„Plex“ yra dominuojanti programinė įranga, naudojama savarankiškai priglobti medijos biblioteką „Windows“, „Mac“ ir „Linux“. Su juo galite pasiekti savo filmus, laidas ir muziką iš bet kurio įrenginio ir bet kur. Tačiau tūkstančiai vartotojų daro klaidą, dėl kurios jų serveriai ir tinklai tampa pažeidžiami įsilaužėlių.

Taigi, kokia yra „Plex“ paleidimo problema? Kaip galite tai ištaisyti? Kaip galite padaryti savo Plex serverį saugesnį?

Ar jūsų „Plex“ serveris tikrai saugus?

Plex prielaida yra paprasta. Namuose laikote didelę medijos biblioteką; staliniame kompiuteryje, „Raspberry Pi“ arba NAS, o naudodami „Plex“ serverio programinę įrangą, galite naudoti tam skirtas programas arba naršyklę, kad galėtumėte mėgautis medija. Jei mokate už priedus, pvz., „Plex Pass“, netgi galite žiūrėti ir įrašyti tiesioginę TV transliaciją ir sinchronizuoti pažangą visuose įrenginiuose.

Norėdami tai padaryti, nukreipiate savo namuose esančius įrenginius prie pagrindinio kompiuterio 32400 prievado. Jei norite vartoti žiniasklaidą išvykdami – keliaudami traukiniu, ilsėdamiesi ar dirbdami kavinėje arba pavyzdžiui, draugo namuose turite atidaryti maršrutizatoriaus 32400 prievadą ir nukreipti srautą į tą patį prievadą PC. Savo „Plex“ medijos serverį galite pasiekti bet kur naudodami savo.public.ip.adresą: 32400. Kol kas taip paprasta.

instagram viewer

Pagal numatytuosius nustatymus tinklo srautas į atskirą IP adresą yra nešifruotas. Ir tai gali būti didelė problema.

Kodėl pavojinga paleisti „Plex“ per nešifruotą ryšį?

Naudojant nešifruotą ryšį, jūsų srautas yra pažeidžiamas a Žmogaus viduryje (MITM) ataka. Tai reiškia, kad užpuolikas gali šnipinėti jūsų tinklo srautą, įvesti nepageidaujamą kodą į jūsų srautą ir net perimti naudotojų vardus ir slaptažodžius.

Padėtį apsunkina „Plex“ saugumo spragos. Juos reguliariai pataiso „Plex“ saugos komanda, o jų duomenys atskleidžiami plačiam internetui. Deja, ne visi „Plex“ vartotojai nuolat atnaujina savo „Plex“ programinę įrangą, o kai kurie vartotojai gali būti neatnaujinti daugelį metų. Pavyzdžiui, senesnėse nei 1.18.2 serverio versijose yra pažeidžiamumų, per kuriuos užpuolikas gali perimti visą jūsų pagrindinę sistemą.

Nusikaltėliai ir kitos suinteresuotosios šalys turi prieigą prie atvirojo kodo įrankių, tokių kaip Robert David Graham MASKANAS, kuri per penkias minutes gali nuskaityti visą internetą. Tai leidžia lengvai nustatyti IP adresus, kuriuose atidarytas 32400 prievadas.

Kodėl turėtumėte pasiekti „Plex“ per domeno vardą naudodami TLS

Dauguma interneto serverių pasiekiami per du standartinius prievadus: 80 nešifruotam HTTP srautui ir 443 šifruotam srautui, naudojant HTTPS (papildomas "S" reiškia "saugus"). ir įgyvendinant transporto lygmens apsaugą (TLS), kuris yra atsparus MITM atakoms. Jei už bet kurio iš šių prievadų naudojate „Plex“ serverį, masinio prievado nuskaitymo įrankis to neatskleis potencialiems užpuolikams, nors, aišku, HTTPS yra geresnis.

Domeno vardai yra pigūs arba net nemokami, jei pasirenkate tokį teikėją kaip „Freenom“. Be to, galite sukonfigūruoti atvirkštinį tarpinį serverį, kad žiniatinklio srautas į jūsų „Plex“ serverį eitų per 443 prievadą, o 32400 prievadas niekada nebūtų atskleistas.

Vienas iš būdų tai padaryti – nusipirkti pigų 10 USD vertės Raspberry Zero W, kad veiktų kaip tarpininkas.

Kaip naudoti Raspberry Pi, kad apsaugotumėte savo „Plex“ serverį

Pirmas dalykas, kurį reikia padaryti, yra apsilankyti savo registratoriuje Išplėstinis DNS nustatymų puslapį. Ištrinkite visus įrašus ir sukurkite naują A rekordas. Nustatykite pagrindinį kompiuterį į „@“, reikšmę į savo viešąjį IP adresą ir kuo mažesnį TTL.

Dabar prisijunkite prie maršrutizatoriaus administratoriaus skydelio. Atidarykite 80 ir 443 prievadus ir persiųskite juos į vietinį Raspberry P i Zero IP adresą. Uždarykite prievadą 32400.

Po to, kai turite įdiegta Raspberry Pi OS, naudoti saugus apvalkalas (SSH), kad prisijungtumėte prie savo Raspberry Pi.

ssh pi@tavo.pi.local.ip

Atnaujinkite ir atnaujinkite visus įdiegtus paketus:

sudo apt atnaujinti
sudo apt atnaujinimas

Įdiekite „Apache“ serverį:

sudo apt diegti Apache2
sudo systemctl pradėti apache2
sudo systemctl įjungti apache2

Įdiekite „Certbot“ – įrankį, kuris pateiks ir tvarkys abu saugumą sertifikatus ir raktus iš Let's EncryptSSL sertifikatus nustatanti paslauga.

sudo add-apt-repository ppa: certbot/certbot
sudo apt atnaujinti
sudo apt-gauti įdiekite python3-certbot-apache

Pakeiskite katalogą ir naudokite nano teksto rengyklė, kad sukurtumėte naują „Apache“ konfigūracijos failą, kad peradresuotų visas jūsų naujo domeno vardo užklausas į įrenginį, kuriame yra „Plex“ serveris:

sudonanoplex.conf

Jums bus pateiktas tuščias tekstinis failas. Įklijuokite taip:

<„VirtualHost“ *:80>
Serverio pavadinimasjūsų domeno vardas.tld
ProxyPreserveHost įjungtas
ProxyPass / http://your.plex.server.local.ip: 32400/
RewriteEngine įjungtas
RewriteCond %{HTTP:Patobulinti} interneto lizdas[NC]
RewriteCond %{HTTP:ryšys} patobulinti[NC]
</VirtualHost>

Išsaugokite ir išeikite iš nano su Ctrl + O tada Ctrl + X.

Įgalinkite konfigūraciją ir iš naujo paleiskite „Apache“:

sudoa2ensiteplex.conf
sudo paslauga apache2 paleiskite iš naujo

Paleiskite certbot, kad gautumėte SSL sertifikatus ir raktus iš Let's Encrypt:

sudo certbot

Įveskite savo el. pašto adresą, kai to paprašysite, ir sutikite su sąlygomis, tada iš sąrašo pasirinkite savo domeno pavadinimą ir paspauskite „Return“.

„Certbot“ vėl gaus ir įdiegs saugos sertifikatus ir raktus iš „Let's Encrypt“. Dar kartą paleiskite „Apache“.

Atsijunkite nuo Raspberry Pi Zero:

išeiti

Vykdydami šias instrukcijas, jums pavyko uždaryti 32400 prievadą ir paslėpti savo Plex serverio egzistavimą nuo prievadų skaitytuvų, tuo pačiu užtikrinant, kad vis tiek galėsite jį pasiekti naudodami pasirinktinį domeno pavadinimą. Visas srautas į jūsų „Plex“ serverį bus užšifruotas ir apsaugotas naudojant TLS, todėl galėsite atsipalaiduoti ir mėgautis naujausias „House of The Dragon“ serijas, nesijaudindami, kas bando įsilaužti į jūsų tinklą.