萌新网络安全指南 — — 谨防数据泄露

来自Wired
跳转到导航 跳转到搜索

关于内容:

  • 我本人没有任何网络安全技术基础或能力,只是略见此类事件,有一些通用的适用于萌新的低技术解决方案而已
  • 如果您是技术大牛或有其他更好的方案与策略请回帖补充,如果您发现文中有描述不当的地方请纠正,感谢您对我等萌新做的贡献

适用人群:

  • 拥有公网IP的玩家(包括盒子用户)

导言

导言其实比正文更重要,因为最基本的防范方法(尤其是针对于pt的)就那么几种,有一定网络安全意识的人都已经做得很好了。而没有做到的,恰好缺少的就是对网络安全的认知,防范无非就是设置一下

“我不在乎”“谁没事攻击我”“这么多人偏偏我中招?”“你说的这么危言耸听我这么长时间怎么一点事没有?”的心态才是问题的关键


“网络安全”,听起来与普通的pt玩家沾不上边,毕竟很多人对网络安全与数据泄露的印象还只是停留在WannaCry、超星或者腾讯这种 针对于/发生于 大型机构、企业的黑客 行为/事件

然而,事实是如此吗?

我标题之所以使用“萌新网络安全指南”而非“萌新入门PT安全指南”就是因为隐私防范,是一个非常广泛的概念与意识

还记得我21年发了一篇文章就举了一些例子:https://zhuanlan.zhihu.com/p/404599105

绝大多数没有网络安全概念的人,根本就意识不到这些潜在的安全隐患,只有等事情被曝光或者发现不对劲时才开始惶恐与不知所措

这不是贬义,我也是如此,很久之前我还在主用搜狗输入法,但是某一天我突然看到它向我索求网络权限,然后简单搜了一下,才意识到这东西如果想,确实可以轻松的获取我们的隐私,随后我就手机用GB,电脑用微软默认了

可能现在我还踩着无数坑,只是因为我技术力不够,还没有意识到……

比如,如果您觉得自己扫描ip+端口太过麻烦,甚至有https://www.shodan.io/这种现成的服务,您只要简单的搜索目标端口就好了,剩下的无非是脚本批量的访问测试


那些自动化脚本不会在乎您是好人还是坏人,他们只是扫描了开放的端口并且机械化发送登录的请求而已

您完全可以通过简单的设置规避很大一部分风险

注意,您认为您无密码的服务在公网上暴露很久没有出事,可不意味着没有被扫描到,只是没人用它做坏事而已

正篇

一定要开启防火墙

如果您同我一样,在网络安全的领域不懂或者只是略懂皮毛,那么绝对不要随意修改防火墙设置

尤其是很多人在没有任何网络安全防范意识的前提下,只是因为“方便”,便关闭了防火墙,这比开启DMZ还要作死!

关闭 DMZ

通常如果我们有公网IP,要使用它的话,需要光猫设置桥连模式,由路由器接管网络,然后手动设置端口转发, 将需要的端口映射出去

但是因为某些特殊情况(比如电信公司不给改为桥连模式,或者自己觉得映射端口太麻烦),很多人开启了此项功能

简单来说,开启DMZ只是将你的设备直接曝光在公网上,所有可访问端口都“自动”映射到公网上,可以通过ip+端口访问你设备上运行的服务

理论上开启此项服务没有什么严重威胁,毕竟所有端口暴露在公网上,只要自己设定好访问权限(安全的强密码),无非是多了点恶意扫端口与尝试访问你设备的请求而已

但实际操作中总会有这样那样的风险,比如某些你自己都不知道的服务开启了某个端口,这个服务默认弱口令密码甚至是无密码,从而导致有被人侵入你设备的风险

再比如,你自以为设置了一个不宜暴力破解的密码,可你其他社交平台的账户密码被泄漏过、采用了一样的组合或者有规律的组合(比如密码是: 固定字符-对应平台名字或简写-固定字符)列入了别人的密码字典中,从而被“撞库”,成功了侵入了你的设备……

这不是危言耸听,而是发生了数次的事实,案例之一(坟贴勿回):https://tieba.baidu.com/p/7428237910?pid=140069510307

不要映射不需要的端口至公网

请只映射您需要的端口,当此端口/服务不用的时候,及时的删掉该条规则

不止可以保持规则的简洁,也可以让您更好的掌握自己的设置,同时避免一些没必要的风险

给服务设置安全的账户及密码

这是新手最容易踩坑的地方了,例如

qbittorrent

默认用户名 admin 默认密码 adminadmin。很多人暴露在公网的qb依旧使用着默认密码

工具 -- 选项 -- WEB UI -- 验证 栏中修改您的设置

> 设置一个安全的用户名和密码

> 您如果经常内网访问,您可以将您的内网ip(或固定公网ip)设定为白名单

  • 如果您想特定的内网ip无需验证直接输入ip即可,如果您想整个ip段免验证,可以如图输入 xxx.xxx.xxx.0/24

> 设定严格些的失败限制

  • 比如失败两次禁止一天

transmission

部分tr的web ui甚至无密码!

> 如果您用的unraid或其他便于操作的系统,直接在docker点击tr的标题

> 设定用户名与密码


由于此教程是面向萌新的,目前只贴出了gui界面的修改操作。

如果您需要直接修改配置文件,但是遇到了某些问题(比如重启后设置被回退),或许可以搜索谷歌: 客户端名称 配置文件名称 要设置的关键词 。例如

transmission settings.json password

https://superuser.com/questions/113649/how-do-you-set-a-password-for-transmission-daemon-the-bittorrent-client-server

映射监听端口而非web ui端口

如果您没有远程访问web ui的需求,您大可停止映射web ui端口,只映射监听端口

注意,很多人自己有公网但是觉得连通性一如既往的差的话,可以尝试下映射下监听端口(监听端口是哪个?以qb为例:选项 -- 链接 --监听端口 )

映射外部端口为其他端口而非默认端口

如果您确实需要远程访问web ui,至少应该更改一下映射的端口,这很简单,不用您操作docker之类的

比如tr的默认端口是9091,您完全可以在路由器里如此设定(以华硕路由器为例):

在 外部网络 -- 端口转发 中 添加配置文件 ,设置如下内容

  • 服务名称:随意即可,供自己辨识用
  • 外部端口:xxxxx(公网端口)
  • 内部端口:xxxxx(内网端口)
  • 本地IP地址:服务的内网ip

端口范围:0~65535(建议范围:10000~65535)


欢迎各路大神纠错、建议、补充!

检索自“https://wired.scio.icu/index.php?title=萌新网络安全指南_—_—_谨防数据泄露&oldid=165