• 陪伴互联网运营小白共同探索成长,与IT爱好者共享探索乐趣
  • 建站只为分享,欢迎在PC端文章面打赏支持
  • 使用Ctrl+D 可收藏本站

群晖等开放外网访问安全问题思考

好玩有趣 陆子方 2年前 (2023-04-12) 1028次浏览 0个评论 扫描二维码

前言

黑客无时不在,数据安全十分重要。在上一篇文章中,我们提到了开放外网访问,并且把整个内网重要服务都可以通过反向代理方式对外开放。但是,请仔细想想,如果有人攻破了你的防线呢?

SSL

务必全程使用ssl加密连接

开放服务

你真的有必要把所有服务都对外展示吗?认真思考这个问题,尽可能的较少开放。同时反代方式,有些转发是有问题的,例如shell。所以,我建议是内网虚拟一台可以联网的主机,大部分的服务通过ipv6地址,直接远程访问该电脑,在里面再打开其它服务。

反向代理

为什么不单独解析内网逐个设备的ipv6地址?通过反向代理方式,其实我们可以把内网设备访问端口和外网访问端口错开,这样不利于爆破。此外,反代可以把真实主机隐藏起来,至少不是直接被黑客扫。

用户

admin用户已经禁用,大部分的破解都是使用常见用户名+密码库爆破。此外,使用一个较高强度的密码

端口

为群晖等设置一个四位数以上的随机端口,至少群晖的端口要修改,其它服务的实在贪图方案可以内外网一样

反向代理2

其实,我也考虑过单独一个服务器作为反代。最后我没用。我想,群晖的更新和安全性还可以,ssh等常用端口关闭了。多一台服务器就多一个维护。加上我放dsm的资料都是有备份的。相信群晖就好,没的话使用lxc或者创建kvm虚拟机都可以

cloudflare

其实很多人都是用阿里云,我这里使用cloudflare是有考虑的。大家可能研究这些不是很多,cloudflare有两点服务是阿里云没有的。

第一个,CDN。其实也可以理解为这是一个反代服务器,它可以隐藏你DSM的ipv6地址。当然开启之后,会比纯dns解析要慢。数据绕全球了嘛;

第二个,64转换。确实还有很多电脑主要是单位等还没有为设备提供ipv6地址。此时,通过cloudflare并开启代理模式的。你可以在仅有ipv4地址的情况下访问群晖。这真的是免费届少有的良心服务。特别是用过一些纯6主机的人就能深刻理解。


子方有料原创丨转载请注明原文链接
期待您的评论或捐赠,这是最好的鼓励和支持!
喜欢 (0)
[赞赏使我快乐]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到