添加一些远程访问选项(参考 qBittorrent 等),提高安全性,避免用户没配置好,意外暴露 UI 到外网造成风险

比特彗星(BitComet) 建議意見
1

这里主要是安全相关的选项
参考 qBittorrent 的功能

  1. BitComet 还需要添加“只允许本地访问 WebUI”“只允许本地子网访问 WebUI”“IP 子网白名单”等选项,避免用户没配置好,意外暴露 UI 到外网。据我所知,监听 127.0.0.1 就是第一种情况。目前比特彗星应该是监听 0.0.0.0(即任意地址)。
  2. 默认勾选启用 HTTPS,并建议用户非特殊需求选择此选项(我不记得默认设置了,如果有请忽略此项)。
  3. 修改 WebUI 监听端口,这样攻击者扫描默认端口就不容易扫到了。此外有人好像因为 NAS 的 WebUI 被运营商查了,同样需要修改默认端口,1 中提到的那几个选项除了安全原因,还有这个原因。
  4. 导入用户选择的证书和密钥,而不是软件自带的自签名证书。
  5. 暴力破解保护(连续登录失败__次后阻止这个 IP __ 秒)(IPv6 可能需要按子网封禁,即 /64 地址,或增加一个选项并默认选中,因为更换后缀可能很容易)
  6. 增加跳过本地主机上的客户端身份认证的选项(应该就是 127.0.0.1 和 [::1]),方便搭配 PeerBanHelper 使用
  7. 增加会话超时时间设置。
  8. 自定义 DDNS(动态域名)
  9. 设置反向代理

Transmission 可以设置允许哪些 IP 地址远程访问。

其他还有一些设置这里没有提到,因为可能不太重要。我只看了 qBittorrent 和 Transmission 两个客户端。

1個讚
2

这个之前wx好像回复过 应该是不会做对一些地址免除身份验证的功能

这个有 不过是 自签名证书

3、4、5、7 问题都可以依靠9 也就是反向代理来解决
甚至是8也可以 依靠lucky的反向代理功能和DDNS功能
其已经被充分研究:链接

这样功能交给 更专业的外置软件做会比较好

3

我觉得证书和域名和反向代理都让其它软件负责就好。bitcomet的远程操作就监听127.0.0.1或::1就行,不过还是要留给用户选择的余地。毕竟不用GUI的用户都不是小白,弄个nginx挺简单的。

4

3、4、5、7 问题都可以依靠9 也就是反向代理来解决
甚至是8也可以 依靠lucky的反向代理功能和DDNS功能
其已经被充分研究:链接

这样功能交给 更专业的外置软件做会比较好

反向代理的话比较麻烦,如果是内置的最多用 OpenSSL 生成一个自签名证书,再像把私钥、证书导入到比特彗星就行了,目前 qBittorrent 就是这样。qBittorrent 还可以设置 DDNS,如果有 IPv6,加上 DDNS 的话反向代理感觉没什么必要了,此时的问题反倒是是怕运营商检测到,定性为私设网站导致封宽带之类的乱七八糟的事情,所以才需要增加“只允许本地访问 WebUI”“只允许本地子网访问 WebUI”“IP 子网白名单”等选项。

毕竟不用GUI的用户都不是小白,弄个nginx挺简单的。

这个是为了方便用户才请求添加这些功能,像 qBittorrent,只要用鼠标点几下就能完成配置,不过证书和私钥可能需要使用 OpenSSL 之类的生成,能在比特彗星中直接完成就更方便了。

图片
图片1562×2035 214 KB

5

通过白名单的方式防止被运营商检测出来?
在外访问时设备的IP是不确定的该如何填写IP白名单

我记不太清qb的webUI过滤器是怎么工作的了
是可以显示登录页面但是不允许登录 还是显示这个错误页面 亦或者是直接关闭连接
如果是前面两者的话是起不到防范运营商扫描的作用的 其依然有http响应

运营商的判断标准基本就是这个http响应 而使用lucky进行的反向代理中可以设置检查host name
检测到没有携带域名直接使用IP的请求 会直接切断连接 不发送任何响应
只有这样才有可能规避扫描

国内的免费DDNS基本都关闭了 无论是花生壳 tplink 还是华硕
用的话换国外的提供商

6

反向代理的npm在webui里点几下,就能用let’s encrypt的证书,而不是自签证书,而且还会自动更新证书。
ipv6又不会给你静态的,你不设置ddns的话,等你ip变了,域名指向的就不是你bitcomet所在电脑的ip了,你怎么访问。
这些太麻烦的话,设置vpn, 连证书都不需要。

7

试了一下,地址填 127.0.0.1 的话,就只有本机可以访问,同个内网的设备也无法访问。

在外访问时设备的IP是不确定的该如何填写IP白名单

这是给需要 WebUI 但又不需要外网访问的用户(甚至只需要本机(127.0.0.1)访问)使用的,比如需要运行 PeerBanHelper,但又不需要远程访问 WebUI。

8

我想只要不在路由设备上设置端口转发就行了

9

啊,还有设置了证书也不表示安全,最好设置mfa或fail2ban。虽然以前有mfa被跳过的情况,不过又不是开公司,被攻击的可能性没那么高。嫌麻烦就弄vpn吧。

10

IPv6 禁用光猫和路由器防火墙,或者 IPv4 设置了 DMZ 的话会暴露在公网

11

如果是这样的话 防御任务 应该交给终端设备上的防火墙软件

12

这和 IP 过滤一样,软件内置的话设置起来就非常简单,鼠标点几下的事(比如启用“仅允许本机访问、仅允许私有 IP 地址访问”。这两项应该默认启用,并且建议启用,非必要不要禁用),如果是用系统防火墙之类的,私有 IP、端口什么的恐怕很多小白都弄不来。

13

電信運營商能用各種藉口/理由封網,怎麼弄也沒用 有恃無恐…運營商有權自己做審查嗎 真的難以置信…当自己是警察?

14

比特彗星集成 MFA 的话,OTP 的话应该也行,比发送短信验证码简单,至少是免费的,手机上安装 FreeOTP+ 就行了。算法选择 SHA-256,SHA-512 的话更好。
fail2ban 就是前面说的暴力破解保护(连续登录失败__次后阻止这个 IP __ 秒)

15

暴力破解的话,不如失败就等待5秒才返回结果,这时候防暴力破解效果更好

16

其实我觉得拉黑 IP 一段时间可能更好(IPv6 可能需要按子网封禁,即 /64 地址,因为更换后缀可能很容易),这样遭到暴力破解时不会把用户也挡住,只会挡住攻击者。此外可以记录到日志中和计入统计数据, 此时日志可能需要考虑内存占用(我不确定日志和 IP 黑名单需要多少内存)。