作者NachtNacht (Nacht)
看板Network
標題自架雲端相簿安全性
時間Thu May 30 01:12:05 2024
最近時間比較多架了Immich取代掉Google相簿
架完又手癢買了一個便宜網域讓公網也可瀏覽
不過全部弄完之後就有點擔心安全問題
架設方式是這樣的:在TrueNAS上開一台Ubuntu虛擬機,Immich架在虛擬機上用SMB讀TrueNA
S的照片;
網路方面則是中華電信->路由器->主機,使用cloudflare tunnel內網穿透加反向代理,路
由器沒開port
cloudflare則把能點的安全限制都開最高,WAF鎖國家非台灣、threat score>5, known bot
s
網域託管在CF上用它自動辦好的https和CA,一個禮拜下來每天都擋超過50個外國IP
想請問這樣的架構算是安全嗎?
我在想安全分兩方面,第一個是虛擬機的部分,上面只有immich等docker服務,有問題重架
就可以;第二個是TrueNAS本身資料安全,入侵者能透過虛擬機更改NAS本身的檔案嗎?(虛
擬機SMB權限只可讀寫NAS照片資料夾,但主要資料也就那些照片)
謝謝各位大神!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.66.34 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1717002727.A.937.html
※ 編輯: NachtNacht (61.231.66.34 臺灣), 05/30/2024 02:01:10
1F:推 allen65535: 如果你所謂的安全是指資料不要被刪除或加密,那多備份 05/30 08:50
2F:→ allen65535: 幾份比較實際。 05/30 08:50
3F:→ fonzae: 乖,防火牆買下去,限定來源+憑證+2FA 06/04 20:17
4F:推 hueddy90: 買台防火牆頂著吧 06/07 20:12
5F:→ NachtNacht: 防火牆的部分有爬文看人家說新手都啥都不懂買來也不 06/13 09:30
6F:→ NachtNacht: 會設定,還是說這也算是快樂折騰的一環xd 06/13 09:30
7F:→ fonzae: 要資安就是花錢,想要省錢就是學 06/13 20:48
8F:→ asdfghjklasd: 買fortigate 有授權的.有簡易 WAF 可以用.... 06/14 23:51
9F:推 HiJimmy: 至少也得將NAS放在路由器後面,然後路由器全擋,只開VPN 06/15 23:47
10F:→ HiJimmy: 還得改奇怪的PORT,這樣兩道密碼認證,想要入侵也得先 06/15 23:47
11F:→ HiJimmy: 破VPN,後面還得攻主機漏洞或是破密碼 06/15 23:48
12F:→ asdfghjklasd: 其實是..用 CDN 先擋XDDD , allow CDN IP 06/17 10:59
13F:→ adios881: 幹嘛不tailscale+funnel 10/15 05:57