引言
这两天NAS圈真是精彩纷呈,飞牛的安全事件大家也都看完整个过程了。
这期间,各路大神纷纷显神通,最开始只是围绕漏洞问题讨论,后来随着了解越多,发现事情越来越不对劲。
最早的漏洞信息可以追溯到四个月之前。
某乎大佬Gavin其实在四个月前就披露过这些安全问题,但因为没有热度,并未得到官方重视。而如今,回旋镖也来了。
事件分析
首先,网上很多人还在轻描淡写这次事件,完全不懂0day漏洞的含义。
简单理解就是:你什么都不需要操作,就会导致信息泄露。
如果你觉得你的信息不值钱那无所谓,但作为一个NAS系统,很多人将自己的照片、资料等信息都存在上面。这些信息对于个人来说是无价之宝。
虽然漏洞存在很久了,但官方显然没有怎么关注。
只有等爆发了才开始着手解决。而解决过程非常离谱,没有第一时间通知用户如何防范,而是让用户静默等待。
很多人会说肯定不能公布漏洞,否则有心术不正的人利用怎么办。
按照正常逻辑,漏洞未修复前的确不应该公布。
但在已经发生大规模入侵事件之后,官方难道不应该出公告提醒用户断开网络或者直接关机?如果漏洞修复需要两三天,这段时间暴露出来的用户岂不是依然存在风险?
在用户已经帮官方明确分析出漏洞所在的情况下,官方依然用http明文访问这一点来说明是用户自己问题,有明显甩锅嫌疑。
且在1.1.15版本更新之后,还是出现了访问安全问题。
版本推送难道不应该自己检查?分析很精彩就完事了?
最后,我并不讨厌飞牛系统。
相反,作为一个免费的NAS系统,飞牛对整个NAS圈的影响非常大,且一直在不断努力。
这点相信大家都明白。但是公司的各种决策以及粉丝的极端言论让我非常厌恶。
让我看到了某mi以及某hua的影子。
而且这种人不管在哪里都有,甚至你写其他NAS的测评或者教程,也会有人跳出来说“不如飞牛”之类的话。
希望飞牛能不忘初心,同时提高公司公关能力。
说出来也非常讽刺,在如今的环境下,一个好的产品不仅仅需要产品好,处理不好这些问题一样会败人缘。
NAS安全如何避免?
经过这次事件,目前不知道有多少人受害。
根据蓝点的信息,非官方消息称有30多万设备暴露。那么普通人在不懂网络或网络安全的情况下,如何避免类似事件呢?
毕竟谁也不想某天在XXX专区看到自己的信息被曝光。
这里介绍的内容不含推广。
雷池其实蛮好用的,再加上有社区版提供,作为个人用户非常适合。
当然,最理想的还是NAS尽可能采用https协议,尽可能关闭不必要的端口。必要时可以直接断网甚至断电来规避风险,例如这次事件。
雷池的部署也并不难,官方提供了一键脚本。
这里用极空间作为展示,但实际上任何支持SSH的NAS都可以采用。
具体步骤如下:打开极空间的SSH端口,如果担心出问题,可以开启仅限局域网访问。
在极空间中创建雷池的存储路径备用,后续安装时雷池安装位置就在这里。
需要记住它的真实路径,可以通过sftp查看,也可以去compose中查看。
打开SSH工具,连接到NAS后输入sudo -i获取root权限。
获取权限后,直接输入一键安装脚本命令:
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
输入1进行安装,随后会提示安装路径,最后输入管理端口。
耐心等待镜像拉取和容器部署。
完成安装后,会给出对应的管理面板地址以及默认用户名和初始密码。
登录后即可看到雷池的管理界面。
要使用防护,直接在防护应用中添加即可。
例如常用的NAS访问端口、Docker端口、反代端口等。
防护添加
写在最后
最后,还是得说,安全漏洞任何系统都有,这是不可避免的。
毕竟没有绝对安全的系统。
不管是什么牛,关键点在于普通用户不知情,且官方推卸责任、未及时告知用户临时处理办法。
漏洞爆发后不断有用户中招,这一点其实不应该发生。
免费不是免罪金牌,有问题该说就该说。
熊猫的留言区和后台都是开放的。
这次并不是黑飞牛,个人还是非常喜欢飞牛系统。
至于结晶粉,我也不是第一次被骂。
之前说过几次问题,后台私信我家人的都有。
但有问题难道不该说吗?
免费就是免罪金牌?那我文章你们免费看了,岂不是也应该给我免罪?
以上便是本次分享的全部内容了。
如果你觉得有趣或者对你有所帮助,不妨点赞收藏。
最后也希望能得到你的关注,咱们下期见!
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com
