总的来说就是暴露给外网的服务权限尽量少,功能尽量简单,越简单越少就越安全
比如你映射一个docker里的emby,首先简单的web登录很简单,很难有什么漏洞;即使真的有,最多也就是你映射给docker的有写入权限的目录沦陷,别的不太可能受波及
但是你映射出去一个smb就不一样了,smb超级复杂,真有漏洞也不奇怪;不管是windows的专有smb还是linux的samba都和内核有比较深的绑定,真有什么漏洞有概率一举拿下整个系统,甚至可以把这个系统当跳板攻击内网其它设备。所以尽量不要给公网映射smb,要么用webdav/ftp之类的凑活一下,要么用tailscale之类的虚拟内网
ssh你用私钥登录其实不会有啥问题
你的数据一般只对你有价值,所以要么把你数据加密一下勒索你,要么用你电脑挖矿,别的也没啥了
比如你映射一个docker里的emby,首先简单的web登录很简单,很难有什么漏洞;即使真的有,最多也就是你映射给docker的有写入权限的目录沦陷,别的不太可能受波及
但是你映射出去一个smb就不一样了,smb超级复杂,真有漏洞也不奇怪;不管是windows的专有smb还是linux的samba都和内核有比较深的绑定,真有什么漏洞有概率一举拿下整个系统,甚至可以把这个系统当跳板攻击内网其它设备。所以尽量不要给公网映射smb,要么用webdav/ftp之类的凑活一下,要么用tailscale之类的虚拟内网
ssh你用私钥登录其实不会有啥问题
你的数据一般只对你有价值,所以要么把你数据加密一下勒索你,要么用你电脑挖矿,别的也没啥了
