请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
在美国,不玩 BT PT 什么的,就备份一点自己买的动漫光盘和一些 4k 录像,预估未来 5 年数据量 30TB 以内,有什么高安全性(必须支持全盘加密、SMB 传输加密)高性价比的 NAS 方案?不喜欢折腾,最好是成品
drymonfidelia · 2025 年 6 月 16 日 · 6478 次点击这是一个创建于 213 天前的主题,其中的信息可能已经有所发展或是发生改变。
SMB 传输加密用来防止内网不可信设备 ARP 攻击
 |
1
duanxianze 2025 年 6 月 16 日
成品还有啥好说的,直接买群晖不就好了,30t 买个 4 盘位,单盘 16t*4,做 raid5
|
 |
2
drymonfidelia OP  1
|
 |
3
KenThompson1729 2025 年 6 月 16 日
qnap 买回来之后装上最新版 debian
|
|
4
drymonfidelia OP 不知道那些用群晖的企业是怎么做安全防护的?
|
 |
5
totoro625 2025 年 6 月 16 日 1
|
 |
6
codehz 2025 年 6 月 16 日
@drymonfidelia 有没有可能是因为其他产品用的人少根本没人报 cve ,只有没人用的,和有一堆 cve 报告的两种产品
|
|
7
drymonfidelia OP 功能上没有要求,不需要转码什么的,如果能有个相册最好(最基本的内网在线预览功能就可以,不需要人脸识别什么的)
另外想问下 SMB 客户端是不是没办法像 TLS 那样验证服务器身份,防止 MITM ?我研究了下是没找到这样的文档,看起来还是只能挂载 WebDAV over HTTPS 或者 FTPS |
|
8
drymonfidelia OP @codehz 群晖功能太多了,很多关不掉,攻击面比较大,而且闭源黑盒社区不能审计代码
|
 |
9
Tianao 2025 年 6 月 16 日
重安全的 CIFS/SMB NAS, Windows Server 和 NetApp 是唯二的神,再加上高性价比的话,就只有 Windows Server 了。
|
|
10
drymonfidelia OP SMB 客户端是不是没办法像 TLS 那样验证服务器身份,防止 MITM ?我研究了下是没找到这种功能的文档
@Tianao |
|
11
drymonfidelia OP @Tianao 我标题里的 SMB 加密主要是解决内网传输的安全问题,如果有别的安全替代方案也可以
|
 |
12
whileFalse 2025 年 6 月 16 日
你不就家用么,搞这么复杂干什么
|
 |
13
zxjxzj9 2025 年 6 月 16 日
不想要群辉的话,winserver 和 linux 自己选咯。毕竟你要求这么多,发行版已经算折腾的少的了,特别是现在有 ai 你就把这需求跟 ai 讲让他给你写个一键脚本,说不定就搞定了,搞不好比用成品系统的 GUI 还快。
|
 |
14
alfawei 2025 年 6 月 16 日
@drymonfidelia #2 群晖会一直补漏洞,其他小品牌估计不补。你看当年 WD 的因为漏洞被搞的。 其他家不是没有漏洞,是没有到一定的量级,可以预见其他几家品牌搞不好以后漏洞吃大亏的
|
 |
15
willwon1 2025 年 6 月 16 日
看你的描述就足够折腾.....
|
 |
16
yu13n 2025 年 6 月 16 日
自组硬件 + linux / bsd ,安全性拉满,最大缺点就是便利性几乎为 0
|
|
17
duanxianze 2025 年 6 月 16 日
@drymonfidelia #2 这有啥的,哪个大规模使用的系统 bug 不多? windows 这么多年了不还是一直打补丁
|
 |
18
dilidilid 2025 年 6 月 16 日 1
群晖你都嫌漏洞多那你还买啥成品?难不成你觉得不披露=没漏洞?
|
|
19
dilidilid 2025 年 6 月 16 日
哦还要高性价比,还在美国,哥们你真不是来玩抽象的吗
|
 |
20
allplay 2025 年 6 月 16 日 via Android
这点需求实在是太简单,随便买个台式机,最近几年的主板上基本都有 TPM 加密芯片,Windows 开 bitlocker ,磁盘静态加密,SMBv3 。
|
 |
21
oldboy627 2025 年 6 月 16 日 1
|
|
22
drymonfidelia OP @dilidilid 只是不想要买太低性价比的硬件,以前买的企业级硬件出二手至少 70%off
|
|
23
allplay 2025 年 6 月 16 日 via Android 1
Windows:
强制 SMB 签名:为了确保 SMB 共享过程中的数据完整性,可以通过组策略强制启用 SMB 签名。签名可以有效防止中间人攻击和数据篡改。 配置路径:计算机配置 > 管理模板 > 网络 > 网络安全 > SMB 服务器签名 |
|
24
dilidilid 2025 年 6 月 16 日 2
@drymonfidelia 没懂你的意思,你买 4 年前的消费级硬件板 U 出二手也 70% off 呀。成品除了群晖甚至根本不存在二手市场,三折出售已经算不错的了。你的这个需求随便弄个成品或者弄个 Windows 主机都行,只要不开放端口到公网没人拿漏洞打你,不要想太多了
|
|
25
Tianao 2025 年 6 月 16 日 via iPhone 1
@drymonfidelia #10 有的。
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-signing-overview https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview #11 技术上,应用层认证和加密不可被替代;工程上,只要你的物理环境和网络基础设施是可信的(且受到持续保护的),划分 VLAN 、实施 DAI 和 IPSG 、实施端口安全,乃至实施保护的端口/PVLAN 、ACL 、VRF 都可以解决地址安全(真实且被授权)问题。 |
 |
26
Kepy 2025 年 6 月 16 日
国内买国外产品,保安全,国外买国内产品,保平安。
|
 |
27
ranaanna 2025 年 6 月 16 日
@drymonfidelia 安全的 SMB/CIFS 并不需要 TLS 。如果想要确保安全,实际上只要用最新的 Windows Server 版本,搭建 AD 域及域控和 DNS ,DNS 要 enable dnssec ,file server 强制 SMB 3.1.1 (即强制 pre-authentication integrity ,V1V2 当然绝对要禁掉的)即可。如果用 Linux ,最新版的 SAMBA server 应该也能做到,域控还是必需的。当然,这些都是成品满足 OP 的要求
当然,真这样做的话可能就会有老旧的客户端连不上啦。没用过群晖但是可以推测也是可以做到的,大概率就是禁止或强制开启某些选项把。但是出于兼容的考虑其实当前 SMBV2 还是大行其道的呢 最后,想说的是漏洞多其实并不可怕,只是表明产品比较 popular |
 |
28
kome 2025 年 6 月 16 日
二手服务器, 带 12 块 3.5 吋硬盘笼的那种, 带不带 raid 卡看自己选择, 硬 Raid 还是软 Raid 自己选择.
硬盘二手还是全新看自己选择. 系统装 Windows server, 不用去盗版激活, 下载个 180 天试用版, 后面不去激活系统也能用. 开启 Bitlocker 加密, 自己记好密钥, 只用 SMBv3. |
|
29
alfawei 2025 年 6 月 16 日
|
 |
30
mayli 2025 年 6 月 16 日 via Android
你内网都有不可信设备了
那还内个毛 不喜欢折腾就成品群晖 没必要考虑别的 |
|
31
allplay 2025 年 6 月 16 日 via Android
smbv1 是绝对不能用的,smb v2 也可以抛弃。
smb v3 是 2012 年出现的,现在还有什么软件是 2012 年的,且不可替代? |
 |
33
RicardoY 2025 年 6 月 16 日
你需要一个 windows server
|
|
34
ranaanna 2025 年 6 月 16 日
@allplay 真巧。2012 年本人买了一个 Buffalo linkstation ,到现在整 13 年连硬盘都没有坏掉过所以也没舍得淘汰,最新固件 20130731 默认还是 v1 幸好后来可以 hack ssh 进去改为 v2 ,一直正常工作直至去年域控制器升级成 server 2025 之后无论如何也不能加入域(估计和 SMB signing 有关),最后没有办法只好另外开了一个 server 2022 单独给它作域控,
还能凑合用,windows/macos/linux 的客户端都还支持,也没觉得有什么不安全的 |
 |
35
windyboy 2025 年 6 月 16 日
truenas mini ?
|
|
36
allplay 2025 年 6 月 16 日 via Android
@ranaanna
openmediavault 里面有个功能叫 remote mount ,其它系统应该有类似的但不知叫什么。具体就是: 把你的 smb v1 的设备 mount 起来,然后开一个 smbv3 的服务出去,WebDav 也行,你原来的 smb v1 只是新的服务底层的一个目录。底层虽然不安全,但暴露给外面是安全的。 就相当于内网 HTTP 没有加密,但是反代后 HTTPS 加密了。 |
|
38
allplay 2025 年 6 月 16 日 via Android
楼主的安全涉及到几个层面:
传输加密 smb v³加密 静态加密 bitlocker 实现,需要 TPM ,可选 签名认证 smb v3 签名认证 登录保护 既然需要 bitlocker 了,当然还要保护登录,这个也靠 TPM 这些全部实现,在消费级产品里面,只能靠 Windows ! |
 |
39
ddczl 2025 年 6 月 16 日
不折腾的话,我觉得威联通比群晖好,因为价格便宜,该有的功能都有,经过市场验证。后台稍微复杂但你不折腾
|
|
41
ranaanna 2025 年 6 月 16 日
@allplay #36 对于 windows 就是,共享“已挂载的共享文件夹”的文件夹,简单而又有趣...不知道是否是可以的
另外 OMV 似乎不支持加入域,只能是 local users and groups? |
 |
42
FateTrack 2025 年 6 月 16 日
Windows 系统本身就有 smb 和 ftp 等等, 能实现一大堆功能, 安全性看你组策略和额外软件配置.
就是移动端访问我没找到什么好用的应用, 比如苹果文件系统自带 smb 访问, 但是非要下载视频才能看, 不能直接播放. 而且 smb 不少软件没支持最新的协议, 导致传输速度好低. |
 |
43
Regened 2025 年 6 月 16 日
好奇什么场景内网会有不可信设备,难道 op 是准备在公司/学校局域网里架 nas ?
|
 |
44
AmericanExpress 2025 年 6 月 16 日 via iPhone
二手 Mac mini + hdd enclosure ?
apfs 能加密 Sharing 里设好账户访问权限 设置好反代也能 access from anywhere 我自己是类似的配置(退下来的 Mac Studio+usb 直连外接硬盘),缺点就是 macOS 没法看 usb external drive smart data 如果看中这个还是自己组个 nas 吧 |
 |
45
iv8d 2025 年 6 月 16 日
成品那必须群晖了,你买了还有售后呢
|
 |
47
ern 2025 年 6 月 16 日
@drymonfidelia #4 非互联网的大企业,哪个企业自己造轮子?没钱的企业就自己请 IT 打补丁,有钱的企业就买原厂服务。互联网大企业自己搞云、搞平台,多数也是为了竞争优势和成本考虑。
|
 |
48
vain 2025 年 6 月 16 日
北美且需求简单的话,ubnt nas pro 799 刀 七盘万兆
|
 |
49
zsxzy 2025 年 6 月 16 日
没什么价值的数据谁有那时间来黑你 ..
|
 |
50
feikaras 2025 年 6 月 16 日 via iPhone
30T 就 1-2 个盘,还要啥 nas ,你电脑没 sata ?
|
 |
51
jojobobo 2025 年 6 月 16 日
@whileFalse 他在 us, 还要加密,放视频, 那不是怕佛波了上门,被抓到把柄,啊, 那可是美帝,什么事情都能干出来
|
 |
52
bullfrog 2025 年 6 月 16 日
对于对别人没什么价值的数据, 忘记密码/无法解密的风险远远大于被盗的风险
|
 |
53
coymail 2025 年 6 月 16 日
群晖纯内网访问+zerotier+按需桥接
|
 |
54
FirstMing 2025 年 6 月 16 日
自己买个台式机,刷个系统当 nas 吧,或者买个 macmini 当 nas 用。
|
 |
56
ryd994 2025 年 6 月 17 日 via Android
内网防什么 MITM ?说了多少次了,智能家居不要连 WiFi 内网。单独开个访客网络给不需要连接内网的机器用。
我内网只有自己的手机电脑打印机。打印机还禁止连接外网了。 @drymonfidelia #22 那你买二手不就得了。我的 nas 是 x99 洋垃圾。除了硬盘,剩下的部件加起来 100 美元不到。只有电源和硬盘是新的。 |
|
57
drymonfidelia OP @ranaanna 在 NAS 上搭建域控,会不会导致万一那天 NAS 被黑,我电脑一起被黑了?我没折腾过域控,但我记得域控能直接在客户端设备上以 UAC 权限运行程序
|
 |
58
msg7086 2025 年 6 月 17 日
又要成品方案又要高安全性又要高性价比,这要求确实有点抽象。
要成品方案买群辉,要高安全性高性价比就自己弄一台超微机架之类的装个 debian/ubuntu 跑 zfs 。 |
 |
59
ExplodingDragon 2025 年 6 月 17 日
你的需求都这么明确了,为什么不是从零到一自己构建 ?整一台 HP 的 micro server 或者任意 x86 支持 ecc 内存的机器然后部署 debian / rhel 搭积木
|
 |
60
manateelazycat 2025 年 6 月 17 日
老板,懒猫微服了解一下,自带超强内网穿透,比 Tailscale+Cloudflare 更快, 不依赖公网 IP,自带 MFA 认证,防黑客攻击
懒猫微服 = 传统 NAS + Cloudflare + Tailscale + VPN 虚拟专网 + Authy + Nginx + AI 大模型 + 微信小程序 + AppStore + KVM/Docker/PVE + iCloud/TimeMachine + Chrome 电视 阿里安全专家用户笔记 http://post.smzdm.com/p/aprqvvl9/ 支持全自动同步 iCloud 相片,同步好后,Android 或 PC 也都支持直接查看,一家人使用非常方便。内置最大支持 16T 空间,存个上百万张照片妥妥的,iCloud 也退订省钱了。 |
|
61
ranaanna 2025 年 6 月 17 日
@drymonfidelia #37 不是说在 nas 上建域控,而是(为了安全)在局域网内最好要有若干 servers ,起码有两个 AD domain controllers, 一个 radius (NPS) server, 等等,nas 上的 file server 才有网络高安全性。这在当前虚拟机横行的年代并不困难,硬件随便一个低功耗低配置低价格 mini pc 即可,软件 windows server 和 linux 都可以,这都是成品方案,不算折腾
|
 |
62
Chihaya0824 PRO 你不能指望一个 nas 就防下了所有,你想要安全内网肯定要有流量审计设备的,说实话谁都不能保证自己家产品没有安全问题
所以安全性并非单点,应该是要一套解决方案才正常吧 |
 |
63
piero66 2025 年 6 月 17 日 via Android
内网蜜罐拉满,再装套审计,nas 系统随边用
|
Select Language