发现自建云盘暴露到公网都挺可怕的

alist
https://www.google.com.hk/search?q=由%20AList%20驱动

chfs
https://www.google.com.hk/[email protected]

直接搜索网盘页面的关键字都能搜索出一堆。某些网盘直接没有设置密码,直接打开,绑了第三方网盘的,例如阿里云、天翼云,直接一览无遗。
我现在是用IP白名单,还有什么其他方案呢?

绑了域名的话可以用 cloudflare 的 zero trust 加一道验证

1 Like

我在用alist,貌似在用户里不启用guest就可以(现在默认是不启用的),为了以防万一我还开了登录两步验证2FA

使用 alist 的话,可以直接扫描 api/fs/list 接口,一览无余

尽量使用虚拟专用网的方式连接到自己的服务器,隔离内网是最有效的方法。暴露在外的服务越多,可攻击的范围越广。

软件本身的漏洞是无法避免的,假定你只是使用者,你知道有漏洞的时间点都很晚了,可以说基本都是从升级日志中了解到的。

举个例子,Android 的三月份安全更新补丁和其中提到的 “有迹象表明 CVE-2023-20963 可能受到有限的、有针对性的利用”。

虚拟专用网虽然有,但是性能太低。只有20M左右,浪费我的百兆专线。还是维护自己的IP白名单靠谱

这个应该就不是漏洞的问题吧。机器有公网ip,就不应该直接用匿名共享啊

我也没说这就是漏洞,只是风险点就在这里,会把风险扩大。
一个是设计上纰漏,没有设计robots.txt的开关和默认配置之类的。
二是直接面向搜索引擎暴露了地址,网盘程序本身暴露其他漏洞的时候,就会容易成为攻击目标,chfs是有明确漏洞的,之前还被上面扫到了,警告了。
三是暴露地址之后,服务器其他端口也可能被攻击。
四是搜索引擎直接把这种个人用途的站点摆出来,态度也是真开摆。
五是这些网盘很多是为了小范围小圈子共享方便,虽然不是什么敏感东西,但是别人看就不太舒服,还有一些下载器随意拉流量。以前试过放一些常用的操作系统镜像,莫名其妙的就被多个IP下载,估计变成某个P2P的源了。

1 Like

我是回答“自建网盘暴露到公网”中的暴露,区别于博客这种主动“上线”性质的。我是说只要在公网开放访问就必定有疏忽和漏洞,建议是主动隔离内网,避开在网络安全方面的短板。

简单说,你点开这两个链接,里面既有主动公开的分享站,也有公司和个人自用,但有的是开了账号和密码保护的。对于使用账号和密码就能保护自建云盘,我是持怀疑态度的,例如 alist 的 issue 里之前就有提到可以通过路径加常用词遍历从而越过密码。

加密解密没有硬件加速吗?之前看别人的低功耗软路由都能跑几百兆的。

其实任何服务暴露到公网都是很可怕的。

这是我们一台服务器的ssh登录失败记录,这还是装了fail2ban之后的事。


之前加密货币狂热那段时间甚至要几周清理一下lastb的日志……

直接开只允许key登录,不用密码,不就没事了吗?对 ssh 的安全性还是信任的。