未分類
2020 年 11 月 19 日

群晖 DSM 开启外网访问(DDNS)有被黑的朋友吗

群晖 DSM 开启外网访问(DDNS)有被黑的朋友吗

資深大佬 : henryshen233 5

当然 NAS 外网访问的话肯定是 VPN 连回来更安全。
那假如我开启两步验证和 https,然后开启 block ip,那 DSM 的防御性到底够强吗,听说以前很多群晖因为直接开启 DSM 外网访问被黑,不知道这个风险到底在什么程度?
大佬有話說 (38)

  • 資深大佬 : ys0290

    以前没有封禁 443 的时候干过,没有感知到被黑,可能是没有用默认端口吧

  • 資深大佬 : snable

    我的黑群晖自带防火墙默认没规则,非常危险,公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序,把 ssh 和 http 、https 开放的顺序放在禁止全部之前,以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后,确定好顺序后再调整,切切。

  • 資深大佬 : jfdnet

    折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。

  • 資深大佬 : soyking

    我家里的路由器需要配置开放端口,目前只开放了 ssh 非密码登录,网页用 ssh port forward 转发

  • 資深大佬 : zjsxwc

    我只转发了一个 5000 端口给群晖,感觉除非群晖 dsm 网页登录有漏洞(几率很小),不然不会被外网黑。

  • 資深大佬 : 328115208

    没必要这么复杂吧,关闭 ssh,然后设置 72 小时内输错两次密码封禁 IP 就好了

  • 資深大佬 : henryshen233

    @zjsxwc 那我觉得 https 还是必需的

  • 資深大佬 : henryshen233

    @snable 你是把群晖设置成了 DMZ 主机了

  • 資深大佬 : henryshen233

    @snable 你可以只做必要服务的端口映射就可以了啊

  • 資深大佬 : ericwood067

    @henryshen233 https+只转发一个非常规的高端口给群晖,被黑的可能性比较小。

  • 資深大佬 : coolcoffee

    都有公网 ip 了, 建议只在群晖上面开启一个 openvpn 端口吧,连上之后就变成了内网,访问什么都方便。

    群晖这种存储了很多资料的服务器,如果某天爆出了一个 0day,很多暴露在外面的都会被一锅端。

  • 資深大佬 : snable

    @henryshen233 我是 ipv6 绑定域名,不算 DMZ 吧。映射也可行,但是我要的端口比较多,也怕有其他 bug 。

  • 資深大佬 : Tyuans

    申请证书开启 https,然后我的软路由开防火墙映射端口,5000 和 5001 以及 9091 ( transmission )都映射到其他端口上,ssh 直接不开,或者开的话不映射端口,只能内网机器访问。很久没有封锁通知了。

  • 資深大佬 : angryfish

    还是 vpn 回去安全。谁知道群晖验证安不安全呢

  • 資深大佬 : henryshen233

    @angryfish 群晖的话既然用了肯定选择相信的,就是 DSM 的漏洞这个问题,因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全,想问问 V 友们是否有遇到这些情况

  • 資深大佬 : zjsxwc

    @henryshen233 谢谢提醒,我把 5001 端口也转发了,改 https 访问。

  • 資深大佬 : E4rljia

    现在被我封锁的 ip 已经 400+了

  • 資深大佬 : Sharuru

    Docker 跑了 DDNS 解析到 Cloudflare 上,路由器端口只允许默认的 WEB 界面( 5001 )端口通过。
    没有感知到被黑。日志里也没有奇怪的访问。

  • 資深大佬 : imgbed

    之前有大量的尝试登录,后来把默认的 5000 和 5001 改成其它的就没有了

  • 資深大佬 : E4rljia

    @Sharuru ssh 开了嘛。

  • 資深大佬 : Raynard

    密码忘了,把自己封禁的算不算

  • 資深大佬 : henryshen233

    @Raynard 你有点厉害的

  • 資深大佬 : henryshen233

    @Sharuru 5001 建议改成高端口好点

  • 資深大佬 : gabon

    做了 ddns 之后有大量登录失败的日志,开了限制登录次数

  • 資深大佬 : luyan

    目前还有更安全的办法吗?

  • 資深大佬 : kokomo

    开了两步验证,感觉还好!
    http://kokomo.gicp.net:5000

  • 資深大佬 : vibbow

    我目前用了另外一种方法:
    路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS

    这样只有使用正确的域名才能访问进来,仅仅端口扫描是无效的。

  • 資深大佬 : henryshen233

    @luyan VPN 比较安全

  • 資深大佬 : henryshen233

    @kokomo 还是要配置 https 比较好

  • 資深大佬 : henryshen233

    @vibbow 好复杂,暂时不懂

  • 資深大佬 : hanmiao

    @vibbow 我也没看懂 群晖 DSM 开启外网访问(DDNS)有被黑的朋友吗

  • 資深大佬 : lifanxi

    自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https,t 长期挂公网上五六年了,还没有被干掉过。
    当然 VPN 更安全,但是不方便。

  • 資深大佬 : Xusually

    一直都是 vpn 回去内网访问的。
    端口直接映射暴露的话,如果 web server 或者群晖的 web 应用有漏洞就会中招。

  • 資深大佬 : 1if5ty3

    5000 5001 5005 5006 还有 ftp,一些 pt 端口都开着,很久没有封锁通知了。
    偶尔也会看下日志,ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主,也不会太担心。

  • 資深大佬 : z761031

    天天有人扫,起码要改个端口,免得被一锅端

  • 資深大佬 : JoeoooLAI

    改了默认端口,登陆邮件通知。。狠一点可以搞二步认证,要么就搞个有固定 ip 的跳板反代,群晖只白名单那个 ip

  • 資深大佬 : JoeoooLAI

    防火墙,非中国 ip 自动 ban 掉也是可以的,哪有绝对安全,就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证,把命交给群晖。

  • 資深大佬 : clalala

    5000 的端口在公网,没被爆破过,22 端口有一次忘记关了,被国外的 ip 爆破了,不过密码错 3 次被禁封了