前言
光阴荏苒,转眼搞机也多年了,入坑NAS已经一年多了。上文也有说道笔者有一台变种蜗牛C已经稳定运行一年多了,折腾了半天其实真正的需求也只是备份一下照片和少量工作资料而已,网上下载点4K电影。本来想折腾下jellyfin硬解,最终还是忍住了:你真的有功夫看吗?不知道何时起,这些折腾的玩意儿,不管是电脑、游戏、电影啥的,都是装好不用、安好不玩、下好不看,总有一种索然无味的空虚感。
但是
但是
但是
这一切都没影响到我的仓鼠综合征!
借图
不知道有多少朋友玩过潜行者STALKER这款游戏,每次都会搜刮完每一个NPC,每一个藏物点,每一个箱子,有时候一些没用的手枪弹也舍不得丢,所以德校(主角)时常背着2吨的rpg在特异区狂奔,可谓站在切尔诺贝利之巅的男人。所以,下载了一堆的4K电影电视剧,包括一些很多年前的香港电影,无损音乐等等,塞满硬盘。
借图
最近由于疫情,笔者人在家中坐、码从天上来,被赋了黄码,于是立即按照防疫规定进行核酸检测,也终于变绿码了。正值欢送黄码之际,突然收到邮件里提示有ip地址尝试登录NAS被封禁,难道有人垂涎我的学习资料?
为什么
虽然一年以前也遇到过零星的不明登录请求,但是这一次显然更猛(当然比各位大佬比就是小儿科了),感觉像是在暴力爆破的感觉
。
一是 IP满天飞,带你领略世界的变换。一分钟前还在享受马德里的不可思议,下一分钟就在韩国吃泡菜,当然也少不了回国,简直了!
二是尝试登录频次较高,基本上每分钟一次。
三是每个IP基本只尝试一次,只有少数IP超过次数被系统封禁。目前,五天内系统也只封了三个IP。
四是非常执着,登录NAS看日志,什么,连续五天内尝试记录达到近4000次!可以看到上图,前4页基本上全是登录记录。
归根结底还是因为将主机暴露于公网上。
笔者所使用的是联通宽带,当时笔者刚从移动转网到联通,弱弱的问了一句装机师傅有没有公网IP,他很自豪的说我们都是公网,颇有种“切,没见识,你原来用的是移动大内网吧”的意味。有了公网就好多了,跟着教程,一步一步完成域名解析,SSL,端口映射等等,用起来也非常爽。
但是福兮祸之所倚,始终免不了被他人窥探的风险,虽然我的资料真不值钱,就一点家人的照片,torrent啥的我真的100%完全不知道度娘可以找到。
怎么办
为了隐私的安全,还是不能束手就擒了,参考了gxnas大佬博客的文章,在此鸣谢:
一是立即停用黑裙的admin账户,使用重新建立的管理员账户登录。攻击者会尝试登录admin、root之类的常见账户(我这次遇到的就是一直登陆admin),所以禁用admin是非常必要的。而简单改动的自建管理员账户名基本上很难碰出来。
二是立即停用SSH和telnet,并修改端口。SSH常用来连接NAS,在打人脸识别补丁、查核显驱动等等场景都能用上,默认端口是22,在控制面板里关闭两项功能,默认端口可以自定义一个。
三是关闭不必要的端口映射。这里以再用的爱快为例(顺带说一句爱快的流控真的不错),在网络设置-端口映射里,把不需要的端口转发停用或者删除。这里之前折腾时设置了很多转发,KMS这种没啥用的就关掉吧。
四是设置账户保护。这是群晖自带的防护功能,可以根据需求设置,笔者设置的就是3600分钟之内错误三次就锁定。同时,在gxnas大佬的主页有一张excel表,在更新安全中心公布的恶意IP,也可导入封禁。
五是保证所有账户密码为复杂密码。admin和自建管理员用户密码最好设置大小写、数字、字符混合的密码,最好是十位数以上,同时密码中不要保留身份证号码、手机号、常用密码、NAS用户名等信息,这样能大幅降低被爆破的概率。网上借了一张图,展示了密码长度和字符种类所对应的破解时间,不一定准,但是复杂密码比123456、abcdefg、qwerty这些难破解是一定的。
六是设置邮件通知。笔者自己使用QQ邮箱作为发件邮箱,因为配置方便,一条短信就可以获取授权码;日常常用邮箱必须重置授权码,所有终端都必须一个个换密码,很麻烦。
操作很简单,在QQ邮箱-设置-账户-POP3……服务这里,按提示获取授权码。在群晖-通知设置中,填入收件人、发件人QQ邮箱、授权码即可。其他邮箱设置方式差不多,但是个别邮箱可能会遇到填SMTP端口问题,新浪好像是465,其他的具体度娘。
总结
总的来说,在互联网时代,将设备放在公网上虽然很方便(尤其是黑裙没有QC),可以更完整体验NAS功能,但还是有一定风险的。匹夫无罪,怀璧其罪,总有人怀疑你“怀璧”,抑或单纯想盗取资料勒索你,一颗一颗扔来“爆破弹”。所以,一定要保持充分谨慎,关注设备日志和通知,设好防火墙,重要资料多做备份,敏感信息单独存放,基本上也不会有大问题。
鉴于我在网络安全、linux上“一滴水”都没有,更不用说“半桶水响叮当”,在设置的时候也站在巨人的肩膀上,参考了一众大佬、网友的做法。不妥之处,敬请指正。