vault: add security hardening audit to network infra and router docs

2 - Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md

@@ -189,7 +189,21 @@ DNS 相关设置必须在 LuCI 覆写设置里改，不能改 yaml。
 
 ---
 
-## 7. 紧急恢复
+## 7. 安全加固
+
+已实施的安全措施，详见 [[家庭网络基础设施#安全加固（2026-03-15 审计）]]
+
+- DNS 只监听 LAN (`listen_address`)
+- SSH 关闭密码认证，只绑 LAN (`PasswordAuth=off, Interface=lan`)
+- ttyd 只绑 LAN (`interface=@lan`)
+- uhttpd 只绑 LAN (`listen_http/https=192.168.68.63`)
+- IPv6 关闭
+- WAN ping 关闭
+- OpenVPN 1194 规则已删除
+
+---
+
+## 8. 紧急恢复
 
 ```bash
 SSH_AUTH_SOCK="$HOME/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock" ssh root@192.168.68.63

3 - Areas/家庭网络基础设施.md

@@ -187,6 +187,43 @@ iStoreOS / EasePi Pro (192.168.68.63) ← 主网关
 
 ---
 
+## 安全加固（2026-03-15 审计）
+
+### 已实施
+
+| 项目 | 措施 | 状态 |
+|------|------|------|
+| WAN 入站 | 默认 REJECT，仅放行必要端口 | ✅ |
+| DNS | dnsmasq 只监听 LAN IP (`192.168.68.63`) | ✅ |
+| SSH | 密码认证关闭，仅密钥，只绑 LAN | ✅ |
+| ttyd (Web终端) | 只绑 LAN IP | ✅ |
+| uhttpd (管理面板) | 只绑 LAN IP (`192.168.68.63:80/443`) | ✅ |
+| IPv6 | 已关闭，无全局地址 | ✅ |
+| WAN Ping | 已关闭 | ✅ |
+| OpenVPN 1194 规则 | 已删除（不使用 OpenVPN） | ✅ |
+| UPnP | 已禁用 | ✅ |
+| Samba | 只绑 LAN IP | ✅ |
+
+### WAN 入站放行端口
+
+| 端口 | 服务 | 说明 |
+|------|------|------|
+| 8897/tcp | linkease (易有云) | iStoreOS 自带远程访问 |
+| 2200/tcp → NAS:2200 | Gitea SSH | 端口映射 |
+| 443/tcp → NAS:443 | Nginx Proxy Manager | 端口映射 |
+| 51888/tcp → WG:51888 | WireGuard | 端口映射 |
+
+### 待评估
+
+| 项目 | 说明 | 建议 |
+|------|------|------|
+| linkease 8897 | 对 WAN 开放，如不用可关闭 | 确认需求 |
+| NFS/RPC (111,2049) | 监听 0.0.0.0，防火墙挡了 WAN | 如不用可关闭 |
+| wsdd2 (5355,3702) | Windows 网络发现，防火墙挡了 | 如不用可关闭 |
+| root 密码 MD5 哈希 | `$1$` 较弱，但 SSH 已关密码认证 | 低风险 |
+
+---
+
 ## SSH 访问
 
 所有 SSH 连接需要通过 1Password SSH Agent：