Pomoc Bezpieczna konfiguracja QNAP

[tyszek]

Witam wszystkich!

Niestety deadbolt mnie dopadł, nie było czasu na przemyślenie konfiguracji i prawdopodobnie kilka błędów się znalazło przez co QNAP poległ.
Teraz w wymuszonej sytuacji chciałbym tak wszystko ustawić aby nie mieć kolejnych niespodzianek w przyszłości.
Z góry dzięki za pomoc!!

Zakładając że wszystkie wskazówki dotyczące bezpieczeństwa zastosuję to mam kilka pytań na które niestety nie znalazłem odpowiedzi ;/
(wyłączenie SSH, wył. Telnet, konto admina, dwuskładnikowe logowanie, QVPN, otwarty na routerze tylko port VPN, Qfirewall)

1. Na Qnap będą głównie 2 rodzaje plików: 1. Archiwum domowe 2. Pliki pobrane z internetu. Czy jest jakaś możliwość oddzielić te dane aby jakiś ransomware nie dopadł archiwum?
2. Czy jest jakaś możliwość konfiguracji QNAP aby dla qbittorenta nie otwierać portów na routerze a być dostępnym na trackerach?
3. Czy jest możliwość połączenia się poprzez VNC w komputerem (który jest w sieci lokalnej z QNAP) poprzez OpenVPN zainstalowany na QNAP
4. Czy po zainicjowaniu od nowa NAS'a zniknie wspomniany deadbolt czy trzeba jeszcze jakieś rzeczy zrobić?
5. Jaka jest różnica w instalacji PLEX'a i Qbittorenta bezpośrednio w QNAP a instalacji w kontenerze?

Wielkie dzięki za pomoc

 

[Ice]

Cześć.
1. Da się, pod warunkiem, że dysk z archiwum będziesz odpinał od Qnapa.
2. Porty są potrzebne do seedowania, jak tego nie robisz, nic nie musisz forwardować.
3. Tak
4. Tak
5. Docker - wyizolowane środowisko, w każdej chwili możesz wyłączyć, przełączyć, wyeksportować itd.

 

[tyszek]

Dzięki za odpowiedź!
Łącząc odpowiedzi z pkt 2 i 5 mam pytanie.
1. Czy robiąc qbittorrent na dockerze i do niego przekierowanie portów w jakiś sposób ograniczam możliwość włamu czy to bez większego znaczenia?
2. Czy mając przekierowanie portów pod kątem QVPN mogę z tego przekierowania skorzystać aby seedować qbittorent?

Pozdrawiam

 

[Ice]

1. To bez większego znaczenia.
2. Nie. Do seedowania używa się TCP, do VPN UDP.

 

[Silas Mariusz]

1. Czy robiąc qbittorrent na dockerze i do niego przekierowanie portów w jakiś sposób ograniczam możliwość włamu czy to bez większego znaczenia?

a) tak
b) włam nie jest wycelowany nigdy bezpośrednio na Ciebie
c) jeśli będziesz ważną personą, to nawet Docker, chroot czy VM nie pomoże... (czyli odp. a = NIE)
Spór o bezpieczeństwo Dockera, albo Chroota trwa od jakiegoś czasu. Wygoogluj "Docker escape" albo "Chroot break" i dowiesz się, że to pic na wodę.
https://book.hacktricks.xyz/linux-unix/privilege-escalation/docker-breakout

Prywatnie uważam, że nie ma sensu uruchamiać Plexa na dockerze skoro oficjalnie Plex jest na QNAP.

2. Czy mając przekierowanie portów pod kątem QVPN mogę z tego przekierowania skorzystać aby seedować qbittorent?

Nie.
Czytaj Wiki na forum: Jak to zrobić? - Jak zabezpieczyć serwer przed atakami typu Qlocker a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska

 

[Usunięty użytkownik pigers]

Prywatnie uważam, że nie ma sensu uruchamiać Plexa na dockerze skoro oficjalnie Plex jest na QNAP.

Tak - i może WPIERDOLIĆ wszystkie zasoby , z dockerem można je przynajmniej ograniczyć.
Wybierz co wolisz!

 

[Silas Mariusz]

 

[Usunięty użytkownik pigers]

dokładnie tak samo myśle o tym ;>

 

[Damian]

Jeśli chodzi plex w Dokerze to na minus, że potrafi się zaciąć na skanowaniu biblioteki z filmami z użyciem nowego agenta na legacy nie ma problemu. Co ciekawe serialami nie ma problemu. A na plus przeważnie nowsza wersja niż to co jest w repo qnapa i można zrobić tak że sam się uaktualnia.