萌新網絡安全指南 — — 謹防數據泄露

出自Wired
跳至導覽跳至搜尋

關於內容:

  • 我本人沒有任何網絡安全技術基礎或能力,只是略見此類事件,有一些通用的適用於萌新的低技術解決方案而已
  • 如果您是技術大牛或有其他更好的方案與策略請回帖補充,如果您發現文中有描述不當的地方請糾正,感謝您對我等萌新做的貢獻

適用人群:

  • 擁有公網IP的玩家(包括盒子用戶)

導言

導言其實比正文更重要,因為最基本的防範方法(尤其是針對於pt的)就那麼幾種,有一定網絡安全意識的人都已經做得很好了。而沒有做到的,恰好缺少的就是對網絡安全的認知,防範無非就是設置一下

「我不在乎」「誰沒事攻擊我」「這麼多人偏偏我中招?」「你說的這麼危言聳聽我這麼長時間怎麼一點事沒有?」的心態才是問題的關鍵


「網絡安全」,聽起來與普通的pt玩家沾不上邊,畢竟很多人對網絡安全與數據泄露的印象還只是停留在WannaCry、超星或者騰訊這種 針對於/發生於 大型機構、企業的黑客 行為/事件

然而,事實是如此嗎?

我標題之所以使用「萌新網絡安全指南」而非「萌新入門PT安全指南」就是因為私隱防範,是一個非常廣泛的概念與意識

還記得我21年發了一篇文章就舉了一些例子:https://zhuanlan.zhihu.com/p/404599105

絕大多數沒有網絡安全概念的人,根本就意識不到這些潛在的安全隱患,只有等事情被曝光或者發現不對勁時才開始惶恐與不知所措

這不是貶義,我也是如此,很久之前我還在主用搜狗輸入法,但是某一天我突然看到它向我索求網絡權限,然後簡單搜了一下,才意識到這東西如果想,確實可以輕鬆的獲取我們的私隱,隨後我就手機用GB,電腦用微軟默認了

可能現在我還踩着無數坑,只是因為我技術力不夠,還沒有意識到……

比如,如果您覺得自己掃描ip+端口太過麻煩,甚至有https://www.shodan.io/這種現成的服務,您只要簡單的搜索目標端口就好了,剩下的無非是腳本批量的訪問測試


那些自動化腳本不會在乎您是好人還是壞人,他們只是掃描了開放的端口並且機械化發送登錄的請求而已

您完全可以通過簡單的設置規避很大一部分風險

注意,您認為您無密碼的服務在公網上暴露很久沒有出事,可不意味着沒有被掃描到,只是沒人用它做壞事而已

正篇

一定要開啟防火牆

如果您同我一樣,在網絡安全的領域不懂或者只是略懂皮毛,那麼絕對不要隨意修改防火牆設置

尤其是很多人在沒有任何網絡安全防範意識的前提下,只是因為「方便」,便關閉了防火牆,這比開啟DMZ還要作死!

關閉 DMZ

通常如果我們有公網IP,要使用它的話,需要光貓設置橋連模式,由路由器接管網絡,然後手動設置端口轉發, 將需要的端口映射出去

但是因為某些特殊情況(比如電信公司不給改為橋連模式,或者自己覺得映射端口太麻煩),很多人開啟了此項功能

簡單來說,開啟DMZ只是將你的設備直接曝光在公網上,所有可訪問端口都「自動」映射到公網上,可以通過ip+端口訪問你設備上運行的服務

理論上開啟此項服務沒有什麼嚴重威脅,畢竟所有端口暴露在公網上,只要自己設定好訪問權限(安全的強密碼),無非是多了點惡意掃端口與嘗試訪問你設備的請求而已

但實際操作中總會有這樣那樣的風險,比如某些你自己都不知道的服務開啟了某個端口,這個服務默認弱口令密碼甚至是無密碼,從而導致有被人侵入你設備的風險

再比如,你自以為設置了一個不宜暴力破解的密碼,可你其他社交平台的賬戶密碼被泄漏過、採用了一樣的組合或者有規律的組合(比如密碼是: 固定字符-對應平台名字或簡寫-固定字符)列入了別人的密碼字典中,從而被「撞庫」,成功了侵入了你的設備……

這不是危言聳聽,而是發生了數次的事實,案例之一(墳貼勿回):https://tieba.baidu.com/p/7428237910?pid=140069510307

不要映射不需要的端口至公網

請只映射您需要的端口,當此端口/服務不用的時候,及時的刪掉該條規則

不止可以保持規則的簡潔,也可以讓您更好的掌握自己的設置,同時避免一些沒必要的風險

給服務設置安全的賬戶及密碼

這是新手最容易踩坑的地方了,例如

qbittorrent

默認用戶名 admin 默認密碼 adminadmin。很多人暴露在公網的qb依舊使用着默認密碼

工具 -- 選項 -- WEB UI -- 驗證 欄中修改您的設置

> 設置一個安全的用戶名和密碼

> 您如果經常內網訪問,您可以將您的內網ip(或固定公網ip)設定為白名單

  • 如果您想特定的內網ip無需驗證直接輸入ip即可,如果您想整個ip段免驗證,可以如圖輸入 xxx.xxx.xxx.0/24

> 設定嚴格些的失敗限制

  • 比如失敗兩次禁止一天

transmission

部分tr的web ui甚至無密碼!

> 如果您用的unraid或其他便於操作的系統,直接在docker點擊tr的標題

> 設定用戶名與密碼


由於此教程是面向萌新的,目前只貼出了gui界面的修改操作。

如果您需要直接修改配置文件,但是遇到了某些問題(比如重啟後設置被回退),或許可以搜索谷歌: 客户端名称 配置文件名称 要设置的关键词 。例如

transmission settings.json password

https://superuser.com/questions/113649/how-do-you-set-a-password-for-transmission-daemon-the-bittorrent-client-server

映射監聽端口而非web ui端口

如果您沒有遠程訪問web ui的需求,您大可停止映射web ui端口,只映射監聽端口

注意,很多人自己有公網但是覺得連通性一如既往的差的話,可以嘗試下映射下監聽端口(監聽端口是哪個?以qb為例:選項 -- 連結 --監聽端口 )

映射外部端口為其他端口而非默認端口

如果您確實需要遠程訪問web ui,至少應該更改一下映射的端口,這很簡單,不用您操作docker之類的

比如tr的默認端口是9091,您完全可以在路由器里如此設定(以華碩路由器為例):

在 外部網絡 -- 端口轉發 中 添加配置文件 ,設置如下內容

  • 服務名稱:隨意即可,供自己辨識用
  • 外部端口:xxxxx(公網端口)
  • 內部端口:xxxxx(內網端口)
  • 本地IP位址:服務的內網ip

端口範圍:0~65535(建議範圍:10000~65535)


歡迎各路大神糾錯、建議、補充!

取自 "https://wired.scio.icu/index.php?title=萌新网络安全指南_—_—_谨防数据泄露&oldid=165"