最近时间比较多架了Immich取代掉Google相簿
架完又手痒买了一个便宜网域让公网也可浏览
不过全部弄完之后就有点担心安全问题
架设方式是这样的:在TrueNAS上开一台Ubuntu虚拟机,Immich架在虚拟机上用SMB读TrueNA
S的照片;
网络方面则是中华电信->路由器->主机,使用cloudflare tunnel内网穿透加反向代理,路
由器没开port
cloudflare则把能点的安全限制都开最高,WAF锁国家非台湾、threat score>5, known bot
s
网域托管在CF上用它自动办好的https和CA,一个礼拜下来每天都挡超过50个外国IP
想请问这样的架构算是安全吗?
我在想安全分两方面,第一个是虚拟机的部分,上面只有immich等docker服务,有问题重架
就可以;第二个是TrueNAS本身资料安全,入侵者能透过虚拟机更改NAS本身的档案吗?(虚
拟机SMB权限只可读写NAS照片资料夹,但主要资料也就那些照片)
谢谢各位大神!
如果你所谓的安全是指资料不要被删除或加密,那多备份几份比较实际。
作者: fonzae (fonzae) 2024-06-04 20:17:00
乖,防火墙买下去,限定来源+凭证+2FA
作者: hueddy90 2024-06-07 20:12:00
买台防火墙顶着吧
防火墙的部分有爬文看人家说新手都啥都不懂买来也不会设定,还是说这也算是快乐折腾的一环xd
作者: fonzae (fonzae) 2024-06-13 20:48:00
要资安就是花钱,想要省钱就是学
买fortigate 有授权的.有简易 WAF 可以用....
作者:
HiJimmy (å—¨ å‰ç±³)
2024-06-15 23:47:00至少也得将NAS放在路由器后面,然后路由器全挡,只开VPN还得改奇怪的PORT,这样两道密码认证,想要入侵也得先破VPN,后面还得攻主机漏洞或是破密码
其实是..用 CDN 先挡XDDD , allow CDN IP
作者:
adios881 (Adios)
2024-10-15 05:57:00干嘛不tailscale+funnel