NAS 安全的使用方式

資深大佬 : JustinJie 10

个人搞了一个威联通, 鉴于网上 nas 各种被黑, 研究了一下 NAS 安全方式, 现在搞了 2 套, 求大佬们指点下, 哪种方式综合来说更好些
首先 admin 用户被禁用了, ftp / ssh 都没有打开, 默认的 5000 / 5001 端口也改了, upnp 端口转发没有开启, 密码错误 3 次直接封 IP, 这些基础操作
第一种: 个人域名直接登录, 在路由器里面端口跳转 nas 接口, 支持了 https , 登录也需要二次验证
第二种: 设置了一个 pptp 的 vpn 连接, 直接走内网访问 nas
以上第一种暴露在公网中, 但是做了 https 和二次验证, 便捷性来说相对比较好, 第二种呢 , 不了解 vpn 会不会有什么坑, 路由器会不会被搞, 相对来说直接内网, 安全性更好些, 便捷性稍弱
v2 的大佬们给点什么意见, 或者还有更好的办法

大佬有話說 (64)

資深大佬 : Xusually

L2TP/IPSEC VPN,内网操作
資深大佬 : ZRS

不暴露到公网 VPN 回来操作
主資深大佬 : JustinJie

@Xusually # 1
@ZRS # 2
vpn 看起来稍微麻烦一点 ,
用 vpn 的话, 不知道路由器密码稍微简单一点 , 不知道路由器会不会被黑呢 ?
資深大佬 : 826540272

密码复杂点就行了,黑你没价值
資深大佬 : xtx

黑就黑吧，都是些小姐姐，主动传播违法，被动传播不算吧。
資深大佬 : ysc3839

如果要用 VPN，不建议使用 PPTP，建议 OpenVPN 或者 WireGuard，这两个都是证书认证的，会安全很多。
另外用路由器做 VPN 服务器的话，性能可能不足。
主資深大佬 : JustinJie

@xtx 哈哈哈角度刁专啊
主資深大佬 : JustinJie

@826540272 哎这个是的主要图个心安
主資深大佬 : JustinJie

@ysc3839 不是用的路由器做的 vpn 服务器，只是担心 vpn 链接会不会有隐患，路由器这边会不会是薄弱环节
資深大佬 : byte10

VPN 最好了。不过可能手机连接会麻烦点。
資深大佬 : tomychen

好像也就是 vpn 比较靠谱，改默认端口并不等于安全，被探测到只是时间问题，现在有很多全网扫描，很快就指纹识别到了，再者就是，现在安全的模式，可能在未来某个时间就不安全了。
所以能在内网里使用就在内网用吧，暴露的越少越安全。
主資深大佬 : JustinJie

@byte10 嗯嗯目前也就试了下电脑连接如果大家都推荐 vpn 的方式我就研究下手机端的
主資深大佬 : JustinJie

@tomychen 好的了解了如果搞个小项目部署 nas 上只暴露项目端口看起来也会导致风险了？
資深大佬 : Kilerd

国内的 wireguard 不建议，udp 被丢包丢包直接握手就失败了。
資深大佬 : tomychen

@JustinJie 你说的风险，我这统一归为“安全风险”来看待吧，我提过的 “现在的安全模式，可能在未来某个时间段就不安全了”。涵盖的说法也是类似的说法，小项目到底多小？风险评估又由谁来做呢？

或者简单的说，我放个纯 html 总不会有风险吧，好像没啥问题，但是 webserver 有了安全漏洞呢？(假定 nginx)，当然，现在并没有，以后都不会有吗？

所以你说小项目会不会有风险？这是很难回答的一个问题。如果要想规避风险最直接的办法就是减少暴露，减少接触，但这中间又会牺牲到很多便利性，因为安全和方便永远是对立面的。所以这中间的成本就要你自己来评估，是安全重要，还是方便重要，再找一个相对的折中方案，就算完成一个“安全”方案了
資深大佬 : xiaoz

买 NAS 不就是图方便吗，我觉得基本的安全做到位就行了。
資深大佬 : iphoneXr

我目前的方案是 openvpn 手机端。
电脑端走阿里云 ecs 的备案域名配合 nginx 的限制，如 geoip 深圳（最方便）或者公司固定 ip 、用户名密码啥的。二级域名跳转对应内网服务再二次用户认证，感觉还算方便和安全。
資深大佬 : imgbed

我用默认端口时经常被人尝试登录，端口改了之后就没有了
資深大佬 : ferock

不要太纠结了…担心就 openVPN，如果公网只暴露 5001 的 https，二次验证加 ip 拖黑，问题不太大
資深大佬 : sinxccc

扫端口这种完全没办法，除非上独立防火墙，否则只能让他扫了。

我觉得按照目前的大众硬件水平，二次验证的 https 登录和基于足够强度 key 的 ssh 还是安全的。
資深大佬 : nuk

用 nginx 转发域名，这样用 ip 访问的就到不了 nas
把自己的域名藏好就行了
不管要不要登录，直接暴露 http 服务给任何访问者都是很危险的，毕竟总免不了做匿名分享吧？
資深大佬 : wanguorui123

安全性是相对的，即使 VPN 也可能存在漏洞，其次是应用程序、WebServer 、操作系统。
带合法证书 VPN 安全性相对高些。
資深大佬 : villivateur

@Kilerd wireguard 挺好的，国内互联不会丢包，我这边三网互联可以跑满速
資深大佬 : chintj

种种需求，搞了 tinc 的大内网，不知道怎样。
主資深大佬 : JustinJie

@Kilerd # 14 好的 open vpn 和 L2TP/IPSEC VPN 的方式应该可以吧
主資深大佬 : JustinJie

@tomychen # 15 是的是这么个问题主要还是个人练手的数据相对来说可能更重要一点, 这个以后在考虑下, 不行还有良心云
主資深大佬 : JustinJie

@xiaoz # 16 是的和我想的是一样的不过如果 vpn 都弄好了我可以直连路由吧把端口打开相对来说就多了一步验证
主資深大佬 : JustinJie

@iphoneXr # 17 我研究一下你这个电脑端的限制应该是够用了, 不过对我这个小白来说有点复杂了, 大佬有推荐教程吗 ?
主資深大佬 : JustinJie

@imgbed # 18 是的基础操作要先坐好
資深大佬 : polymerdg

SS 加密通道连回来不香吗
資深大佬 : testcaoy7

@JustinJie OpenVPN 确实可以，但是你要会配。L2TP 不安全不要用，IPSEC 用 StrongSWAN （ IKEv1 或者 IKEv2 ）
主資深大佬 : JustinJie

@ferock # 19 目前公网也没有暴露 5001 换了端口跳转, https , 二次验证, ip 拉黑倒是支持了, 看起来确实风险比较小了 vpn 的方式倒不是 open vpn , 如果走 vpn 应该不会用 pptp 的方式了
主資深大佬 : JustinJie

@sinxccc # 20 ssh 倒是没放开, 想用的时候再打开一下, 毕竟 ftp 和 ssh 用的都事比较多的
主資深大佬 : JustinJie

@nuk # 21 好的
1. 虑下用 nginx 转发域名, ip 访问的到不了 nas 这个是什么意思 ? 大家不都是有 ip 的吗 ?
2. 我也想藏好域名不过买个域名就是图好记一点我是域名 CNAME 花生壳的域名, 路由器自带的 ddns 方式, 然后再端口转发
3. 直接暴露总归是有风险的, 但是我其实没啥重要信息, 让别人来黑的
主資深大佬 : JustinJie

@wanguorui123 # 22 带合法证书的 vpn ? 我目前直接用的威联通的 vpn Service 这个是有证书的吗 ?
主資深大佬 : JustinJie

@villivateur # 23 好的待会研究下 wireguard
主資深大佬 : JustinJie

@chintj # 24 又是一种 vpn ? 哎, 技术永无止境
主資深大佬 : JustinJie

@polymerdg # 30 小飞机 ?
資深大佬 : lewis89

VPN 吧别想那么多，VPN 出现就是干这个事情的，让你的私有网络安全化。
主資深大佬 : JustinJie

@testcaoy7 # 31 嗯嗯好的我晚点研究下这两种方式
主資深大佬 : JustinJie

@lewis89 # 39 看来大部分都推荐 vpn 的方式
資深大佬 : iphoneXr

@JustinJie 那还是推荐折腾 openvpn 吧，偷懒就弄个爱快软路由，带的各种 vpn 也挺实用。
資深大佬 : ungrown

走虚拟内网，vpn 或者 zerotier 或者其他什么的，反正变成私有网络，剩下的都是内网安全管理的事情了
資深大佬 : zarte

不暴露外网最安全哈哈。
資深大佬 : Te11UA

如果不太懂的话，建议还是不要接入公网，看起来你的需求也并没有特别强烈，保留 VPN 就可以
資深大佬 : ferock

@JustinJie #33

我 https 走公网，ssh 走 vpn，方便安全两不误
資深大佬 : jigong1234

白群晖用群晖官方的远程登录,会被黑吗
資深大佬 : imnpc

我目前采用的是
高位访问端口 + 自己域名 + SSL + 两步验证 + 错误多次封 IP 目前没有被扫描登录过
資深大佬 : hafuhafu

不懂就问，威联通用 Qfile 连回去有啥安全隐患吗？我也没公网 IP，但是用 myQNAPcloud 分配的那个二级域名能连回去。
資深大佬 : tankren

web 服务走反向代理 https 防火墙只对国内开放 443
ssh 走 openvpn
資深大佬 : disk

@Kilerd 个人经验连国内的话没问题，不会被阻断的，除非你的 ISP qos 很严重。
主資深大佬 : JustinJie

@iphoneXr # 42 路由器刚换的短时间不会换了
@ferock # 46 看起来确实安全方便
@jigong1234 # 47 不太了解
@imnpc # 48 我目前第一种和你一样看起来应该没有太大问题
@hafuhafu # 49 看起来没啥问题有问题的话证明威联通已经被黑了
@tankren # 50 好的晚一点研究下 https 防火墙这个还没有关注过
@disk # 51
資深大佬 : wlh

不开放公网访问，建 frp 或者 zerotier 访问
主資深大佬 : JustinJie

@wlh # 53 类似的 vpn 内网访问 ?
資深大佬 : bbis

最近入手 TS 453DMINI，有一段时间经常被扫端口，ssl 都是映射其他端口，例如 54102
开启 SSL 证书，域名访问➕改默认端口
資深大佬 : PerFectTime

NAS 起一个 VPN 服务，把 VPN 端口在路由器上映射出去，推荐 softethervpn，有图形化管理界面

docker run -d –cap-add NET_ADMIN –restart always –name softether -p 500:500/udp -p 4500:4500/udp -p 1701:1701/tcp -p 1194:1194/udp -p 5555:5555/tcp -v vpn:/usr/vpnserver/ -e SPW=yourpassword siomiz/softethervpn
主資深大佬 : JustinJie

@bbis # 55 你们都是怎么看被扫描端口的 ? 我怎么感觉我之前都开的默认端口没有这个情况呢 ?
主資深大佬 : JustinJie

@PerFectTime # 56 好的感谢
資深大佬 : popoer

默认端口改了就好了，除非跟你有利益关系一定要来黑你，其他那些全网扫描的才没有那么多精力去扫描非标准端口呢
資深大佬 : xiafengjieying

我也是 qnap，除了有几次开了 ssh 服务忘了关，其他的都没有问题，改了默认端口
資深大佬 : evilangel

设置好 DDNS，家里一个 Linux 装好梯子服务端，路由器配置好端口映射只放 SSR 端口，Surge 上做好策略所有 192.168/16 地址就自动翻回家，其他地址、域名按照正常规则走。。。任何时间任何地点都跟在家一样，太舒服了！！！！
資深大佬 : laminux29

目前通道类的信息安全，根本不需要改端口以及密码错 N 次就封 IP，这些都是那种不懂信息安全的小学生搞出来的名堂。

通道类的信息安全，只需要注意两件事情：

1.密码的复杂度。我在这个帖子的 35 已经给出了具体方案： https://www.v2ex.com/t/735788#reply35

2.单一类型通道的 0day 。

通道类型越单一，使用就越方便，被 0day 的几率就越大。

为了安全，可以套两层甚至多层通道，但这样子做，使用就很不方便了。
資深大佬 : qbqbqbqb

@testcaoy7 纯 L2TP 确实不安全，但是一般都用 L2TP/IPSEC，这个是安全的，而且电脑手机都不用安装客户端
主資深大佬 : JustinJie

@evilangel # 61 好的有空我在研究下

@laminux29 # 62 是的越安全的方法便捷性就要低些, 完全要看个人数据的重要程度了