作者NachtNacht (Nacht)
看板Network
标题自架云端相簿安全性
时间Thu May 30 01:12:05 2024
最近时间比较多架了Immich取代掉Google相簿
架完又手痒买了一个便宜网域让公网也可浏览
不过全部弄完之後就有点担心安全问题
架设方式是这样的:在TrueNAS上开一台Ubuntu虚拟机,Immich架在虚拟机上用SMB读TrueNA
S的照片;
网路方面则是中华电信->路由器->主机,使用cloudflare tunnel内网穿透加反向代理,路
由器没开port
cloudflare则把能点的安全限制都开最高,WAF锁国家非台湾、threat score>5, known bot
s
网域托管在CF上用它自动办好的https和CA,一个礼拜下来每天都挡超过50个外国IP
想请问这样的架构算是安全吗?
我在想安全分两方面,第一个是虚拟机的部分,上面只有immich等docker服务,有问题重架
就可以;第二个是TrueNAS本身资料安全,入侵者能透过虚拟机更改NAS本身的档案吗?(虚
拟机SMB权限只可读写NAS照片资料夹,但主要资料也就那些照片)
谢谢各位大神!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.231.66.34 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1717002727.A.937.html
※ 编辑: NachtNacht (61.231.66.34 台湾), 05/30/2024 02:01:10
1F:推 allen65535: 如果你所谓的安全是指资料不要被删除或加密,那多备份 05/30 08:50
2F:→ allen65535: 几份比较实际。 05/30 08:50
3F:→ fonzae: 乖,防火墙买下去,限定来源+凭证+2FA 06/04 20:17
4F:推 hueddy90: 买台防火墙顶着吧 06/07 20:12
5F:→ NachtNacht: 防火墙的部分有爬文看人家说新手都啥都不懂买来也不 06/13 09:30
6F:→ NachtNacht: 会设定,还是说这也算是快乐折腾的一环xd 06/13 09:30
7F:→ fonzae: 要资安就是花钱,想要省钱就是学 06/13 20:48
8F:→ asdfghjklasd: 买fortigate 有授权的.有简易 WAF 可以用.... 06/14 23:51
9F:推 HiJimmy: 至少也得将NAS放在路由器後面,然後路由器全挡,只开VPN 06/15 23:47
10F:→ HiJimmy: 还得改奇怪的PORT,这样两道密码认证,想要入侵也得先 06/15 23:47
11F:→ HiJimmy: 破VPN,後面还得攻主机漏洞或是破密码 06/15 23:48
12F:→ asdfghjklasd: 其实是..用 CDN 先挡XDDD , allow CDN IP 06/17 10:59
13F:→ adios881: 干嘛不tailscale+funnel 10/15 05:57