最近把 nas(群晖)暴露在公网上了，想请教下有什么安全性或者被封的问题。

虽然你用了二次认证能保证有小人监听到的账户密码后面无法登录，但是如果别人把 cookie 监听下来，直接访问不就可以了吗？

像很多东西就算加了认证，仍然不能保证出现各种乱七八糟的 bug 或者后门，比如之前的阿里 nacos 存在一个 header 白名单可以任意访问的问题。
你相当于把自家的保险箱放在大门口，跟别人说我家保险箱很安全，你随便试，万一哪天保险箱出现指纹门锁一样，用一个特斯拉线圈就能万能开锁的漏洞呢。

所以，最差最差，https 一定要配置。 后面看个人折腾能力，wireguard 也给加上，双重配置才能最大可能减少风险。

https 应该是基本配置才对
我的白裙 黑裙都开是开 https + 两步验证
白裙还开了 硬件安全密钥

有腾讯云了,宝塔上个 https 不是很简单的事情吗

https + 两步验证是必须的。
另外提供一个思路，在路由器上架设一个 ss-server，端口映射只开 ss-server 的。

这样的好处是可以和移动设备的 clash 或其他程序配合，匹配规则是你的 nas 域名，就通过 ss 到自家路由器进入内网，才可以访问到 nas 。相比其他内网穿透思路，这个方法不需要在移动设备安装多余的 app，只要规则配置的好，是完全无感的。

风险是可能被电信封端口，尽量找个比较高的端口。

我是用哲西云的内网穿透 , https + 两步验证 + 登录区域限制 或者 弄个登录 ip 限制也行

用 wireguard 做内网访问吧，这样最安全。

卧槽，没有 http 吗？访问 nas 的网络有人监听，基本就跟没有安全一样吧。。。

VPN 回去后用内网 IP 访问

家宽不要直接访问，几乎唯一的安全又不被封的方法就是 VPN 连回家再在内网访问。或者做内网穿透

VPN 类的最为保险但麻烦
直接网页访问，有必要 https，人后关掉 http 。
生活环境有 IPv6 的话可以考虑利用，省掉 frp

多谢各位提醒，看来是我想得太简单了...

@villivateur 上 https 之后还有风险是考虑什么软件系统固有漏洞吗？

@AS4694lAS4808 你是指 https 吗？原本我设置了两步验证，手机令牌，以为就算被监听了，内容也不是很敏感，也还好...不过上面老哥提醒的 cookie 确实没考虑到。

@banricho 我目前就是内网穿透的，只暴露了 nas 的登陆界面端口映射到云上服务器的某个高端口，应该效果和 ss-server 差不多吧？

@imnpc 请问硬件安全密钥是哪里设置的呀？我没有找到

@coolcoffee 了解，多谢提醒。

@DarryO #15 DSM 7.0 需要登录群晖帐号以后才能出现

群晖上可以添加一个 VPN 套件，简单设置一下就可以了。
手机和电脑通过 VPN 回去很方便，额外的一个好处是，如果家里的网络是全局科学上网的话，连上 VPN 也可以享受到这个好处。
总之，爽歪歪

我黑群关了 SSH,开了 https 模式,搞了个 ddns 用了几年也没有过啥问题

暴露到公网要有丢失所有数据的觉悟。

真想安全那起码不要暴露到公网，无论是不是 https

https 必开，启用自动封锁，只开 5001 端口和 6690 端口无风险的。我 ddns 端口转发开了三年了，目前无问题，当然我同步备份了 onedrive 。
非 80 端口不用备案。

@zzutmebwd #23 并不是这样 ，只要你开了端口，就有可能被叫去喝茶

@jiangyang123 我开了 22 3389 5000 5001 8096 8920 用了很多年，至今无碍。
这些端口自用 https 被喝茶有案例吗？怕不是石乐志。

我就开个了个 ssh,走的非 22 端口,我还是弱密码,都好几年了,没啥问题

想黑你并不困难，但一般个人的设备也没那么重要，不要老是被迫害妄想症。面对那种大网捞鱼的攻击，只要做到最基础的防护一般都不会有问题的，除非有身边或附近的人特意去针对你...
而基本防护，例如：仅使用 https 、修改默认端口、避免弱密码，只要这三点能做到，就不会出问题。
前提：没有人以你为目标故意搞你。有的话就不是这种常规家用的安全问题了。
至于喝茶，至少内网穿透跟 ddns 高位端口去做正常事，都是不会被封的。

没备案信息开放 http 服务会被电信 CALL
我没被 CALL
之前 chh 上看到有人被 CALL
后面所有 http 服务都加域名校验 还有登录校验

我黑群晖 http,域名备案,复杂密码,楼主说的我都慌了

https 有什么好的免费的么？

@A8 我局域网环境也不是单层的，有些设备没有操作权限，做 DDNS 不是很方便。

@stroh 我自用的 已有的几个用的是腾讯云合作的免费名额(不支持泛域名，50 个以内)，暂时用着还行。只是之前觉得两步验证也没什么问题，就没部署到 nas 上。

不过我对这个也没深入了解过，如果有清楚的大佬可以讲下优缺点。

个人建议把你需要用的服务单独配置端口到外网使用。NAS 本身不要暴露出去。

不要开 web 服务，只开 tcp 端口用 v2 或者 ss，v2 的话做个内网路由就可以了

我补充一下自己前面说的，web 服务这么做，文件同步服务就可以直接 https，方便。

@DarryO 运营商会给你发警告

@arischow 用的哪个？ PPTP 好像不能用了

@wangweitung 我自己用的是 L2TP/IPSec 。我还在用 DSM 6 哈

黑群晖 https 公网 IP 暴露一年使用正常

@DarryO 我用的群辉自带的 https，这个有什么弊端么？

@DarryO https 。。少打了个字。。没上 https，尤其又是 nas 设备，上传下载个文件，中间经过的路由都能拿来看一看。有的同学说别迫害妄想，来说下我的 NAS 吧：使用联通的公网 IP，基本一两天换一次 IP，但是架了一段时间，发现安全和登录日志以及 nginx 各个端口的访问日志简直惨不忍睹，最后逼着上了 fail2ban 才消停。

@DarryO 不知道为啥不让发。。55Sa6Iez5pyJ5LiA5qyh5a6h5qC4IG5naW54IOiuv+mXruaXpeW/l++8jOWPkeeOsOacieS4quS/hOe9l+aWr+eahCBJUCDlsJ3or5XkuobmiJHlkITnp43mnI3liqHnmoQgMGRheSDmvI/mtJ7vvIznhLblkI7ov5jlsJ3or5XmiJHmmrTpnLLlh7rmnaXnmoQgb3BlbndydCDlvLHlr4bnoIHlkozml6fniYjlt7Lnn6XnmoTmlLvlh7sgcGF5bG9hZO+8jOi/mOWlveaIkee7j+W4uOabtOaWsOOAguOAgui/meaYr+aIkeS4uuS7gOS5iOWcqOaJgOaciSBuZ2lueCDnq6/lj6PliY3liqDkuoblvLrlr4bnoIHjgILjgILjgILpurvng6bmmK/purvng6bvvIzkvYbmmK/lv4Pph4zlronnlJ/ngrnjgILjgII=

就开 2 个端口 ocserv+ssh
家宽暴露 web 总觉得不安全

买台公网 vps，起个 wiregurad，所有请求都是走 vpn，就完了，这样不需要你有公网 ip，也安全。

自从开启了防护，就发现每天被攻击
IP 地址 [20.38.175.27] 已被 synology 经由 SSH 封锁 详情
IP 地址 [141.98.10.210] 已被 synology 经由 SSH 封锁 详情
IP 地址 [167.71.192.234] 已被 synology 经由 SSH 封锁 详情
IP 地址 [122.234.90.184] 已被 synology 经由 SSH 封锁 详情
IP 地址 [61.184.24.249] 已被 synology 经由 SSH 封锁 详情
IP 地址 [134.122.63.202] 已被 synology 经由 SSH 封锁 详情
IP 地址 [141.98.10.179] 已被 synology 经由 SSH 封锁 详情
IP 地址 [199.195.248.154] 已被 synology 经由 SSH 封锁 详情

建议套一层 npv，不要直接暴漏在公网上。另外也不要用端口映射访问，域名已经备案但家庭宽带不能备案，用的话一样被封

@lc7029 请问 npv 是指什么？另外端口映射是放在有公网的服务器上的。访问内网还是通过高端口的，这种应该没问题吧？你所说的端口映射是指在局域网内的端口映射吗？

路由器上配置了防火墙，封锁了 SSH, Telnet, FTP 等默认端口，目前 NAS 没有出现非法登陆的日志

@lozzow 前天我还这么认为，所以昨天和今天，就努力的看这些方面的信息，找解决方法。昨天早晨，发现被撞库登录很久了，虽然一直失败。直到昨天发现一台服务器的防火墙密密麻麻的登录失败记录。