群晖NAS玩家俱乐部
11999
289
|
[141 楼] nahcooo
[资深泡菜]
23-2-9 16:55
连雨不知春去 发表于 2023-02-08 23:48 相比英文官方文档可以说唯一的麻烦就是要看英文,但结构完善、详细、而且版本比较新。万一官网有看不明白的部分直接google又能跑到github或者stackoverflow这样的地方。stackoverflow上的人水平很高,基本各种奇怪问题都有人遇到过也能有人解答。除了他们用英语以外其它的全是优点。 |
|
[140 楼] 连雨不知春去
[禁言中]
23-2-8 23:48
nahcooo 发表于 2023-02-08 18:10 我从来没有在网上看到过这样的方法和文档,你在英国所以很方便地找到很多英文文档吧? 中文的文档有么?麻烦给个链接。好人做到底。谢谢! |
|
[139 楼] nahcooo
[资深泡菜]
23-2-8 23:21
瞄准654321 发表于 2023-02-08 18:33 为啥是2008呢? |
|
[138 楼] 瞄准654321
[泡菜]
23-2-8 18:33
买一个低功耗NUC主机,装win2008系统,外置硬盘柜,自己搭NAS。
|
|
[137 楼] nahcooo
[资深泡菜]
23-2-8 18:10
连雨不知春去 发表于 2023-02-08 08:54 群晖本身服务的5000,5001在路由器上掐掉,然后另外起一个nginx跑反向代理就行了吧 那个装了nginx的docker容器平时不启动(外网就无法访问),另外写个python脚本定时收邮件,收到邮件就启动nginx,这样外网就能访问了。 命令行启动docker,nginx做反向代理,python收邮件,这些文档网上到处都是 |
|
[136 楼] 连雨不知春去
[禁言中]
23-2-8 08:54
nahcooo 发表于 2023-02-07 20:24 我看了一下群晖的配置,http、https端口是不能关闭的。那么你说的关闭端口是在路由器上关闭端口转发吗? 一封邮件就能让路由器进行这样的操作? 能不能分享一下你完成这个任务的资料文档,我也想学习学习。 |
|
[135 楼] nahcooo
[资深泡菜]
23-2-8 08:20
连雨不知春去 发表于 2023-02-08 00:38 其实就是有个后台服务每分钟去收一下邮件  |
|
[134 楼] 连雨不知春去
[禁言中]
23-2-8 00:38
nahcooo 发表于 2023-02-07 20:24 “给一个特殊邮箱发邮件,服务器收到邮件以后才打开端口。” —— 请问这个功能是怎么实现的? |
|
[133 楼] nahcooo
[资深泡菜]
23-2-7 20:24
连雨不知春去 发表于 2023-02-07 14:32 我自己的话,平时对外端口都是关闭防止扫描的,我自己想用的时候,给一个特殊邮箱发邮件,服务器收到邮件以后才打开端口。所以想要攻击的话得先攻击邮箱才行。我登录的时候还要使用算号器两步验证。感觉应该比较放心。 最近正在考虑改成telegram钩子,这样比邮件可能又快捷一些。 nahcooo 编辑于 2023-02-07 20:25 |
|
[132 楼] 连雨不知春去
[禁言中]
23-2-7 14:32
nahcooo 发表于 2023-02-07 08:43 这样做的话如果管理员账号被攻击,自己想登录都被封禁了。而且如果对方是连续攻击的话,1小时期满又立刻被封号。只有断网  所以封锁IP比较好,并且配合足够强度的密码,足以对抗不同的IP地址发起的攻击。 |
|
[131 楼] nahcooo
[资深泡菜]
23-2-7 08:43
akai001 发表于 2023-02-06 22:09 设置fail2ban就行了,一小时内错三次立刻封号,要过一个小时才能解封这样。 |
|
[130 楼] 连雨不知春去
[禁言中]
23-2-7 00:40
akai001 发表于 2023-02-06 22:09 勒索病毒利用系统漏洞入侵主机,这样的bug现在已经被修复了吧?至少正确打补丁、升级了OS版本的操作系统不会被它攻破。 至于你说抗暴力破解的密码长度要15位以上,请问信息来源? 设想一下包含大小写字母、数字、特殊字符的10位密码的组合有多少种可能性?考虑26个大写、26个小写字母、10个数字、32个特殊字符,组成10位密码的可能性是:94的10次方 = 5.386151140948997e+19 暴力破解程序每秒钟能试验多少个密码? 而且很多系统都能设置登录密码错误次数锁定,或者像群晖这样超过一定次数封锁IP。所以对你的15位密码深表怀疑。 ps: 群晖就是搭建在Linux上的应用 连雨不知春去 编辑于 2023-02-07 00:56 |
|
[129 楼] akai001
[陈年泡菜]
23-2-6 22:09
连雨不知春去 发表于 2023-02-06 18:43 |
|
[128 楼] nahcooo
[资深泡菜]
23-2-6 19:32
连雨不知春去 发表于 2023-02-06 18:52 哦哦,我以为说的是windows,因为确实有好些内部账号和用户组,我一致没有太搞清楚这些账号。 |
|
[127 楼] 连雨不知春去
[禁言中]
23-2-6 18:52
nahcooo 发表于 2023-02-06 18:15 哈哈哈哈,我知道你想问啥。 群晖在用户管理界面能够看到的内部账号只有两个,admin和guest。 DSM7.1在安装的时候默认都是禁止了的。我觉得禁止admin的目的是让用户自己选择一个管理用户名字,让攻击者难以猜到。 但是基于Linux的群晖内部账号远远不止这两个。 ssh到主机 cat /etc/passwd 里面太多的内部账号了,你根本没法禁止。 而且,有些套件的安装也会创建内部账号。 |
|
[126 楼] 连雨不知春去
[禁言中]
23-2-6 18:43
akai001 发表于 2023-02-06 14:46 基于端口的攻击,群晖的服务也是个风险。比如你在外网上使用DS Video、DS Photo,攻击软件一样可以利用这些服务提供的访问端口企图实施攻击。不只是你在路由器上映射的端口,不只是访问你群晖的http网页,进行猜密码的游戏。我相信群晖也在不断完善这些服务程序,筑牢防范攻击的藩篱,所以DSM升级肯定是有意义的。 当然我们有理由相信群晖厂家的实力远远高于99.999%的人用户,否则就别用外网访问NAS。 我们能够做的,就是尽量少地开放端口映射。另外非常重要的就是用户密码强度。因为群晖软件的安全性再高,都无法防范用户弱密码的巨大风险。 嗯,我打算把密码从11位提升到14位。就算攻击方互联网IP地址够多,能有我14的数字+大小写字母+特殊字符的组合变换的花样多吗? |
|
[125 楼] nahcooo
[资深泡菜]
23-2-6 18:15
akai001 发表于 2023-02-06 14:46 你说的内部账号是哪些账号? |
|
[124 楼] akai001
[陈年泡菜]
23-2-6 14:46
连雨不知春去 发表于 2023-02-06 10:57 我说的攻击就是勒索病毒。跟版本没有关系,扫描端口,然后尝试登录,如果内部账号没有禁用,密码又很简单的话,就完蛋了。封IP是必须的,攻击程序似乎有无限多的公网IP,一直报警也很烦,只能重启路由器把外网地址换掉,域名换掉更保险,因为也有可能是通过域名访问的。邮件通知我用outlook.com,可以用。群晖管家用安卓的就行了,找个旧手机装上,用单独的一个管理账号登录,平时用不着,自己的IP账号被封的时候,解封用。 |
|
[123 楼] 连雨不知春去
[禁言中]
23-2-6 10:57
akai001 发表于 2023-02-04 22:39 谢谢你的回复! 看来你也是个跟我差不多的老同志了(看注册日期跟我另外一个被黑的账号是同一年)  我是上个月才买DS920+的群晖新手缺少经验——尤其是系统安全方面。你提到群晖非常容易被攻击,想跟你讨论一下: 1.是不是你的群晖DSM软件版本较低? 听说黑群晖升级比较困难。我是最新的7.x版本。据说群晖不断升级系统的过程中,很重视安全问题的改进。我也看到了不同版本之间一些设置参数方面的差异。 2.禁用内部账号问题。DSM7安装后默认的账号:admin、guest已经被我停用——其实DSM7在安装过程中就自动停用了这些账号,会让你自己另外再创建一个管理员账户。 3.IP封锁(即多次尝试密码错误封禁IP)已经设置,但是邮件通知始终没有搞定。因为我的QQ邮箱通过第三方平台发信的认证问题,始终没有搞定。QQ客服联系太麻烦了,电子邮件沟通经常误解我的问题。看来如果我遇到了安全问题,群晖是无法email通知我的,只能靠手机App登录查看告警信息。 4.最关键的一个问题,你提到群晖被攻击。你遇到了吗?能说说具体情况吗? 改域名、重启路由器太麻烦了。就算域名、IP都变了,攻击程序这次怎么找到你的,下次还会找上门来。只不过是时间早晚而已。我想在IP封锁机制下,将密码增加长度更加复杂化或许是对付这类攻击的好办法。目前我是11位密码,包括大小写字幕、数字、特殊字符。 5.关于App的问题。我手机上安装了群晖官方的“群晖管家”App,现在我都想不起来怎么安装上去的。因为我在苹果App Store中搜索不到这个软件。我询问本地群晖代理商,他们说这个APP下架了,让我安装“派派助手”。这个软件的确比厂家软件好用。但这是第三方软件,如果要登录就得把用户、密码都交给了他,感觉很不安全。我实在想不通为啥群晖要在应用商店下架自己的APP? |
|
[122 楼] 连雨不知春去
[禁言中]
23-2-5 09:32
光圈64 发表于 2023-02-04 19:48 不过是表达丰俭由人而已,你太敏感了 发布自 iOS客户端 |
|
[121 楼] akai001
[陈年泡菜]
23-2-4 22:39
论坛里的黑群晖已经用了很久了,常开,除非拉闸停电,最长好像开了有500天吧,没什么毛病,硬盘有新有旧,有一块下载用的旧硬盘彻底挂了。稳定性、易用性都可以。但是,最近发现一个大问题,群晖非常容易被攻击,而且病毒能直接修改底层文件系统。安全措施必须做足,我把内部账号全部禁用了,IP封锁邮件通知都设置好,碰到顽固的攻击,只能重启路由器,修改ddns域名。
|
|
[120 楼] 龍蝦
[泡菜]
23-2-4 20:04
连雨不知春去 发表于 2023-01-18 09:27 不好意思,才看到。 貌似对三星的内存兼容性好点,只能装笔记本的小内存,插槽就这么大,我家的是三星16G的DDR4 2666内存 |
|
[119 楼] 光圈64
[禁言中]
23-2-4 19:48
连雨不知春去 发表于 2023-02-02 08:48 对,有啥了不起的?我甚至敢预言,用不了多少年,那个丁字裤就可能被他吃下  |
|
[118 楼] 连雨不知春去
[禁言中]
23-2-4 19:19
springbell 发表于 2023-02-04 17:19 没说有问题呀,各有各的需求。 发布自 iOS客户端 |
|
[117 楼] springbell
[资深泡菜]
23-2-4 17:19
连雨不知春去 发表于 2023-02-02 08:48 当然,有啥问题吗? 上千万的是车,几万乃至几千的也是车。 |
|
[116 楼] 连雨不知春去
[禁言中]
23-2-3 09:05
无计留春住 发表于 2023-02-01 14:40 嗯,我是春节前群晖到手后才搞明白,可以添加第三方源 |
|
[115 楼] 连雨不知春去
[禁言中]
23-2-2 08:48
典藏系列 发表于 2023-01-17 21:32 BBA是汽车,四个轮子加两个沙发也算汽车 发布自 iOS客户端 |
|
[114 楼] hc008
[泡菜]
23-2-1 15:55
hc008 发表于 2023-02-01 15:16 重启系统! |
|
[113 楼] davyshao
[资深泡菜]
23-2-1 15:22
群晖是7×24开机的,群晖系统本质上是服务器,因此应该不存在网络唤醒问题的。
QuickConnect可以在外边联通家里电脑,但速度只能以龟速形容,如果在外面链接家里NAS频繁,建议研究一下DDNSTO。 |
|
[112 楼] hc008
[泡菜]
23-2-1 15:16
连雨不知春去 发表于 2022-06-30 23:22 真关机了, 和拔了电源一样? 要唤醒? |