飛牛 OS(fnOS)的 NAS 用戶們,這次的系統更新你一定要安裝。
前段時間,飛牛爆出了一個非常嚴重的安全問題:有用戶發現飛牛 OS 存在一個 0day(廠商尚未發現,黑客可以直接使用)的高危漏洞。根據社區分析,這一路徑穿越漏洞可以在未授權的情況下,訪問包括系統配置文件在內的 NAS 上的所有文件。
用一句話來說,就是在黑客手里,你的 NAS 已經成了一個沒有密碼的「公開盲盒網盤」:黑客想開就開,想看就看。
![]()
圖片來源:飛牛fnOS
針對這一問題,飛牛方面最初的回復倒是非常簡單,只是讓用戶別走 HTTP 明文訪問設備。當然了,在問題曝光并擴散后,飛牛也通過后臺更新的方式,悄悄把漏洞補上了。但很顯然,這種近乎亡羊補牢的做法沒能說服用戶,而悄悄更新不發公告的做法在當時也引起了不少用戶的反感。
而這起針對 NAS 的信息安全事件,也讓不少人開始關注 NAS 的信息安全問題。畢竟大家之所以選擇用 NAS,本質上就是想把信息以一種比公開網盤更可靠的方式保存。如果自己家里的 NAS 也被黑客開盲盒,那就性價比而言我們還不如直接買 10TB 的百度網盤。
那么我們又該如何確保自己 NAS 的數據安全呢?
Q1:除了飛牛的案例,NAS 還有哪些潛在的信息安全問題?
除了基于 0Day 漏洞的未授權直接訪問外,錯誤的端口或權限配置,甚至是與 NAS 同網段的其他設備的安全漏洞,同樣可以導致 NAS 的信息泄漏。
![]()
圖片來源:飛牛fnOS
一般來說,NAS 的最大安全隱患來源于暴露在公網的端口。很多用戶在安裝 NAS 時,為了方便遠程訪問,會開啟端口映射、UPnP 自動開放端口,甚至直接把管理界面暴露在公網。這種情況下,只要賬號密碼強度不夠,或者存在弱口令,暴力破解只是時間問題。
而從數據安全的角度看,除了相對無感的數據泄露,數據勒索同樣也是 NAS 的常見威脅。近幾年針對 NAS 的勒索攻擊并不少見,黑客會利用系統漏洞或弱密碼入侵設備,然后對文件進行加密,再留下勒索信息,要求用戶支付贖金。
但在雷科技看來,NAS 產品真正的安全風險在于 NAS 的系統更新頻率較低。作為一個靜默設備,NAS 不像手機、PC 那樣頻繁提醒升級,甚至不少用戶為了保證 NAS 全天在線,根本不開啟 NAS 的安全更新功能,買回去后就一直運行原始版本,幾年不更新。
對于這些「清朝老兵」,只要系統里存在已公開漏洞,就可能被自動化掃描工具盯上。
最后是權限設置過寬的問題。大多數家用 NAS 會開啟 FTP、SMB、WebDAV 等服務,但很少人會真正關注 NAS 的賬號權限,平時都是所有人共用一個超級管理員賬號。一旦網內某個設備被入侵,整臺 NAS 的數據都可能被拖走。
說到底,NAS 的風險不在于它是不是飛牛,而在于它本質上是一臺「長期在線的小服務器」。只要服務器長期在線,就意味著長期暴露在風險之中。
Q2:我就是個人用戶,信息不值錢,黑客也會盯上我嗎?
會。
事實上,黑客大概率不會「專門盯上你」,而是自動化掃描所有人。現在的大多數攻擊,并不是黑客手動挑選目標,而是通過腳本掃描全網開放端口,發現可利用漏洞就批量入侵。對攻擊者來說,你是不是個人用戶不重要,只要你的設備能被利用,就是價值。
舉個例子,入侵一臺 NAS ,黑客首先可以獲得你的所有數據。其中個人照片、身份證掃描件之類的個人信息可以打包賣錢。其次,黑客可以鎖定你的數據,只要有一部分人愿意付贖金「解鎖」,黑客就有錢賺。
![]()
圖片來源:綠聯NAS
但即使你的 NAS 空空如也,被黑客入侵的 NAS 可以被當成「肉雞」。現在 NAS 的配置越來越好,有的品牌甚至直接用一兩年前的老酷睿做 CPU。對黑客而言,這些高性能 NAS 也能用于 DDoS 攻擊或挖礦。實在不行也能用來轉發數據,當虛擬節點。
也正因 NAS 的風險遠不止「數據泄露」,盡管很多人誤以為自己的數據不重要,在自動化攻擊時代,所有 NAS 都有被入侵的價值。
Q3:插件也會帶來安全隱患嗎?
會,而且風險往往更隱蔽。
NAS 的生態越來越豐富,不少用戶會安裝第三方插件,這些插件有些來自官方商店,有些來自社區開發者。
問題在于,部分社區插件的安全性本身就存疑。很多插件為了運行方便,會直接使用管理員權限運行。一旦插件存在漏洞,等于給黑客開了一個后門。而社區插件如果開發者停止維護,漏洞就可能長期存在。
![]()
圖片來源:群暉
更現實的一點是,很多用戶會為了下載或影音而開啟額外端口和外網訪問權限。插件不是問題本身,但插件帶來的權限擴張和暴露面擴大,才是真正的隱患。
換句話說,你裝的每一個插件,都是在給 NAS 增加一個潛在攻擊面。
Q4:那如果我把網線拔了,備份數據就安全了?
并非如此。
把網線拔掉(斷外網),只能隔離網絡攻擊,但不等于數據安全。
舉個例子,大多數 NAS 在初始化時都會要求用戶選擇 RAID 模式。但 NAS 最常見的誤區之一就是把 RAID 當成備份。技術上,RAID 的作用是提高容錯能力,比如一塊硬盤損壞后數據還能重建,但它并不能防止誤刪除、病毒加密、系統崩潰等問題。如果你誤刪一個文件,RAID 會很忠實地把「刪除動作」同步到所有硬盤。
其次是硬盤老化。很多人組好 RAID 后幾年不動,一旦某塊硬盤出現壞道,在重建過程中其他硬盤也可能因為老化同步出問題,導致陣列崩潰。
![]()
圖片來源:群暉
但即使你不組 RAID、也用新盤,如果 NAS 固件從一開始就有問題,數據風險依然存在。不久前某品牌的 NAS 就出現過系統升級會清空存儲池的情況——即使你完全按照廠商的要求去做,數據也有丟失的可能。
技術上,真正安全的信息備份應該遵循「321」原則,即:三份數據,存儲在兩種不同介質,其中一份異地保存。
Q5:如何安全設置 NAS?
在數字安全領域中,從來都沒有「一鍵安全模式」。但就 NAS 來說,想保住數據安全,最有效的方式還是關閉不必要的端口映射和服務;如果沒有遠程訪問需求,就不要把管理端口暴露到公網。如果真的需要公網訪問,最好也用對應品牌提供的代理或穿透服務,盡量不要直接把 NAS 放在公網環境下。
解決完外部訪問的問題,我們再來聊聊 NAS 的賬戶問題。想保障數據安全,NAS 必須啟用強密碼和雙重驗證,同時將自己日常使用的賬戶與超級管理員區分開來,更不要所有人共用同一個賬戶。以前那種人人共用同一把萬能鑰匙的做法在,當前的網絡環境下風險巨大。
最后,在品牌可靠、穩定的前提下,雷科技建議大家盡可能及時更新系統和插件。即使為了安全不安裝系統更新,也要及時手動補上安全更新。哪怕廠商更新方式不夠透明,也要養成定期檢查版本的習慣。
![]()
圖片來源:綠聯NAS
當然了,想保住數據,雷科技還是建議大家定時做好真正的數據備份。重要數據至少保留一份獨立離線備份,比如用移動硬盤的冷備份,或者定期同步到另一臺設備或云端。
說到底,飛牛 OS 這次事件,既是一次危機,也是一次給國內 NAS 玩家的提醒。從「黑群暉」到現在國產 NAS 時代,國內 NAS 群體始終帶有較強的小圈子屬性和「自制」的標簽。和成熟的商業 NAS 相比,國內「自己動手」的做派也難免會在信息安全方面帶來紕漏。
但從好的方面看,隨著 NAS 認可度的不斷上升,我們也能看到越來越多品牌開始投身 NAS 品類。和以前黑群暉、自己搭 FreeBSD 服務器的做法相比,這些商用 NAS 雖然性價比不一定高,但在安全方面也確確實實為小白用戶提供了一定的保障。
說到底,在數字時代,NAS 里的數據本身未必值錢。但作為連通內網和外網、同時搭載大量關鍵數據的計算節點,NAS 一旦失去控制,代價可能無法估量。與其事后懊悔,倒不如從今天開始,把 NAS 的數據安全落實到實處,看好個人網絡數據的「金庫大門」。
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.