家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。
想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。
1
duduke 2023-05-15 12:28:54 +08:00 via iPhone 1
对外开放 vmess ,通过 vmess 回家,反正电脑手机都要开着科学
|
2
yanyuechuixue 2023-05-15 12:40:01 +08:00
用 tailscale 呀,其实现在由于有 ipv6 的原因,大部分设备都可以打洞直连。
|
3
ysc3839 2023-05-15 12:49:27 +08:00 via Android
换 WireGuard 等基于非对称密钥认证的协议
|
4
deplivesb 2023-05-15 12:54:26 +08:00
vpn 回家
|
5
Jhma 2023-05-15 12:54:54 +08:00
用 opnsense 防火墙简单配置一下 openvpn,能实现用户+密码+证书+APP 动态密码的高安全访问,其他 vpn 只要能拿到你的用户密码证书文件配置文件等就可以随意链接,是不安全的
|
6
shangyu7 2023-05-15 13:09:38 +08:00
ss 够安全了吧?密码关了用证书呗
|
7
sadfQED2 2023-05-15 13:20:06 +08:00 via Android
内网开 v2 ,使用梯子服务器做分流。连上梯子以后,内网,墙外,大陆都能流畅连接
|
10
blankmiss 2023-05-15 14:44:42 +08:00
tailscale 搭建私有 derp 服务器
|
13
0o0O0o0O0o 2023-05-15 16:00:55 +08:00 via iPhone
@Jhma #9 每次在 v 站看到一些诸如“我很多年都是这样那样配置没被黑过”的发言,我也想问他们你怎么知道自己没被黑,难道黑客只是进来格盘大声嚷嚷的
|
14
janzwong 2023-05-15 16:05:24 +08:00
sslvpn 应该是相对更加安全的方式,还有你内网 ss 的服务器的端口开放情况要把控好,不要开放无用端口出去了,最好能起个防火墙搞个定时清理黑名单 ip 的策略。
|
15
monkey110 2023-05-15 16:15:30 +08:00
目前个人在用的方案是华硕路由开 openvpn,防火墙放行指定端口,用群晖自家 ddns(可以 https 访问)反代群晖和内网部分服务,vpn 和 ddns 配合使用,强密码二部验证是基操。
另外使用何种组网软件能用最新版的就用最新版的,防止漏洞类。 我就是用的 nps 然后作者不更了,被从漏洞进来裸奔了两年之久,直到最近才发现。 详见 https://www.v2ex.com/t/939787 |
16
wogjdjaj 2023-05-15 16:21:13 +08:00 via Android
只要联网就没有安全可言
多备份 少开放太多服务和端口 |
17
1521815837 2023-05-15 16:24:08 +08:00
疑人不用用人不疑呗移动硬盘又不贵
|
18
winson030 2023-05-15 16:33:21 +08:00 via iPhone
推荐 Tailscale ,稳
|
19
JayZXu 2023-05-15 16:36:05 +08:00
tailscale, zerotier 。组虚拟局域网,不需要对外开端口也能用了
|
20
a632079 2023-05-15 17:08:29 +08:00
😨同楼上,为啥不用 VLAN 终端?比如 tailscale 、zerotier ?
如果担心中心节点的问题的话,可以直接用 tailscale 的非官方开源控制服务器 headscale 的。 |
21
leaflxh 2023-05-15 17:16:10 +08:00
自己写个 port knocker ,手动操作,ip to ip 防火墙放通
|
22
tyhunter 2023-05-15 17:32:14 +08:00
我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露
如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求? 设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口 但这样速度就不如直接 DDNS 来的直接了 |
23
yaott2020 2023-05-15 18:04:13 +08:00 via Android
wireguard 回家,安全性速度兼有
|
24
abcfreedom OP @duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢
|
25
abcfreedom OP |
26
abcfreedom OP @janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬
|
28
abcfreedom OP @monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了😂
|
29
abcfreedom OP |
30
abcfreedom OP |
31
FrankAdler 2023-05-15 19:57:26 +08:00 via iPhone
定期更换密码 我觉得 ss 就足够了
|
32
baobao1270 2023-05-15 20:28:27 +08:00
SS 密码用 128 位随机字符串,怎么暴露?
除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题 当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证 |
33
azure2023us559 2023-05-15 20:35:18 +08:00
docker
|
34
azure2023us559 2023-05-15 20:36:29 +08:00
ss 换 wireguard , listen on ipv6 443 udp
|
35
abcfreedom OP |
36
hezhile 2023-05-16 11:29:31 +08:00
zerotier +1
|
37
superchijinpeng 2023-05-16 13:01:54 +08:00
Tailscale ,也可以用 Cloudflare Tunnel
|
38
esee 2023-05-16 14:47:51 +08:00
@Jhma 你也说了没有痕迹,那你加了动态密码就能知道黑客没来过?安全都是相对的,你给门加了几百把锁,结果门和墙连接不牢固直接把门踹开了不也一样入侵,最后防的都是自己。
|
39
Jhma 2023-05-16 14:57:58 +08:00
@esee 至少二次认证是公认的比没有二次认证的安全,各大安全厂商也力推二次认证系统,简单的说,我明明有技术可以自己动手加锁,为何不加!
|
40
troilus 2023-05-16 18:07:19 +08:00
用 vmess ,配合规则
|
41
hauzerlee 2023-05-16 20:09:28 +08:00
不是非要立刻马上就访问到的话,还可以利用一些黑客也常用的手段。比如写段程序抓取你的微博之类的能公开发出的信息,抓到短时间内特定的暗号,才把家里的 ss 打开,用完关闭,其他时间都是关闭的。减少对公网暴露的时间。
技术细节方面的话,就是这个暗号也用动态的,两边同时生成,用于对比和校验。 |