From 4bb0d9394d68ebdd2fd04cf3046e02fd945bee96 Mon Sep 17 00:00:00 2001 From: Yaojia Wang Date: Sun, 15 Mar 2026 21:13:03 +0100 Subject: [PATCH] vault: add security hardening audit to network infra and router docs --- .../VLESS-REALITY-Router-iStoreOS.md | 16 +++++++- 3 - Areas/家庭网络基础设施.md | 37 +++++++++++++++++++ 2 files changed, 52 insertions(+), 1 deletion(-) diff --git a/2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md b/2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md index 7be4083..4fea12d 100644 --- a/2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md +++ b/2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md @@ -189,7 +189,21 @@ DNS 相关设置必须在 LuCI 覆写设置里改,不能改 yaml。 --- -## 7. 紧急恢复 +## 7. 安全加固 + +已实施的安全措施,详见 [[家庭网络基础设施#安全加固(2026-03-15 审计)]] + +- DNS 只监听 LAN (`listen_address`) +- SSH 关闭密码认证,只绑 LAN (`PasswordAuth=off, Interface=lan`) +- ttyd 只绑 LAN (`interface=@lan`) +- uhttpd 只绑 LAN (`listen_http/https=192.168.68.63`) +- IPv6 关闭 +- WAN ping 关闭 +- OpenVPN 1194 规则已删除 + +--- + +## 8. 紧急恢复 ```bash SSH_AUTH_SOCK="$HOME/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock" ssh root@192.168.68.63 diff --git a/3 - Areas/家庭网络基础设施.md b/3 - Areas/家庭网络基础设施.md index 72f4170..2e8db47 100644 --- a/3 - Areas/家庭网络基础设施.md +++ b/3 - Areas/家庭网络基础设施.md @@ -187,6 +187,43 @@ iStoreOS / EasePi Pro (192.168.68.63) ← 主网关 --- +## 安全加固(2026-03-15 审计) + +### 已实施 + +| 项目 | 措施 | 状态 | +|------|------|------| +| WAN 入站 | 默认 REJECT,仅放行必要端口 | ✅ | +| DNS | dnsmasq 只监听 LAN IP (`192.168.68.63`) | ✅ | +| SSH | 密码认证关闭,仅密钥,只绑 LAN | ✅ | +| ttyd (Web终端) | 只绑 LAN IP | ✅ | +| uhttpd (管理面板) | 只绑 LAN IP (`192.168.68.63:80/443`) | ✅ | +| IPv6 | 已关闭,无全局地址 | ✅ | +| WAN Ping | 已关闭 | ✅ | +| OpenVPN 1194 规则 | 已删除(不使用 OpenVPN) | ✅ | +| UPnP | 已禁用 | ✅ | +| Samba | 只绑 LAN IP | ✅ | + +### WAN 入站放行端口 + +| 端口 | 服务 | 说明 | +|------|------|------| +| 8897/tcp | linkease (易有云) | iStoreOS 自带远程访问 | +| 2200/tcp → NAS:2200 | Gitea SSH | 端口映射 | +| 443/tcp → NAS:443 | Nginx Proxy Manager | 端口映射 | +| 51888/tcp → WG:51888 | WireGuard | 端口映射 | + +### 待评估 + +| 项目 | 说明 | 建议 | +|------|------|------| +| linkease 8897 | 对 WAN 开放,如不用可关闭 | 确认需求 | +| NFS/RPC (111,2049) | 监听 0.0.0.0,防火墙挡了 WAN | 如不用可关闭 | +| wsdd2 (5355,3702) | Windows 网络发现,防火墙挡了 | 如不用可关闭 | +| root 密码 MD5 哈希 | `$1$` 较弱,但 SSH 已关密码认证 | 低风险 | + +--- + ## SSH 访问 所有 SSH 连接需要通过 1Password SSH Agent: