请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
日志经常有人乱撞密码。
层级 日志 时间 用户 事件
警告 连接 2025/11/10 08:51:49 atempo04 User [atempo04] from [202.150.90.44] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:49:43 atempo03 User [atempo03] from [220.133.88.81] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:48:21 atempo02 User [atempo02] from [71.164.83.186] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:46:18 atempo01 User [atempo01] from [210.175.249.189] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:44:25 service User [service] from [2.227.240.41] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:43:05 atempo08 User [atempo08] from [217.174.61.147] failed to sign in to [DSM] via [password] due to authorization failure.
请问有设么方法防止?
层级 日志 时间 用户 事件
警告 连接 2025/11/10 08:51:49 atempo04 User [atempo04] from [202.150.90.44] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:49:43 atempo03 User [atempo03] from [220.133.88.81] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:48:21 atempo02 User [atempo02] from [71.164.83.186] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:46:18 atempo01 User [atempo01] from [210.175.249.189] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:44:25 service User [service] from [2.227.240.41] failed to sign in to [DSM] via [password] due to authorization failure.
警告 连接 2025/11/10 08:43:05 atempo08 User [atempo08] from [217.174.61.147] failed to sign in to [DSM] via [password] due to authorization failure.
请问有设么方法防止?
 | 1 ncbdwss 35 天前 群晖没有 2fa 吗? |
 | 2 KagurazakaNyaa 35 天前 不暴露到公网就好了 |
 | 3 hackerfans 35 天前 经常更换复杂密码。 |
 | 4 SakuraYuki 35 天前 设置输错一次密码 ip 进黑名单就行了 |
 | 5 xdzhang 35 天前 你日志里面前面几个 ip 全是 nas 啊 |
 | 6 Daybyedream 35 天前 可以做个 api 外部访问没有固定 IP 的时候访问一下 api 自动加限时白名单 |
 | 7 laminux29 35 天前 直接 fail2ban ,指数级屏蔽,专门用来防止暴力破解的。 |
 | 8 cctv180 35 天前 @hackerfans 不用这么麻烦,直接前面加 Nginx 把默认站返回 444,这样只有指定域名能进去。 |
 | 9 nkidgm 35 天前 套 VPN ,并且要用 ssl 证书和密码强化 VPN 认证。 在 VPN 里再访问群晖。 |
 | 10 richarddingcn 35 天前 fail2ban 啊 同时 ssh 改证书登陆 都放公网了 安全性还是得自己搞好的 |
 | 11 luny 35 天前 最简单的是,把 ssh 的登录端口改一下,尽量 5 位数 |
 | 12 midraos 35 天前  1 关闭密码登录,只使用证书登录。web 服务则使用双向证书认证 |
 | 13 tomczhen 35 天前 其实群晖可以设置多长时间内错误多少次封 IP 多久的功能,唯一要注意的是识别到的 IP 如果是路由器 IP 得想办法获取访问者 IP 。 |
 | 14 S0lution 35 天前 首先建议不要暴露重要服务到公网,必要的话服务一定要修改默认端口 防爆破如果是 ssh 可以尝试 fail2ban ,看 op 日志是 dsm 的且比较频繁,设置里有黑白名单可以设置。登陆还有个封锁设置,设置一个月错三次永久封禁 ip ,或者干脆输错一次密码直接封,自己被封了可以本地登录上去解 再复杂还有双向证书认证之类的,看 op 需求了 |
 | 15 Autonomous 35 天前 1.把默认的 5000 、5001 端口号改为其他值 2.防火墙设置仅放行特定国家的入站,只保留自己的常住地 3.设置自动封锁 IP |
 | 16 5261 35 天前 在纠结 到底是黑群晖还是白裙好 |
 | 18 m1nm13 35 天前 不要映射为 5000 端口 |
 | 19 zhengfan2016 35 天前 via Android 本质就是想办法搞个鉴权层挡在群晖页面前面 1.套 cloudflare ,有 zerotrust 2.tailscale 的 vpn |
 | 20 badgv 35 天前 via Android 群晖自带黑名单啊,设置错 3 次直接拉黑 ip 就行了啊 |
 | 22 YFZZ PRO @KagurazakaNyaa 萌新求问,如果是使用 QuickConnect 来进行外网连接,是不是比 DDNS 安全一些? |
 | 23 deepbytes 35 天前 via iPhone NPM 用白名单 |
 | 24 yinft 35 天前 最好的办法还是套 vpn ,这都是广大网友实践后的真知 |
 | 26 dosmlp 35 天前 搞个 VPN ,家里所有服务只有连上 VPN 才能访问 |
 | 28 geniussoft 35 天前 via iPhone |
 | 29 nodesolar 35 天前 用的群辉 NAS, 目前我是写了个简单程序: 大致原理就是利用 iptables 限制, 只有加入白名单的 IP 才能访问所有端口,否则全部限制. 然后这个服务以 API 方式暴露出来给钉钉机器人,利用机器人来加减白名单 IP |
 | 30 ffxrqyzby 35 天前 @Keystroke #27 黑群版本 2 年多也没更新过,但是里面的插件可以更新,其实用着没啥区别 群晖我这边主要用来磁盘管理, 备份, 同步这些功能, 黑群没有官方的外网地址 quickconnect(但是速度很拉 100k/s, 不如自己 ipv6 ddns 或者 tailscale), 其他基本体验一致. 我是用 pve 启群晖, 再启 ubuntu 挂群晖的盘跑 docker-compose 比较自由. |
 | 31 yulgang 35 天前 openvpn 回家,然后内网连接就完了,为什么要放公网上呢。 |
 | 32 Liuman 35 天前 我的群辉 设置了 5 分钟内密码错误 2 次,永久封 IP |
 | 33 guanzhangzhang 35 天前 端口映射和 ddns vs 组网  |
 | 34 alfawei 35 天前 你在用默认端口吧 |
 | 35 Exsi 34 天前 直接静止所有接入,仅允许大陆接入不就可以了 |
 | 36 Kaiyuan 34 天前 不要用默认端口,然后限制可连接的地区。群晖有防火墙策略可以设置。 |
 | 37 SouLX 34 天前 群晖不是默认 有 fail2ban 的功能嘛? 连续错误几次 直接黑名单或者冻结多长时间之类 |
 | 38 dilidilid 34 天前 你如果不是很多人在用的话直接弄个 VPN 就行了 |
 | 39 wyxls 33 天前 不太想动群晖自身预设好的 DSM 服务端口( 5000 和 5001 ),因为我不知道这魔改系统会不会 hardcode 某些网络端口,改了可能会有奇奇怪怪的问题,之前就碰到过改了 drive 的服务端口导致在 DSM 界面跳转过去端口不对的情况 目前方案是防火墙只允许几个 web 服务端口出口以及局域网内一个堡垒机 IP 入口,其他 web 服务都通过堡垒机反代接入并透传真实客户 IP ,最后 fail2ban 条件拉满,7 天内连续 3 次失败直接永久封锁 |
 | 40 Kirkcong 33 天前 让他们试呗,又不影响什么 |
Select Language