-29 12:29:51 +08:00 via iPhone
    防火墙+vpn 访问就行了
    EvineDeng
        18
    EvineDeng  
       2023-01-29 12:43:04 +08:00
    除了上面的常用措施,我额外在路由器上设置了指定端口只允许本省电信 IP 访问。
    mXw
        19
    mXw  
       2023-01-29 13:22:40 +08:00
    @lyc8503 我和你差不多...
    blankmiss
        20
    blankmiss  
       2023-01-29 13:29:19 +08:00
    我没你们那么严谨 我直接公网反代理出去了
    wukong888
        21
    wukong888  
       2023-01-29 13:49:33 +08:00
    用的极空间,有啥安全策略不?
    peasant
        22
    peasant  
       2023-01-29 14:07:43 +08:00
    用的 frp 设置域名访问内网 web 服务,不知道域名访问不了,域名本身解析的是 nas 局域网 IP ,在外面需要用的时候手动绑 hosts 访问,手机用 surge 添加的 DNS 映射,根据网络自动判断是解析到云服务器 IP 还是局域网 IP
    ouou0701
        23
    ouou0701  
       2023-01-29 14:42:34 +08:00
    用了二次验证码,每次都要去小程序看一下验证码
    nrtEBH
        24
    nrtEBH  
       2023-01-29 15:34:06 +08:00
    个人觉得最大的威胁还是来自内部 内网机器中毒 特别是局域网里有非自己常用的设备,例如老爸老妈的 PC,安卓手机,安卓机顶盒 简单的做法是 ip 白名单 或者把非必要端口都关掉
    还有一些潜在漏洞是各种开源的服务端程序,比如 qbittorrent,owncloud 之类的需要对外开放端口的服务 建议用 docker 做隔离 不要直接桥接在 lan 上
    kozalak
        25
    kozalak  
       2023-01-29 15:39:28 +08:00
    第 6 点有教程吗
    ccxuy
        26
    ccxuy  
       2023-01-29 16:11:11 +08:00
    @zer 至少 openvpn 这边好像没有可以配置的地方,估计需要更高级的工具,比如 qX 之类的,这样也许可以同时支持几个 VPN ?
    int11
        27
    int11  
       2023-01-29 16:50:42 +08:00
    nas 上有好多 emby 之类的服务,平常都是 ddns 域名加端口直接访问的,想请教下如何在不影响体验的情况下加强安全性
    Lentin
        28
    Lentin  
       2023-01-29 16:51:40 +08:00
    @TerranceL #8 玩了一下 bgp ,好像必须要对端操作一下才能实现自动路由封锁?不是面向公众服务吧=。=
    setrmrf
        29
    setrmrf  
       2023-01-29 17:03:07 +08:00
    我只有一条:禁用密码与证书验证,使用 MTLS 进行认证
    THESDZ
        30
    THESDZ  
       2023-01-29 17:29:01 +08:00   ❤️ 1
    @int11 #27 可以使用反向代理+https 包裹的方式,我都是用 docker 隔离+traefik 反代的方式进行访问
    docker 映射的端口只有 traefik 的 443 (或者设置为 8443 等)端口
    abc8678
        31
    abc8678  
       2023-01-29 22:13:59 +08:00 via Android
    用过微联通的 qnapcloud ,一刷新就一堆尝试登录的记录,一分钟就破万了。(反而是我自己要用 qnapcloud 时就很不稳定,十次有四次连不上,四次低速到文件名都一行一行加载)。后来换了自定义的域名才安静下来,设置一下名单,终于没什么人来用了。这样一来,品牌的连接服务是用不上了,有点想用第三方机器搭建黑群晖或黑微联通或 Windows Server 了(目前的 TS-212P3 卡死了),但又考虑到没有品牌方的固件更新,碰上什么漏洞又不懂对付或没精力去持续折腾,所以还是拿不定要怎么做
    hanguofu
        32
    hanguofu  
       2023-01-29 23:40:30 +08:00 via Android
    请问怎样才能防止普通用户不断试探管理员的帐号和密码啊?
    silymore
        33
    silymore  
       2023-01-30 00:35:00 +08:00 via iPhone
    不用 ddns 和 dmz ,外网访问只走 quickconnect 有风险吗
    silymore
        34
    silymore  
       2023-01-30 00:37:12 +08:00 via iPhone
    另外我还开了文件夹加密,没太注意到有性能损失,直接拔盘或者坏了返厂都不怕隐私泄露
    hashtag
        35
    hashtag  
       2023-02-03 10:05:32 +08:00
    @THESDZ 这个是不是可以解决部分应用必须要求 https 加域名的需求(比如 bitwarden ),能实现 nas 一个端口多个服务吗?请教下
    THESDZ
        36
    THESDZ  
       2023-02-03 17:03:57 +08:00
    @hashtag #35 只要你有域名+能通过域名访问到你的 docker 容器就行
    可以简单地理解为,一个基于服务发现的+https 证书自动续期的反向代理服务
    可以利用 docker+docker_network 的方式进行流量转发,从而实现一组域名访问同一个端口转发到不同服务
    具体查看 traefik
    hashtag
        37
    hashtag  
       2023-02-04 22:56:33 +08:00
    @THESDZ ok ,感谢科普,我去瞅瞅
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5329 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 09:17 · PVG 17:17 · LAX 02:17 · JFK 05:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.