HA的安全性大家有什么看法

悠哉悠哉

请问各位老师，如果把服务器的8123端口暴露给公网，风险有多高？我觉得这样一来用手机可以随时随地访问很方便
如果密码设置的很复杂的话，是不是很安全？
有没有好的建议呢
谢谢


------------2月2号 更新一下：
一共两个公网ip
第一个公网ip的8123开放到网上有超过1周时间，只有一个来试探登录密码的，并且只试探了一次，是从HA的日志里看到的
另一个不同公网ip的8123端口放开后，目前只有3天时间，也是有一个来试探了一次密码
看样子还可以接受。

我以前有把邮件服务器的ssl收发端口465，994端口放开，结果每天几十个来暴力攻击的
后来我在服务器上安装fail2ban，监控邮件服务的日志，只要发现有连接失败的，就把攻击者的整个B类网段加入iptables的过滤名单，这个方法曾经很好用
但是它存在性能问题，就是iptables的黑名单过长后，服务器性能会下降。
运行了大概一年多后，觉得邮件服务也没什么用，就停掉了。

感谢大佬们提出的反向代理方案
除非有人有成熟方案，否则我就先观望着
配置nginx头都大。

chrlee

换个端口映射出去就行了

jjcs

用反向代理，https，开双重认证，手机有动态密码，不要泄漏域名

2CMOL

不用映射端口出去 用反向代理 然后ha里面尽量不要放监控 它那个缓存 只要有id就能获取到数据

xxlxmd

自己弄vpn连回内网 当然你vpn密码或者证书泄漏也是一样

jjcs

2CMOL 发表于 2025-2-2 15:45
不用映射端口出去 用反向代理 然后ha里面尽量不要放监控 它那个缓存 只要有id就能获取到数据 ...

明白人，看来是扒过数据的

落花萧然

已经连到网上了
基本就是透明的了
不要想太多

悠哉悠哉

2月2号 更新一下：
一共两个公网ip
第一个公网ip的8123开放到网上有超过1周时间，只有一个来试探登录密码的，并且只试探了一次，是从HA的日志里看到的
另一个不同公网ip的8123端口放开后，目前只有3天时间，也是有一个来试探了一次密码
看样子还可以接受。

我以前有把邮件服务器的ssl收发端口465，994端口放开，结果每天几十个来暴力攻击的
后来我在服务器上安装fail2ban，监控邮件服务的日志，只要发现有连接失败的，就加入iptables的过滤名单，这个方法曾经很好用
但是它存在性能问题，就是iptables的黑名单过长后，服务器性能会下降。
运行了大概一年多后，觉得邮件服务也没什么用，就停掉了。

悠哉悠哉

jjcs 发表于 2025-2-2 15:24
用反向代理，https，开双重认证，手机有动态密码，不要泄漏域名

曾经考虑过反向代理
但是nginx那边如何透传视频流是个麻烦事

jjcs

悠哉悠哉 发表于 2025-2-3 13:50
曾经考虑过反向代理
但是nginx那边如何透传视频流是个麻烦事

nginx 有stream模块，可以传输流量