最近時間比較多架了Immich取代掉Google相簿
架完又手癢買了一個便宜網域讓公網也可瀏覽
不過全部弄完之後就有點擔心安全問題
架設方式是這樣的:在TrueNAS上開一台Ubuntu虛擬機,Immich架在虛擬機上用SMB讀TrueNA
S的照片;
網路方面則是中華電信->路由器->主機,使用cloudflare tunnel內網穿透加反向代理,路
由器沒開port
cloudflare則把能點的安全限制都開最高,WAF鎖國家非台灣、threat score>5, known bot
s
網域託管在CF上用它自動辦好的https和CA,一個禮拜下來每天都擋超過50個外國IP
想請問這樣的架構算是安全嗎?
我在想安全分兩方面,第一個是虛擬機的部分,上面只有immich等docker服務,有問題重架
就可以;第二個是TrueNAS本身資料安全,入侵者能透過虛擬機更改NAS本身的檔案嗎?(虛
擬機SMB權限只可讀寫NAS照片資料夾,但主要資料也就那些照片)
謝謝各位大神!
如果你所謂的安全是指資料不要被刪除或加密,那多備份幾份比較實際。
作者: fonzae (fonzae) 2024-06-04 20:17:00
乖,防火牆買下去,限定來源+憑證+2FA
作者: hueddy90 2024-06-07 20:12:00
買台防火牆頂著吧
防火牆的部分有爬文看人家說新手都啥都不懂買來也不會設定,還是說這也算是快樂折騰的一環xd
作者: fonzae (fonzae) 2024-06-13 20:48:00
要資安就是花錢,想要省錢就是學
買fortigate 有授權的.有簡易 WAF 可以用....
作者:
HiJimmy (å—¨ å‰ç±³)
2024-06-15 23:47:00至少也得將NAS放在路由器後面,然後路由器全擋,只開VPN還得改奇怪的PORT,這樣兩道密碼認證,想要入侵也得先破VPN,後面還得攻主機漏洞或是破密碼
其實是..用 CDN 先擋XDDD , allow CDN IP
作者:
adios881 (Adios)
2024-10-15 05:57:00幹嘛不tailscale+funnel