请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
我是小白,只白嫖飞牛 os 的便利特性能不能这样操作:
- 防火墙打开,入站只允许内网和 VPN 端口,出站不限制
- 内网照常用,在外只用 VPN 或者 SS 等协议回家操作
- 想偷懒就可以前置一个网页防火墙+反向代理,只暴露这个端口,做好 ip 区域、反向代理域名限制
- 不使用没有二次验证的内网穿透
- 实在不行就关了对外访问,入站防火墙全开,只在内网用
我看飞牛论坛是一片风平浪静,讨论 waf 、lucky 、雷池……只要自己没中招就万事大吉,不关心飞牛对它隧道安全性的漠视。有人说永不更新系统也不用飞牛隧道,因为不信任飞牛。
夜哭到明,明哭到夜,能哭死飞牛否?
第 1 条附言 · 22 天前
-
根据这篇帖子,路径穿越漏洞影响范围可追溯 0.8.19-360,我下载公开分享的 fnos-0.8.16-331.iso 在虚拟机复现成功。
-
浏览器访问:NAS地址/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../加上文件路径,就能看到文件内容。
-
12月有人在飞牛论坛发帖,论坛管理回复:感谢反馈我转给负责的同事看看
-
v2ex 最开始是从这个感谢帖开始讨论他们的处理手法和漏洞猜测 /t/1189392,其后有人分享从飞牛论坛得到的更多详情 /t/1189672。
-
1月30日周五到2月2日周一通知关闭低版本穿透服务期间,fn connect 作为官方远程访问通道,没有对路径穿越漏洞进行处理、公开发布通知或切断服务。
 |
1
keyu1103 23 天前
我觉得可以简单一点,关闭飞牛 CONNECT ,停用端口转发和 nginx lucky 等反代方案。
在飞牛上开启 ipv6 ,并且安装 tailscale (官方商店里有),外网通过 tailscale 连接。 缺点是,要连飞牛的客户端必须要安装 tailscale ,并且没有 ipv6 的情况下 ipv4 打洞体验极差。 |
 |
2
thevita 23 天前
安全最痛的一点在于: 你出于什么样的依据认为你的安全措施做“好”了,从业者都回答不好
|
 |
3
handwork 23 天前
我没开 FNC ,放在 VM 里,宿主是 Win11 ,宿主上的 frpc 通过 stcp 映射到外网,这个应该爆不了吧……
|
 |
4
ntedshen 23 天前  5
《作为小白》
然后下面操作拉满.docx |
 |
5
JqbR001 23 天前
> 除了不用 fn connect ,没办法吧,是他的服务有漏洞。
|
 |
6
v00O 23 天前
tailscale 有 UDP 就可以直连, 不行的话找你的宽带运营商给打开
|
 |
7
jpyl0423 23 天前
既然能 ss 回家就不用考虑对外访问了,纯内网用就行了,梯子软件做好分流在外基本无感使用
|
 |
8
dilidilid 23 天前
"飞牛论坛是一片风平浪静",那不是废话,你不知道飞牛论坛是控评的吗
|
 |
9
thereone 23 天前
是的不要使用任何第三方的隧道转发,优先使用自建的。优先 VPN 隧道连接使用次一点的放公网把强度上上去,把 IP 地址限制到你们城市或者省才能访问。前面挂上 WAF 把 IP 地址限制打开,用户认证打开,黑名单和白名单都打开机器人验证打开。搞到非常难访问的程度基本就没有问题了。
飞牛-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市,黑名单常用封禁国内爬虫恶意 IP ,CC 和机器人验证打开,用户认证打开)--->出口路由器(限制访问为国内 IP 地址访问,开启国内爬虫和恶意 IP 封堵)--->公网 你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证,用户认证,CC 防护,机器人防护,攻击防护---->过 NGINX 反代基本认证--->再到飞牛的 web 界面认证。 上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的,二是的攻破 WAF 的防护,在攻破 NGINX 的基本认证,最后才是飞牛的漏洞或者别的。 以上这些并非是针对飞牛的,任何放到公网上的服务都该做好安全防护任何系统不能保证完全的安全。 |
 |
10
k9982874 23 天前 via Android 3
你是有什么需求非 fn 不可,找不到任何替代工具吗?
|
 |
11
ERvISTyP 23 天前 3
所以你发这个贴的意义就是给飞牛洗吗?
不听劝你爱用啥用啥,泄露的反正又不是我的数据。。。 |
 |
12
MiKing233 23 天前
丢内网用别开 FNConnect, 别把端口暴露在公网就行, 想在外面用自己配好 VPN 连回来内网访问就行, 就算后面还有没发现的漏洞这样用也是安全的, 再不放心直接禁掉飞牛的互联网访问, 只允许内网地址通讯, 要系统更新的时候开放一下
|
 |
13
louol OP 可能因为各种原因总有人继续选择飞牛,我也只会按照教程搭积木,就是想探讨一下:
目前看来不开放任何形式的公网入口、并通过 VPN 连回内网再来用,会把风险降下来。 远离现在的飞牛也是一个选择。 只是现实是谁也不知道明天哪个服务会出问题。 |
 |
14
FarAhead 23 天前
作为小白更不应该选择飞牛
|
 |
15
tril 23 天前
对内开放的服务仍然需要做好安全防护,至少不能放着有这么严重漏洞的设备存在。更正确的方式是把内网当公网对待,不要把内网当成一个安全的环境,尤其是有智能家具的内网。
所有设备和系统都有生命周期,大家最常用的 Windows 也不例外。但系统的生命周期是公开且可以提前预知的事,正常的系统都会公布这个生命周期计划,好让你提前做准备。至于毫无计划说停更就停更的厂商,和飞牛坐一桌,远离就对了。 |
 |
16
littlecap 23 天前 via Android
选择原谅他了,升级到最新版了,原来怎么样还是怎么样吧,反正只用来 pt 下载加看片,听歌听故事。
|
 |
17
lianyanjiajia 23 天前
不要用 fn connect 就好了
|
 |
18
Memfei 23 天前
出事之前我都没开 fn connect ,开了双重验证,后面感兴趣用了 cf 隧道配合 nginx 反代再到 ddns+lucky 反代
没中招还是有一定的运气成分 |
 |
19
villivateur 23 天前
就他们处理事情的这个态度,你就不怕他们内置了后门,然后某一天他们服务端有漏洞被黑客利用,顺着后门把全部用户都一锅端?
|
 |
20
cherryas 23 天前
其实没必要太在意节奏,国内好几家知名的网盘都出过泄露事件,小圈子没传开罢了
|
 |
21
Kirkcong 23 天前 1
@cherryas 这不是有人带节奏,爆出来的漏洞太过于严重,前所未见。目前所有的网盘、nas 厂商,都没有像飞牛这种一次性出来 4 个安全漏洞,并且没有前置条件,用户什么都没做,所有数据外部均可访问,影响比其他网盘大多了。
其他网盘爆出来的漏洞,大部分都是有前置条件的,并且是单一的漏洞,fnos 这次的是一套组合,通过这套组合,可以拿到 root 权限,如果是什么都不懂的小白,只用路径穿越漏洞也可以无成本读取 nas 所有数据。真的是前所未见。 |
 |
22
Hephaistos 23 天前
@louol 能说的只有告诉你不要继续用飞牛,他们对安全相关的这个态度后面绝对会出更严重的问题。nas 系统用 truenas 不好么,实在不会黑群晖也不是没法用。
|
 |
23
woshishui2022 23 天前
飞牛 connect 最大意义,就是在外面下个电影到家就能看。不过现在网盘直连用的比较多。
后面还是打算 NAS 只放电影了,照片现在同步的 icloud,加密备份的夸克和谷歌网盘,也够安全了,不行有个硬盘盒,冷备份算了。 问:家里监控是 homebridge 接到 homekit 的,这次的漏洞,会导致监控暴露吗? |
 |
24
Romeswu 22 天前
只用内网呢
|
Select Language