请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
nas 新手请教,在 v2 经常看到一种说法不要暴露 nas 在公网。
可是拿群晖 nas 来说,系统集成的各种功能不就是为了方便公网使用 nas 吗?
目前有一台白群晖 nas ,鉴于 qc 访问实在是慢如蜗牛,所以配置了仅 ipv6 ddns 绑定自己的域名(宽带没有 ipv4 公网地址),op 硬路由仅开放了访问 nas 的端口,dsm 系统用户添加了两步验证,如此配置的情况下还是会被爆破吗?
另外测试发现运营商 ipv6 地址没有封锁 80 、443 端口,在绑定二级域名的情况下使用 443 端口会被警告吗?
可是拿群晖 nas 来说,系统集成的各种功能不就是为了方便公网使用 nas 吗?
目前有一台白群晖 nas ,鉴于 qc 访问实在是慢如蜗牛,所以配置了仅 ipv6 ddns 绑定自己的域名(宽带没有 ipv4 公网地址),op 硬路由仅开放了访问 nas 的端口,dsm 系统用户添加了两步验证,如此配置的情况下还是会被爆破吗?
另外测试发现运营商 ipv6 地址没有封锁 80 、443 端口,在绑定二级域名的情况下使用 443 端口会被警告吗?
79 条回复 • 2024-11-18 10:44:44 +08:00
 |
1
msg7086 22 小时 49 分钟前  1
不是爆破的问题,而是可能会有漏洞导致不需要爆破就能进入系统。
VMware 系统以前出过漏洞,登录界面不需要输入管理员账号密码,直接用漏洞就可以获得管理员权限。 更别说 NAS 这样民用级的东西了。 |
 |
2
li19910102 22 小时 45 分钟前 via iPhone 2
我家用的 nas 以及公司用的 nas 在公网 ip 上暴露了好几年了,每时每刻都能看见不明设备 ip 扫描的记录,也没见被什么人黑进去,只要 nas 设置好防护就没什么问题。
|
 |
4
MFWT 22 小时 41 分钟前
比如说,我有 ABCD 四个服务暴露在公网,假设其中一个服务有漏洞,就有可能导致 NAS 被攻破
平时说的不要暴露在公网,严格来说指的是不要不做防护就暴露出来,还是刚刚那个例子,如果我用 VPN 把 ABCD 都包起来,再暴露,那么即使他们都有漏洞,也不必担心。假如真的那么不好运,VPN 有漏洞,那么更换 VPN 即可,不必费心排查其他漏洞 |
 |
5
HeHeDa OP @li19910102 群晖系统能够查看扫描记录吗?只看到用户设置里面有登录历史
|
 |
6
NoInternet 22 小时 34 分钟前
如果只用 IPV6 访问的话,这东西时不常会变,地址又那么多,再来个高位端口被扫到应该挺难的。是不是就安全多了。
如果碰巧被有漏洞的人扫到了入侵了安了后门了那就不好说了。 |
|
8
msg7086 22 小时 27 分钟前
@HeHeDa 以前没出现过漏洞不代表不会有漏洞。
毕竟连 CPU 设计不当都会导致数据侧信道泄露这个普通人你说会想得到嘛。 所以一般来说要安全的话,就要用信得过的协议和软件,比如直接用 SSH 连接访问,然后祈祷 SSH 不要爆出奇怪的漏洞,又比如用 wireguard 或者 zerotier 之类的 VPN 走内网隧道来访问。 当然了,安全性和便捷性本就是冲突的,只要你自己能接受一定的妥协就行。 |
 |
10
swiftg 22 小时 10 分钟前 via iPhone
@HeHeDa 刚出的新闻,群晖出了个核弹级的 0day 漏洞,通过公网 ip 和 qc 都可以被执行,直接获取 root 权限,不需要登录。还好是白帽先发现的,刚出了紧急更新
|
 |
11
halofingle 22 小时 6 分钟前 via iPhone 1
一般来说,至少要做一下端口映射,不要把原服务端口直接暴露到公网,对于 http 服务还可以做一下反向代理。
|
 |
12
kekylin 22 小时 6 分钟前
按最小暴露原则使用,非必要服务不要直接暴露在公网。需要暴露的服务做好防护措施再暴露出来。
我自己使用动态公网 IP 四年多了,到现在都没有遇到过被攻击的现象。 NAS 服务搭建起来,多人使用如果说有些服务不直接暴露在公网,使用体验大大打折扣。 |
 |
14
lxh1983 21 小时 58 分钟前 via iPhone 1
只要一直最新版本的软件和系统,没有那么多 0day 。0day 值钱的很,为了抓你的肉鸡浪费 0day 可不合算。要真的安全,你得像保密网络一样,物理隔离
|
 |
15
dfdd1811 21 小时 57 分钟前
换个端口,我之前一直 https+otp 也没啥事,就暴露页面,ssh 没有。现在用 vpn 是怕运营商找茬
|
 |
16
jaylee4869 21 小时 52 分钟前
我 nas 一般暴露公网都来个蜜罐,看它怎么玩😅
|
 |
17
SouLX 21 小时 27 分钟前
我暴露一年多了 公网 ip unraid ,之前开 ssh 被爆破了 一直在跑字典,后来关了就好了。域名 映射了 差不多是个服务在公网。没啥事
|
 |
18
idragonet 21 小时 19 分钟前
增加 IP 白名单
|
 |
19
frankilla 21 小时 12 分钟前
lucky 反代,然后只开了一个端口号,算不算暴露?
|
 |
20
memorycancel 20 小时 53 分钟前
把 IP 放出来,让论坛的道德黑客帮你渗透测试下(坏笑——)
|
 |
21
hefish 20 小时 39 分钟前 2
最大的危险莫过于被人黑进来,多年下载积攒的毛片被人剪切复制走。。。
|
 |
22
WizardLeo 20 小时 30 分钟前 4
主要是,“把 nas 暴露在公网”这件事本来就是每个人的理解不同的。
有人直接把端口映射到公网,搭配 admin/admin 弱口令就这么用了,最后付出了巨大的代价哭诉千万别把 nas 直接暴露公网。 另一个人套了反代,也没有用弱口令,连续几年都没事后他对前一个人的劝告嗤之以鼻。 |
 |
23
TvT 20 小时 30 分钟前 1
一言以蔽之:涉密不上网,上网不涉密
公网自然风险大增 |
|
24
swiftg 20 小时 20 分钟前
@lxh1983 找 0day 可不是为了抓你一台当肉鸡。nas 在勒索病毒作者眼里可是金山银山,找出一个核弹漏洞就可以勒索几十万上百万的用户,nas 里存的可都是用户宝贵的数据,被加密了很大一部分人都得乖乖交钱
|
 |
25
charley008 19 小时 36 分钟前
重要数据异地多备份几份,爱勒索就勒索,大不了重装。我也没 ipv 的公网,顶多一个 ipv6 ,关键这 ipv6 时不时还自动更换地址,外加一个两步验证。这要是能扫到并入侵我也无话可说。
|
 |
26
unbridle 19 小时 5 分钟前
ipv6 暴露在公网,ssh 端口 22 没改,甚至连 sudo lastb 都没有记录
|
 |
27
dcsuibian 18 小时 46 分钟前
1 、使用非常用端口、非默认端口
2 、使用强密码 3 、https 4 、及时升级系统以防安全漏洞 基本做到以上这四点我感觉就可以了,我感觉风险不大。至少我是这么做的。 你想想那些公开的网站,比如淘宝、B 站,难道会因为害怕被攻击就不提供服务吗?不可能的。 暴露在公网肯定比不暴露更有风险。但因为害怕这一点风险就不去做我感觉有点因噎废食。 另外,我也是比较赞成套一层 WireGuard 之类的 vpn 的。我也是这么做的(用 WireGuard+smb 访问 NAS 内容)。不过我还是暴露了公网,毕竟我全家还在用 Synology Photos ,我不可能让我父母每次看照片前都要开个 vpn 。 |
 |
28
xueyuehua 18 小时 40 分钟前
问一下,我大部分设备都连的同一个 zerotier ,然后自己也用路由器搭了个 zerotier moon 节点,这个路由是有公网 ip 的,然后其他设备都会连接 moon 节点,但是都是默认使用那样,就是打开个路由器的防火墙之类的。这样算是暴露在公网吗
|
 |
29
adoal 18 小时 28 分钟前
并不是孤立地说这事很“危险”。当然可以安全的。但是你这样做了还要安全,自己需要像专业网安人员那样花很多精力做配置和长期维护。也就是说为安全付出的脑力成本明显大于不放公网。
至于用 qc……当然也不是 100%的安全,但是人家有专业团队做维护,而且通过 Saas 方式平摊了到每个用户的维护成本。 |
 |
30
thevita 18 小时 23 分钟前
有风险,看你整么权衡了,过去的话我会说没什么人会盯着你那点可怜的数据,以前有人到处采购路由器的漏洞,拿下之后也就干点广告的事(往流量里注入 广告, 替换 id 什么的),据说当时他们年流水好多个亿...现在嘛,,可能会被 ransom ( https://valicyber.com/resources/a-brief-history-of-nas-ransomware/)
|
 |
31
reayyu 17 小时 41 分钟前
套 CF 再加规则转发端口 被爆破几率大吗?
|
 |
32
kk2syc 17 小时 34 分钟前
20 年前,所有人都是 win2003 公网,微软还在更新,没问题。
20 年后,微软早已不更新,win2003 暴露在 ipv4 公网默认 3389 端口不用 30 秒就是肉鸡了。 安全取决于是否及时更新以及对应的系统厂家给不给力。 |
 |
33
0xD800 16 小时 59 分钟前
在家里部署 VPN ,用 VPN 访问!
|
 |
34
lestat220255 15 小时 36 分钟前 via Android
@xueyuehua 我同你的一样,甚至其他设备科学上网也是通过 zerotier 的内网 ip 连接家中软路由做系统代理。个人理解除非 zerotier 出现安全漏洞,否则应该是稳的
|
 |
35
zoumouse 15 小时 19 分钟前
我是设置的登录失败直接 block ,最近 block list 已经很长了,但应该都是些自动脚本在扫,成功的概率不大。
 |
 |
36
beterhans 15 小时 19 分钟前
你的 NAS 会从 你的 私人存储变成公用存储和 黑客用的肉鸡
|
 |
37
icaca 14 小时 29 分钟前
试试 openvpn 比较安全便捷 拨号进来所有设备都能访问
|
 |
38
asdgsdg98 14 小时 27 分钟前
脚本小子天天扫,扫到你卡的不行,试过一次就老实了
|
 |
39
MADBOB 14 小时 20 分钟前
群晖端口暴露公网用,有一段时间被疯狂尝试 admin 登录,然后设置了策略登录失败 1 次就锁 ip ,已经半年没受到过安全提醒了
|
 |
40
zhucegeqiu 14 小时 16 分钟前 via iPhone
只开一个 v2ray 的端口连回家+fail2ban
|
 |
41
mozhizhu 14 小时 11 分钟前
主要是,你永远不知道你安装的服务,是否安全可靠,所以,非必要不暴露;
vpn 回家、xray 反代回家,都可以实现从外面访问家里 |
 |
42
laminux29 13 小时 28 分钟前
Q:系统集成的各种功能不就是为了方便公网使用 nas 吗?
A:不是。甚至应该仅内网使用。 |
 |
44
Byleth 12 小时 5 分钟前
@xueyuehua 这样的话,应该只有 moon 的中继端口是暴露在公网,zt 网络本身是零信任的,所以只要 zt 的 moon 服务器本身不出漏洞 ,应该就是很安全的
|
 |
45
Les1ie 12 小时 5 分钟前
尽量减少暴露在公网的服务吧,指不定哪天爆出来一个未授权命令执行就打崩了。
虽然 IPv6 地址稀疏难以被扫描到,但是仍然有很多方式可以进行 IPv6 的地址空间的资产探测,有兴趣的可以读一读 rfc7707 ,依靠 IPv6 地址的稀疏性作为安全屏障是不太可取的。 除去容易想到的从网站访问日志、流量镜像中获取 IPv6 地址守株待兔的方案,还有很多主动探测的方案。比如几年前比较经典的利用熵生成 IPv6 地址然后探测的方案 https://dl.acm.org/doi/10.1145/2987443.2987445 ,这个方案之后有很多类似算法的衍生方案。 另外,近几年群晖漏洞不断,虽然近期没有啥好用的未授权,但以前是有过严重漏洞的,防不住哪天就整个出来个大新闻。 https://conference.hitb.org/hitbsecconf2021ams/materials/D1T2%20-%20A%20Journey%20into%20Synology%20NAS%20-%20QC.pdf https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=synology https://www.cvedetails.com/vendor/11138/Synology.html 当然,话说回来,我们这些麻瓜不值得这种高等级魔法的攻击,但万一神仙打架伤到我们了也不太妙,还是稳妥一点比较好。 |
 |
47
ychen997 11 小时 46 分钟前
我目前在用 群晖套件 openvpn
|
 |
48
TimPeake 11 小时 43 分钟前
我一般是常用应用端口号 +1 暴露在公网的,比如 远程桌面 3389 ,我这边设置 3390 。这有啥问题吗
|
 |
49
Pairdl 11 小时 41 分钟前
有一次突然发现连续好几天持续的尝试登录失败,赶紧设置了两步验证和登录失败就封 IP ,现在很少了
|
 |
50
PrinceofInj 11 小时 37 分钟前
我所有的服务都开着公网端口暴露包括 Windows 主机也是 3389 直接暴露的,安全么?看日志经常见到一些扫描的,但是目前为止从未有被攻破的,唯一的一次,aria2c rpc 接口没设密码被扫到了,自动下了一些东西到硬盘上,我看了一下是一些破解的脚本,然而我的 aria2c 是运行在 Windows 上的,传上来的 Linux 脚本屁用没用,后来加了一个密码就可以了。
|
 |
51
Aawhale 11 小时 6 分钟前 via iPhone
提升安全性,可以添加两步验证机制:输入密码后通过邮箱验证。同时,配合限制 IP 访问频次的设置,可以有效减少异常登录提醒。我之前也担心类似问题,但通过这种方式后,未再收到异常访问提醒
|
|
52
Aawhale 11 小时 4 分钟前 via iPhone
@Aawhale 公网 IP 每周会更换,设置起来较为繁琐,我最终放弃了 DDNS 方案。目前已放弃使用,同时也在关注是否有新的方法可以实现便捷的远程访问
|
|
53
MFWT 10 小时 38 分钟前
@qa52666 我目前的方案是路由器,让路由器做访问网关,因为考虑到集成进梯子(安卓端无法同时开两个 VPN 接口),所以实际上用的是 Shadowsocks ,直接在路由器上部署服务器,然后手机去连接就行
|
 |
54
YsHaNg 9 小时 58 分钟前 via iPhone
@HeHeDa 白群用户应该前两天有收到邮件吧 https://www.synology.com/en-us/security/advisory/Synology_SA_24_20
|
 |
56
moudy 8 小时 51 分钟前
@msg7086 #8 是的,正规的 security 培训都假设现有的安全手段都有早晚会被干掉的一天。安全架构就是尽量推迟这个时间或者提高漏洞利用的成本,只要能达到无利可图,也能变相实现安全。
|
 |
58
sn0wdr1am 3 小时 20 分钟前
因为对于大多数人来说,网络安全都不太注意。
一旦被人扫描,并入侵成功,你的资料可能被人给加密,然后被勒索比特币等。 遇到一次,就老实了。 |
 |
59
hyperbin 2 小时 26 分钟前 via Android
说没漏洞的建议看看群晖的更新日志,只要群晖不小心漏一个 web 提权你就有遭殃的风险
|
 |
60
seenthewind 1 小时 58 分钟前
我补充一个观点:
nas 的本质是数据存储和数据分享,他默认会有很多自动发现、自动关联的服务自动运行,甚至还有特殊的调试维护命令后门之类的方便厂商维护支持的功能。 这些功能与我们传统意义上的 “安全” 是有矛盾的,换个话说,就是 “安全” 和 “方便” 是天生的矛盾,而 nas 作为市场化的产品,他肯定要重点做“方便”,顺带兼顾 “安全”。 就算是我略懂一点计算机安全知识,有段时间我懒得折腾,直接把 nas DMZ 到公网,在配置了防火墙和访问策略,关掉所有自动发现服务,密码尝试 3 次失败就永久 block ip , 就算这样我的防火墙每天收到上万次扫描阻拦日志。 后来我更懒的操心了,直接移回内网了。。 你如果想速度快点,有一个折衷的办法, 配置一个 wireguard , 把 wg 的 udp 服务端口设置在高位( 6 万左右),然后端口映射到公网,配置对内网的转发(或者干脆就在 wg 服务器上配本地反向代理)。 这样所有的外网访问内网收敛到 wg 的安全性,至少一个 udp 端口没那么显眼。。。 |
 |
61
channlong 1 小时 42 分钟前
我自己目前使用的是 QNap
1. 紧跟版本更新 2. 开启两步验证 |
 |
62
zliea 1 小时 41 分钟前
反正我是安装了 vpn server (之前用的路由器带的 l2tp ,android 高版本没有该选项),只暴露了 vpn 的端口,我感觉会相对安全一点。
|
 |
63
ncbdwss 1 小时 33 分钟前
qnap ,没开二次验证用了 3 年多没任何问题。开了二次验证到现在也有 4 年了。从未有过任何问题。
|
 |
64
dream10201 1 小时 29 分钟前
我目前所有服务都跑在 podman 里,域名解析到 IPv6 公网访问
|
 |
65
x86 1 小时 29 分钟前
别用弱口令之类的就行了,每天都被扫会尝试弱口令爆破,基本没人用大字典去爆破浪费时间的
|
 |
66
alfawei 1 小时 2 分钟前
公网 IP ,使用群晖暴露端口很多年,使用非常规端口,开启群晖的防火墙,自动封杀 IP ,保持系统更新。
|
 |
67
Kimyx 57 分钟前
我的方案是使用 FRP 穿透,域名托管在 Cf ,前端全部套 Zero Trust -> Access 验证
|
 |
68
bluehtt 57 分钟前
那些提醒你不要暴露公网的,其实和建议安装反诈软件的民警差不多。
为你好!!! |
 |
69
iv8d 53 分钟前
比罗本强不了多少
|
 |
70
zmcity 50 分钟前
如果你有定期换密码,开 2fa ,有新系统别管难不难用都会更新的习惯的话,放公网没什么问题。
有很多人会因为新系统某个功能不好用,就不更新了,这种情况下还是别暴露出来比较安全。 |
 |
71
TossPig 45 分钟前
这问题怎么说,换个提法就明确了
新手司机在高速公路上变道有多危险? 新手司机请教,在 v3 经常看到一种说法高速公路车祸大多都是在变道的时候导致的。 应该是暴露在公网有风险,不然就没人敢提供公网服务了 问题 1 ,有可能,前提是群晖爆出 0day 漏洞,后果是没人再采用群晖的系统了,实际现象是我要有这个 0day ,肯定藏好不动,找机会来个大的,或者做一把白帽子。对个人用户没兴趣!~万一一用就被蜜罐了呢,这种 0day 自己不用也能卖好多钱的。 问题 2 ,看地区,目前的大多数人配置的 https 不是全过程加密的,正常通讯之前有个握手的过程,这时候 sni 会携带明文的域名,ISP 是能看到你绑定的域名的,按照国内现行法律会被警告,要求移出绑定或者直接给你黑洞了。 嘴一下提零信的,各单位构建零信网络,主要是单位内部多个系统参差不齐,都是各个部门在用,甚至还在没在维护都不清楚,人力成本上根本无法做到了解每个应用的流量特征,所以上 vpn 上 waf 上边缘的搞一堆, 自己的用的,比如我家里,哪个设备解析了一个哪个域名我都有记录,久了有点异常数据都是心中有数的 没有绝对的安全,走路也有突然跌倒的风险 |
 |
72
lyfeixue316 44 分钟前
有公网 ip ,也不是直接暴露出去的,前端有一层 lucky ,做好 lucky 的防护,ufw 配置只开放部分端口
也有 ipv6 ,但是没有 ddns ,迄今暂时还算安全 |
|
73
lxh1983 25 分钟前
@swiftg 勒索付款率很低的,特别时针对个人的。重要数据都有备份,否则就算不被勒索,硬盘也有坏的一天,同样数据全无。所以用 Oday 做勒索的收益大部分比厂商或者骇客大赛的给的奖励少多了
|
 |
75
yulgang 22 分钟前
你好,VPN 回家后直连即可。
|
 |
77
tjiaming99 4 分钟前
@li19910102 没发现不代表没被攻进去,系统级 0day 漏洞甚至可能可以绕过登录
|
|
78
tjiaming99 3 分钟前
@hefish 真是太痛了
|
 |
79
evan9527 1 分钟前
我的是设置了黑名单,3 次尝试登陆错误拉黑 ip ,刚开始很多扫,慢慢就没有了。
|
Select Language