查看“︁萌新网络安全指南 — — 谨防数据泄露”︁的源代码

关于内容：

* 我本人没有任何网络安全技术基础或能力，只是略见此类事件，有一些通用的适用于萌新的低技术解决方案而已
* 如果您是技术大牛或有其他更好的方案与策略请回帖补充，如果您发现文中有描述不当的地方请纠正，感谢您对我等萌新做的贡献

适用人群：

* 拥有公网IP的玩家（包括盒子用户）

== 导言 ==
导言其实比正文更重要，因为最基本的防范方法（尤其是针对于pt的）就那么几种，有一定网络安全意识的人都已经做得很好了。而没有做到的，恰好缺少的就是对网络安全的认知，防范无非就是设置一下

“我不在乎”“谁没事攻击我”“这么多人偏偏我中招？”“你说的这么危言耸听我这么长时间怎么一点事没有？”的心态才是问题的关键


“网络安全”，听起来与普通的pt玩家沾不上边，毕竟很多人对网络安全与数据泄露的印象还只是停留在WannaCry、超星或者腾讯这种 针对于/发生于 大型机构、企业的黑客 行为/事件

然而，事实是如此吗？

我标题之所以使用“萌新网络安全指南”而非“萌新入门PT安全指南”就是因为隐私防范，是一个非常广泛的概念与意识

还记得我21年发了一篇文章就举了一些例子：https://zhuanlan.zhihu.com/p/404599105

绝大多数没有网络安全概念的人，根本就意识不到这些潜在的安全隐患，只有等事情被曝光或者发现不对劲时才开始惶恐与不知所措

这不是贬义，我也是如此，很久之前我还在主用搜狗输入法，但是某一天我突然看到它向我索求网络权限，然后简单搜了一下，才意识到这东西如果想，确实可以轻松的获取我们的隐私，随后我就手机用GB，电脑用微软默认了

可能现在我还踩着无数坑，只是因为我技术力不够，还没有意识到……

比如，如果您觉得自己扫描ip+端口太过麻烦，甚至有<nowiki/>https://www.shodan.io/<nowiki/>这种现成的服务，您只要简单的搜索目标端口就好了，剩下的无非是脚本批量的访问测试


那些自动化脚本不会在乎您是好人还是坏人，他们只是扫描了开放的端口并且机械化发送登录的请求而已

您完全可以通过简单的设置规避很大一部分风险

注意，您认为您无密码的服务在公网上暴露很久没有出事，可不意味着没有被扫描到，只是没人用它做坏事而已

== 正篇 ==

=== '''一定要开启防火墙''' ===
如果您同我一样，在网络安全的领域不懂或者只是略懂皮毛，那么绝对不要随意修改防火墙设置

尤其是很多人在没有任何网络安全防范意识的前提下，只是因为“方便”，便关闭了防火墙，这比开启DMZ还要作死！

=== '''关闭 DMZ''' ===
通常如果我们有公网IP，要使用它的话，需要光猫设置桥连模式，由路由器接管网络，然后手动设置端口转发， 将需要的端口映射出去

但是因为某些特殊情况（比如电信公司不给改为桥连模式，或者自己觉得映射端口太麻烦），很多人开启了此项功能

简单来说，开启DMZ只是将你的设备直接曝光在公网上，所有可访问端口都“自动”映射到公网上，可以通过ip+端口访问你设备上运行的服务

理论上开启此项服务没有什么严重威胁，毕竟所有端口暴露在公网上，只要自己设定好访问权限（安全的强密码），无非是多了点恶意扫端口与尝试访问你设备的请求而已

但实际操作中总会有这样那样的风险，比如某些你自己都不知道的服务开启了某个端口，这个服务默认弱口令密码甚至是无密码，从而导致有被人侵入你设备的风险

再比如，你自以为设置了一个不宜暴力破解的密码，可你其他社交平台的账户密码被泄漏过、采用了一样的组合或者有规律的组合（比如密码是: 固定字符-对应平台名字或简写-固定字符）列入了别人的密码字典中，从而被“撞库”，成功了侵入了你的设备……

这不是危言耸听，而是发生了数次的事实，案例之一（坟贴勿回）：https://tieba.baidu.com/p/7428237910?pid=140069510307

=== 不要映射不需要的端口至公网 ===
请只映射您需要的端口，当此端口/服务不用的时候，及时的删掉该条规则

不止可以保持规则的简洁，也可以让您更好的掌握自己的设置，同时避免一些没必要的风险

=== 给服务设置安全的账户及密码 ===
这是新手最容易踩坑的地方了，例如

==== '''qbittorrent''' ====
默认用户名 admin 默认密码 adminadmin。很多人暴露在公网的qb依旧使用着默认密码

在 '''工具 -- 选项 -- WEB UI -- 验证''' 栏中修改您的设置

> <u>设置一个安全的用户名和密码</u>

> 您如果经常内网访问，您可以将您的内网ip（或固定公网ip）设定为白名单

* 如果您想特定的内网ip无需验证直接输入ip即可，如果您想整个ip段免验证，可以如图输入 '''xxx.xxx.xxx.0/24'''

> 设定严格些的失败限制

* 比如失败两次禁止一天
<html><img loading="lazy" style="width: 600px;" src='https://scio.eu.org/WIKI/图片/PT相关/安全/PT-Qbittorrent_webui_设置.avif' /></html>

=== transmission ===
部分tr的web ui甚至无密码！

> 如果您用的unraid或其他便于操作的系统，直接在docker点击tr的标题

> 设定用户名与密码

<html><img loading="lazy" style="width: 900px;" src='https://scio.eu.org/WIKI/图片/PT相关/安全/PT-Qbittorrent_webui_设置.avif' /></html>



由于此教程是面向萌新的，目前只贴出了gui界面的修改操作。

如果您需要直接修改配置文件，但是遇到了某些问题（比如重启后设置被回退），或许可以搜索谷歌： <code>客户端名称 配置文件名称 要设置的关键词</code> 。例如 

<code>transmission settings.json password</code>

https://superuser.com/questions/113649/how-do-you-set-a-password-for-transmission-daemon-the-bittorrent-client-server
=== 映射监听端口而非web ui端口 ===
如果您没有远程访问web ui的需求，您大可停止映射web ui端口，只映射监听端口

注意，很多人自己有公网但是觉得连通性一如既往的差的话，可以尝试下映射下监听端口（监听端口是哪个？以qb为例：选项 -- 链接 --监听端口 ）

=== 映射外部端口为其他端口而非默认端口 ===
如果您确实需要远程访问web ui，至少应该更改一下映射的端口，这很简单，不用您操作docker之类的

比如tr的默认端口是9091，您完全可以在路由器里如此设定（以华硕路由器为例）：

在 外部网络 -- 端口转发 中 添加配置文件 ，设置如下内容

* 服务名称：随意即可，供自己辨识用
* 外部端口：xxxxx（公网端口）
* 内部端口：xxxxx（内网端口）
* 本地IP地址：服务的内网ip

端口范围：0~65535（建议范围：10000~65535）

<html><img loading="lazy" style="width: 400px;" src='https://scio.eu.org/WIKI/图片/PT相关/安全/PT-设置端口映射1.avif' /></html>


欢迎各路大神纠错、建议、补充！
[[Category:PT]]