引言
這兩天NAS圈真是精彩紛呈,飛牛的安全事件大家也都看完整個過程了。
這期間,各路大神紛紛顯神通,最開始只是圍繞漏洞問題討論,後來隨着瞭解越多,發現事情越來越不對勁。
最早的漏洞信息可以追溯到四個月之前。
某乎大佬Gavin其實在四個月前就披露過這些安全問題,但因爲沒有熱度,並未得到官方重視。而如今,迴旋鏢也來了。
事件分析
首先,網上很多人還在輕描淡寫這次事件,完全不懂0day漏洞的含義。
簡單理解就是:你什麼都不需要操作,就會導致信息泄露。
如果你覺得你的信息不值錢那無所謂,但作爲一個NAS系統,很多人將自己的照片、資料等信息都存在上面。這些信息對於個人來說是無價之寶。
雖然漏洞存在很久了,但官方顯然沒有怎麼關注。
只有等爆發了纔開始着手解決。而解決過程非常離譜,沒有第一時間通知用戶如何防範,而是讓用戶靜默等待。
很多人會說肯定不能公佈漏洞,否則有心術不正的人利用怎麼辦。
按照正常邏輯,漏洞未修復前的確不應該公佈。
但在已經發生大規模入侵事件之後,官方難道不應該出公告提醒用戶斷開網絡或者直接關機?如果漏洞修復需要兩三天,這段時間暴露出來的用戶豈不是依然存在風險?
在用戶已經幫官方明確分析出漏洞所在的情況下,官方依然用http明文訪問這一點來說明是用戶自己問題,有明顯甩鍋嫌疑。
且在1.1.15版本更新之後,還是出現了訪問安全問題。
版本推送難道不應該自己檢查?分析很精彩就完事了?
最後,我並不討厭飛牛系統。
相反,作爲一個免費的NAS系統,飛牛對整個NAS圈的影響非常大,且一直在不斷努力。
這點相信大家都明白。但是公司的各種決策以及粉絲的極端言論讓我非常厭惡。
讓我看到了某mi以及某hua的影子。
而且這種人不管在哪裏都有,甚至你寫其他NAS的測評或者教程,也會有人跳出來說“不如飛牛”之類的話。
希望飛牛能不忘初心,同時提高公司公關能力。
說出來也非常諷刺,在如今的環境下,一個好的產品不僅僅需要產品好,處理不好這些問題一樣會敗人緣。
NAS安全如何避免?
經過這次事件,目前不知道有多少人受害。
根據藍點的信息,非官方消息稱有30多萬設備暴露。那麼普通人在不懂網絡或網絡安全的情況下,如何避免類似事件呢?
畢竟誰也不想某天在XXX專區看到自己的信息被曝光。
這裏介紹的內容不含推廣。
雷池其實蠻好用的,再加上有社區版提供,作爲個人用戶非常適合。
當然,最理想的還是NAS儘可能採用https協議,儘可能關閉不必要的端口。必要時可以直接斷網甚至斷電來規避風險,例如這次事件。
雷池的部署也並不難,官方提供了一鍵腳本。
這裏用極空間作爲展示,但實際上任何支持SSH的NAS都可以採用。
具體步驟如下:打開極空間的SSH端口,如果擔心出問題,可以開啓僅限局域網訪問。
在極空間中創建雷池的存儲路徑備用,後續安裝時雷池安裝位置就在這裏。
需要記住它的真實路徑,可以通過sftp查看,也可以去compose中查看。
打開SSH工具,連接到NAS後輸入sudo -i獲取root權限。
獲取權限後,直接輸入一鍵安裝腳本命令:
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
輸入1進行安裝,隨後會提示安裝路徑,最後輸入管理端口。
耐心等待鏡像拉取和容器部署。
完成安裝後,會給出對應的管理面板地址以及默認用戶名和初始密碼。
登錄後即可看到雷池的管理界面。
要使用防護,直接在防護應用中添加即可。
例如常用的NAS訪問端口、Docker端口、反代端口等。
防護添加
寫在最後
最後,還是得說,安全漏洞任何系統都有,這是不可避免的。
畢竟沒有絕對安全的系統。
不管是什麼牛,關鍵點在於普通用戶不知情,且官方推卸責任、未及時告知用戶臨時處理辦法。
漏洞爆發後不斷有用戶中招,這一點其實不應該發生。
免費不是免罪金牌,有問題該說就該說。
熊貓的留言區和後臺都是開放的。
這次並不是黑飛牛,個人還是非常喜歡飛牛系統。
至於結晶粉,我也不是第一次被罵。
之前說過幾次問題,後臺私信我家人的都有。
但有問題難道不該說嗎?
免費就是免罪金牌?那我文章你們免費看了,豈不是也應該給我免罪?
以上便是本次分享的全部內容了。
如果你覺得有趣或者對你有所幫助,不妨點贊收藏。
最後也希望能得到你的關注,咱們下期見!
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
