vault: add security hardening audit to network infra and router docs

2026-03-15 21:13:03 +01:00
parent e87c980684
commit 4bb0d9394d
2 changed files with 52 additions and 1 deletions
--- a/Areas/家庭网络基础设施.md
+++ b/Areas/家庭网络基础设施.md
@@ -187,6 +187,43 @@ iStoreOS / EasePi Pro (192.168.68.63) ← 主网关

 ---

+## 安全加固（2026-03-15 审计）
+
+### 已实施
+
+| 项目 | 措施 | 状态 |
+|------|------|------|
+| WAN 入站 | 默认 REJECT，仅放行必要端口 | ✅ |
+| DNS | dnsmasq 只监听 LAN IP (`192.168.68.63`) | ✅ |
+| SSH | 密码认证关闭，仅密钥，只绑 LAN | ✅ |
+| ttyd (Web终端) | 只绑 LAN IP | ✅ |
+| uhttpd (管理面板) | 只绑 LAN IP (`192.168.68.63:80/443`) | ✅ |
+| IPv6 | 已关闭，无全局地址 | ✅ |
+| WAN Ping | 已关闭 | ✅ |
+| OpenVPN 1194 规则 | 已删除（不使用 OpenVPN） | ✅ |
+| UPnP | 已禁用 | ✅ |
+| Samba | 只绑 LAN IP | ✅ |
+
+### WAN 入站放行端口
+
+| 端口 | 服务 | 说明 |
+|------|------|------|
+| 8897/tcp | linkease (易有云) | iStoreOS 自带远程访问 |
+| 2200/tcp → NAS:2200 | Gitea SSH | 端口映射 |
+| 443/tcp → NAS:443 | Nginx Proxy Manager | 端口映射 |
+| 51888/tcp → WG:51888 | WireGuard | 端口映射 |
+
+### 待评估
+
+| 项目 | 说明 | 建议 |
+|------|------|------|
+| linkease 8897 | 对 WAN 开放，如不用可关闭 | 确认需求 |
+| NFS/RPC (111,2049) | 监听 0.0.0.0，防火墙挡了 WAN | 如不用可关闭 |
+| wsdd2 (5355,3702) | Windows 网络发现，防火墙挡了 | 如不用可关闭 |
+| root 密码 MD5 哈希 | `$1$` 较弱，但 SSH 已关密码认证 | 低风险 |
+
+---
+
 ## SSH 访问

 所有 SSH 连接需要通过 1Password SSH Agent：