前言
黑客无时不在,数据安全十分重要。在上一篇文章中,我们提到了开放外网访问,并且把整个内网重要服务都可以通过反向代理方式对外开放。但是,请仔细想想,如果有人攻破了你的防线呢?
SSL
务必全程使用ssl加密连接
开放服务
你真的有必要把所有服务都对外展示吗?认真思考这个问题,尽可能的较少开放。同时反代方式,有些转发是有问题的,例如shell。所以,我建议是内网虚拟一台可以联网的主机,大部分的服务通过ipv6地址,直接远程访问该电脑,在里面再打开其它服务。
反向代理
为什么不单独解析内网逐个设备的ipv6地址?通过反向代理方式,其实我们可以把内网设备访问端口和外网访问端口错开,这样不利于爆破。此外,反代可以把真实主机隐藏起来,至少不是直接被黑客扫。
用户
admin用户已经禁用,大部分的破解都是使用常见用户名+密码库爆破。此外,使用一个较高强度的密码
端口
为群晖等设置一个四位数以上的随机端口,至少群晖的端口要修改,其它服务的实在贪图方案可以内外网一样
反向代理2
其实,我也考虑过单独一个服务器作为反代。最后我没用。我想,群晖的更新和安全性还可以,ssh等常用端口关闭了。多一台服务器就多一个维护。加上我放dsm的资料都是有备份的。相信群晖就好,没的话使用lxc或者创建kvm虚拟机都可以
cloudflare
其实很多人都是用阿里云,我这里使用cloudflare是有考虑的。大家可能研究这些不是很多,cloudflare有两点服务是阿里云没有的。
第一个,CDN。其实也可以理解为这是一个反代服务器,它可以隐藏你DSM的ipv6地址。当然开启之后,会比纯dns解析要慢。数据绕全球了嘛;
第二个,64转换。确实还有很多电脑主要是单位等还没有为设备提供ipv6地址。此时,通过cloudflare并开启代理模式的。你可以在仅有ipv4地址的情况下访问群晖。这真的是免费届少有的良心服务。特别是用过一些纯6主机的人就能深刻理解。
期待您的评论或捐赠,这是最好的鼓励和支持!
