0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

2026-02-01 13:19:37 53点赞 175收藏 113评论

引言

这两天NAS真是精彩纷呈,飞牛的安全事件大家也都看完整个过程了。

这期间,各路大神纷纷显神通,最开始只是围绕漏洞问题讨论,后来随着了解越多,发现事情越来越不对劲。

最早的漏洞信息可以追溯到四个月之前

知乎知乎

某乎大佬Gavin其实在四个月前就披露过这些安全问题,但因为没有热度,并未得到官方重视。

而如今,回旋镖也来了。

评论区评论区

事件分析

首先,网上很多人还在轻描淡写这次事件,完全不懂0day漏洞的含义。

简单理解就是:你什么都不需要操作,就会导致信息泄露

如果你觉得你的信息不值钱那无所谓,但作为一个NAS系统,很多人将自己的照片、资料等信息都存在上面。

这些信息对于个人来说是无价之宝

蓝点网蓝点网

虽然漏洞存在很久了,但官方显然没有怎么关注。

只有等爆发了才开始着手解决。

而解决过程非常离谱,没有第一时间通知用户如何防范,而是让用户静默等待。

怕对方警觉怕对方警觉

很多人会说肯定不能公布漏洞,否则有心术不正的人利用怎么办。

按照正常逻辑,漏洞未修复前的确不应该公布。

但在已经发生大规模入侵事件之后,官方难道不应该出公告提醒用户断开网络或者直接关机?

如果漏洞修复需要两三天,这段时间暴露出来的用户岂不是依然存在风险?

官方公告官方公告

在用户已经帮官方明确分析出漏洞所在的情况下,官方依然用http明文访问这一点来说明是用户自己问题,有明显甩锅嫌疑

且在1.1.15版本更新之后,还是出现了访问安全问题。

版本推送难道不应该自己检查?

分析很精彩就完事了?

讨论讨论

最后,我并不讨厌飞牛系统。

相反,作为一个免费的NAS系统,飞牛对整个NAS圈的影响非常大,且一直在不断努力。

这点相信大家都明白。

但是公司的各种决策以及粉丝的极端言论让我非常厌恶。

让我看到了某mi以及某hua的影子。

而且这种人不管在哪里都有,甚至你写其他NAS的测评或者教程,也会有人跳出来说“不如飞牛”之类的话。

希望飞牛能不忘初心,同时提高公司公关能力。

说出来也非常讽刺,在如今的环境下,一个好的产品不仅仅需要产品好,处理不好这些问题一样会败人缘。

NAS安全如何避免?

经过这次事件,目前不知道有多少人受害。

根据蓝点的信息,非官方消息称有30多万设备暴露

那么普通人在不懂网络或网络安全的情况下,如何避免类似事件呢?

毕竟谁也不想某天在XXX专区看到自己的信息被曝光。

雷池雷池

这里介绍的内容不含推广

雷池其实蛮好用的,再加上有社区版提供,作为个人用户非常适合。

当然,最理想的还是NAS尽可能采用https协议,尽可能关闭不必要的端口。

必要时可以直接断网甚至断电来规避风险,例如这次事件。

SSH开放SSH开放

雷池的部署也并不难,官方提供了一键脚本。

这里用极空间作为展示,但实际上任何支持SSH的NAS都可以采用。

具体步骤如下:

打开极空间的SSH端口,如果担心出问题,可以开启仅限局域网访问。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

在极空间中创建雷池的存储路径备用,后续安装时雷池安装位置就在这里。

需要记住它的真实路径,可以通过sftp查看,也可以去compose中查看。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

打开SSH工具,连接到NAS后输入sudo -i获取root权限。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙
  1. 获取权限后,直接输入一键安装脚本命令:

    bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

输入1进行安装,随后会提示安装路径,最后输入管理端口。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

耐心等待镜像拉取和容器部署。

完成安装后,会给出对应的管理面板地址以及默认用户名和初始密码。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

登录后即可看到雷池的管理界面。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

要使用防护,直接在防护应用中添加即可。

例如常用的NAS访问端口、Docker端口、反代端口等。

0DAY漏洞!NAS安全如何抵御?极空间部署雷池防火墙

写在最后

最后,还是得说,安全漏洞任何系统都有,这是不可避免的。

毕竟没有绝对安全的系统。

不管是什么牛,关键点在于普通用户不知情,且官方推卸责任、未及时告知用户临时处理办法。

漏洞爆发后不断有用户中招,这一点其实不应该发生。

免费不是免罪金牌,有问题该说就该说。

熊猫的留言区和后台都是开放的。

这次并不是黑飞牛,个人还是非常喜欢飞牛系统。

至于结晶粉,我也不是第一次被骂。

之前说过几次问题,后台私信我家人的都有。

但有问题难道不该说吗?

免费就是免罪金牌?那我文章你们免费看了,岂不是也应该给我免罪?

以上便是本次分享的全部内容了。

如果你觉得有趣或者对你有所帮助,不妨点赞收藏。

最后也希望能得到你的关注,咱们下期见!

尾图尾图

尾图

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
113评论

  • 精彩
  • 最新
  • 置顶 学起来 [高兴] [高兴] [高兴] 免得那天自拍帅照泄露了

    校验提示文案

    提交
  • 我几个月前入坑飞牛的时候就想好了,这个东西就适合做影视服务器,如果不是apple tv用户,飞牛影音几乎没有平替,他的刮削速度和载入速度都是一流的,我只有在看电影的时候打开它,其他时候一律关机

    校验提示文案

    提交
  • 就是官方不作为,比如fn connect他们完全可以Web server层面做拦截,减少损失的,这是继续开2个礼拜空门等着别人继续玩。有漏洞不可怕,这种对待漏洞和用户的态度太可怕了,保不齐以后用户多了出更大纰漏

    校验提示文案

    提交
    是的,漏洞其实正常,但这个态度和方式真的欠佳

    校验提示文案

    提交
    感觉写个简单的 nginx 规则就可以先简单拦截下。。

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 中招了 [皱眉] ikuai看了历史连接数这一个来星期好家伙30多万个,怪不得用了几年都没出过问题的网最近断了好几次,已经把飞牛物理关机了。
    然后想问下这种情况会影响我已经端口转发的其他设备么,比如esxi和esxi下的虚拟机。我万网买的域名,最近这段时间还发过几次短信给我说域名解析有更改之类,我都还还没在意 [肿包]

    校验提示文案

    提交
    一样,隔一两天就收到解析提醒,然后飞牛干到最高139万连接数。。。

    校验提示文案

    提交
    这要看你的其他虚机或者esxi的安全防护做的咋样。。

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • 群晖出过这事嘛?我现在用的白裙 就是怕出这事 所以给老婆用的远程都是qc 不敢给她用其他的 叨叨慢也不管 现在公网IP也没了 踏实了 连我自己都用qc了

    校验提示文案

    提交
    出过,但群晖基本当天就修复了,而且会通知并强制更新

    校验提示文案

    提交
    群晖可以设置几分钟内多少次密码错误封ip的

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 任何系统都会有漏洞,及时修了就行了。另外端口管控本地防火墙策略都很重要

    校验提示文案

    提交
    漏洞肯定都有的,但这个处理方式其实不太行,其他其他还好

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 每个系统都不能避免这种情况,一个新兴的系统,肯定还不够完善,大家注意做好防范给它更多的发展空间。

    校验提示文案

    提交
    是的,做好防范其实也能规避大部分特殊情况了,但飞牛的处理还是欠佳

    校验提示文案

    提交
    开发理念就有问题,这次是这种恶性 bug。如果还是这种开发风格,下次还会爆出更多的bug。

    校验提示文案

    提交
    收起所有回复
  • 飞牛应该严查内部人员,是否有敌特份子,需要政审,不能技术好就放进来工作

    校验提示文案

    提交
    你认真的吗?

    校验提示文案

    提交
    你可能不懂,不然不会这么说

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 大都明文登录挂公网被扫出漏洞很正常 [邪恶]

    校验提示文案

    提交
    官方自己的fn穿透也没用 [皱眉]

    校验提示文案

    提交
    收起所有回复
  • 没仔细看,直接问吧,是不是对外全用https就能避免触发?我比较怂,不敢用明文http,一直搞的反代,对外全用https,但是主路由公网确实开了端口

    校验提示文案

    提交
    并不是https和飞牛官方穿透也会中招

    校验提示文案

    提交
    只要在网上,就可以连了

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 如果关ssh是不是就没事了?

    校验提示文案

    提交
    并不是哦,这次是只要连接到互联网的都有风险,除非nas隔绝了互联网

    校验提示文案

    提交
    啊这。。。大佬,我是装好后就改了端口号,关了ssh。对了,我没开飞牛的那个fnconnect和ddns,也会中招吗 [喜极而泣] [喜极而泣] [喜极而泣]

    校验提示文案

    提交
    收起所有回复
  • 我的群晖有一段时间夜晚的日志有很多异地ip扫,发现后我立马给所有账号上了二次保护!同时设置为晚上9点以后自动关机。早上8:30开机。扫ip一般深夜发生!

    校验提示文案

    提交
    因为一般来说他们会用海外IP做跳板,要么就干脆就是海外的,时差关系所以晚上居多

    校验提示文案

    提交
    记得群晖的防火墙可以设置区域,只允许国内访问,特殊端口只允许本省访问。

    校验提示文案

    提交
    收起所有回复
  • 🌿,我的还是开的22端口没偏移,但我是移动大内网,用ddns托管IP6外网访问,没谁无聊去扫IP6吧。前段时间本来偏移了的,不知道什么时候什么原因又回22端口了

    校验提示文案

    提交
    这么一看移动大内网反而成了保护,哈哈哈哈哈哈

    校验提示文案

    提交
    内网自带防火墙 [得意]

    校验提示文案

    提交
    收起所有回复
  • 是不是没有公网ip和不用fn connect就安全了?

    校验提示文案

    提交
    这两家隔绝基本就算是断开互联网,当然安全啊

    校验提示文案

    提交
    收起所有回复
  • arm的有影响吗?

    校验提示文案

    提交
    没有,这次只是x86受影响

    校验提示文案

    提交
    有的,只是不会中病毒,路径越权漏洞还在

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 问题是、免费的东西需要负责么

    校验提示文案

    提交
    自然是要负责的,比如你抽奖中了一辆车,车子存在质量问题你一样可以索赔。

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 今天还收到短信让升级,不升级的停止中继服务。

    校验提示文案

    提交
    这事已经发生半个多月了,已经有很多资料在外网爆出来了,控制不住了才只能这样了

    校验提示文案

    提交
    收起所有回复
  • 本来想说又有大量流出了,但转念一想,玩这个的基本上就我们理工臭屌丝……恐怕最多的就是片了。

    校验提示文案

    提交
    哈哈哈哈哈,的确是大量流出

    校验提示文案

    提交
    收起所有回复
  • 问一下,如果我买个vps开softether服务,家里一直连着,在外边需要访问家里也是连到这个虚拟局域网上,这样安全吗

    校验提示文案

    提交
    这样是安全很多,至少这种情况下你是不会中招的

    校验提示文案

    提交
    收起所有回复
  • 绿联arm有影响吗

    校验提示文案

    提交
    没有啊,都不是一个系统啊

    校验提示文案

    提交
    收起所有回复
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
175
扫一下,分享更方便,购买更轻松